[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[Debian] Erfolgreichrr Hack?

Heute morgen quititerte mein Gateway (potato) den Befehl "man ssh"
einfach mit "Illegal instruction". Ebenso alle anderen "man"-Befehle.

Gleichzeitig meldete mir tripwire, das die /lib/libc-2.1.3.so eine
andere Prüfsumme hat (Mon Aug 13 04:42:33 2001):
-----------------------------------------------------------------------------
Changed files/directories include:
changed: -rwxr-xr-x root       887712 Mar 26 00:35:41 2001 /lib/libc-2.1.3.so
changed: -rw-r--r-- root         1969 Aug  9 16:30:14 2001 /etc/hosts.deny
-----------------------------------------------------------------------------

Am Vortag war noch alles OK, und am Sonntag habe ich keinerlei Updates
durchgeführt. Andere modifizierte Dateien hat tripwire nicht gefunden.

Mit der alten libc brach dselect ebenfalls mit einer Fehlermeldung ab,
allerdings funktionierte "apt-get install --reinstall libc6" problemlos.


Ein Vergleich der MD5-Prüfsummen ergibt:

Modifizierte Datei:  md5sum /lib/libc-2.1.3.so 
ff79ff747803ba9da8ae4f9bd209724b  /tmp/HACK/libc-2.1.3.so
-rwxr-xr-x    1 root     root       887712 Mar 26 00:35 /tmp/HACK/libc-2.1.3.so*

Originaldatei:  md5sum /tmp/HACK/libc-2.1.3.so 
b5db74d0429f61b13661dcea401356a7  /lib/libc-2.1.3.so
-rwxr-xr-x    1 root     root       887712 Mar 26 00:35 /lib/libc-2.1.3.so*

Die Dateien haben also gleiche Größe unbd gleiches Datum und ein "diff" der beiden 
"strings libc-2.1.3.so" ergibt ebenfalls keinerlei Unterschied.


In allen Logfiles (messages, syslog, apache) kann ich nichst auffälliges mehr finden, außer
den üblichen Verdächtigen:
Aug 12 11:57:03 rts-pc1 wu-ftpd[24059]: refused connect from pD9541953.dip.t-dialin.net
Aug 12 11:57:15 rts-pc1 wu-ftpd[24060]: refused connect from pD9541953.dip.t-dialin.net
Aug 12 11:57:19 rts-pc1 wu-ftpd[24061]: refused connect from pD9541953.dip.t-dialin.net
Aug 12 15:34:59 rts-pc1 wu-ftpd[24418]: refused connect from p3EE2D624.dip.t-dialin.net
Aug 12 15:36:05 rts-pc1 wu-ftpd[24419]: refused connect from p3EE2D624.dip.t-dialin.net
Aug 12 15:36:28 rts-pc1 wu-ftpd[24420]: refused connect from p3EE2D624.dip.t-dialin.net
Aug 12 19:56:47 rts-pc1 wu-ftpd[24994]: refused connect from 81-177.F.dial.o-tel-o.net
Aug 12 19:58:48 rts-pc1 wu-ftpd[24995]: refused connect from 81-177.F.dial.o-tel-o.net
Aug 12 19:59:34 rts-pc1 wu-ftpd[24996]: refused connect from 81-177.F.dial.o-tel-o.net
Aug 12 22:11:56 rts-pc1 wu-ftpd[25225]: refused connect from pD9541953.dip.t-dialin.net
Aug 12 22:12:03 rts-pc1 wu-ftpd[25226]: refused connect from pD9541953.dip.t-dialin.net


Der einzige auffälliger Prozeß ist ein hängengebliebener cron-Job, 
den ich aber schon öfters hatte:
pstree -p
|-cron(373)---cron(14229)-+-sendmail(14249)
|                         `-sh(14233)

14249 ?        S      0:00 /usr/sbin/sendmail -i -FCronDaemon -odi -oem root
14233 ?        Z      0:00 [sh <defunct>]



Da nur diese eine Datei modifiziert ist, glaube ich eigentlich an
einen Fehler im Dateisystem. Allerdings möchte ich einen Hackversuch
nicht einfach ausschließen.

Gab es schon einmal woanders das Phänomen einer sich scheinbar von selbst
modifizierenden libc-Datei?

Oder bin ich wirklich gehackt worden?



MfG,
AxelD


--
Axel Dürrbaum / Universität Gh Kassel / FB 15 - RTS Regelungstechnik
Mönchebergstraße 7 / 34109 Kassel / Germany / Technik I/II / Raum 2602
phone:+49 561 804 3261  Email:axeld@rts.maschinenbau.uni-kassel.de
Reply to: