Re: ifconfig und netstat verschwunden

To: Thomas Amm <tom@scannerphoto.de>
Cc: debian-user-german@lists.debian.org
Subject: Re: ifconfig und netstat verschwunden
From: Axel Duerrbaum <axeld@rts.maschinenbau.uni-kassel.de>
Date: 22 Feb 2002 14:38:18 +0100
Message-id: <[🔎] m0eljdab79.fsf@rts-pc1.rts.maschinenbau.uni-kassel.de>
In-reply-to: Thomas Amm's message of "Fri, 22 Feb 2002 13:17:29 +0100"
References: <[🔎] m0it8pap5v.fsf@rts-pc1.rts.maschinenbau.uni-kassel.de> <[🔎] 20020222131729.4a0a0181.tom@scannerphoto.de>

Tausend Dank für Deine Tips.

Mittlererweile habe ich eine Theorie, wie es zu diesem Problem
gekommen sein kann: Vorgestern wurde beim Update ein "obsoletes" Paket
"ifupdown" bemängelt, welches es in Potato auch nicht gibt. Keine
Ahnung, wie das auf das System gekommen ist (KDE?). JEdenfalls ist nur
"stable" als Distribution ausgeählt.

Dieses Paket habe ich dann auch deinstalliert, ohne jegliche Probleme --
dachte ich. Leider habe ich keine Version dieses Paketes mehr, so daß
ich es analysieren könnte.

Thomas Amm <tom@scannerphoto.de> writes:

> On 22 Feb 2002 09:36:44 +0100
> Axel Duerrbaum <axeld@rts.maschinenbau.uni-kassel.de> wrote:
> 
> > Moin,
> > 
> > bei meinem meiner Potato-Systeme musste ich eben feststellen, das die
> > Programme netstat und ifconfig plötzlich verschwunden sind. 
> > 
> > Sie lagen weder in /bin bzw. /sbin noch konnte "dpgk -S" sie finden.
> > 
> > Ist das beim letzten Update (ftp.de.debian.org und
> > security.debian.org) vorgestern passiert oder hat sich da jemand an
> > dem System zu schaffen gemacht?
> > 
> > Bin etwas ratlos ... und hoffenlich nicht gehackt worden.
> 
> Sieht aber stark danach aus; stärker geht eigentlich nicht. 

Wäre aber irgendwie blöd von dem Hacker, so offensichtliche Spuren zu
hinterlassen. Normalerweise wird doch sowas durch eine kompromittierte
Version ersetzt.

> Eine derart brachiale Intrusion könnte sich mit chkrootkit aufdecken lassen.

Das hat (zwischenzeitlich geprüft) gottseidank nichts gefunden.

> Was sagen die Logs ? 

Seit 2 Wochen nichts auffälliges. Nur gestern ein Komiker von
Sprintnet, der über den Rechner eMail relayen wollte.

> Im Mailarchiv von debian-security wirst du etliche Fälle derartiger
> Rootkit?-Intrusions finden, oftmals genau dokumentiert, vom
> Anfangsverdacht bis zum Auffinden des Miststücks.

Da finde ich über http://lists.debian.org leider nichts Spezifisches
zu dieser Problematik ..

> Sieh auch sofort nach, ob /var/log/syslog seltsame Einträge oder
> Lücken bei den Timestamps zeigt. Glaube vor allem nicht, die Sache
> hätte sich erledigt

Ich kann da nichts auffälliges finden. Alle 20 Minuten ist -- MARK -- da,
keine Lücken.

> wenn ifconfig und netstat "plötzlich" wieder da sind, das sind womöglich
> Trojaner. Tripwire oder Tiger waren vermutlich nicht installiert ?

Tripwire auf diesem Rechner nicht. Tiger kenne ich nicht, muß ich mir
mal anschauen. tripwire ist mir ehrlicherweise etwas zu träge, tortz
reduzierter Anzahl von Prüfsummen.

> (hinterher weiss man es immer besser). Falls doch, was melden die ? 
> Falls du die Möglichkeit hast, boote ein Notsystem von CD und prüfe
> die MD5-Checksummen auf dem installierten System. Falls das nicht
> möglich ist, betrachte das System als kompromittiert.  

Die md5sums-Dateien der Debian-Pakete melden keine Besonderheiten, nur
/usr/lib/libtool wird bemängelt: die Datei wird bei der Installation
modifizert, aber die Prüfsumme nicht angepasst :-( 

Obwohl das Tool wirklich ein guter Platz wäre, sich fest ins System
einzugraben.

> Weitere Tools zum Auffinden von Würmen/Rootkits finden sich z.B. unter
> 
> http://packetstorm.widexs.nl/UNIX/IDS/

Nette Seite, hat gleich mein Netscape gekillt ...
aber für IDS wäre es jetzt auch etwas zu spät für diesen Rechner.

> http://www.ists.dartmouth.edu/IRIA/knowledge_base/tools/adorefind-0.2.0.tar.gz
> http://www.sans.org/y2k/ramen.htm

Die dort genutzen Sicherheitslücken sind doch hoffentlich bei Debian
seit Jahren gestopft ...

> http://jclemens.org/knark/knarkfinder.c

Kann ich leider nicht übersetzen (tausende Fehlermeldungen in den
Kernel-Includedateien)

> Google, sowie die seiteneigenen Suchmaschinen von www.sans.org und 
> www.securityfocus.com halten ausführliches über Rootkits und deren
> (mögliche) Entfernung parat. Allerdings würde ich, sofern ich ein

Zu rootkits habe ich da jede Menge gefunden, aber leider nichts zu
meinen Symptomen (ifconfig und netstat weg).

> Backup vor der Intrusion hätte, mich seelisch auf eine Neuinstallation
> von CD vorbereiten, diesmal Tripwire installieren und als erstes einrichten.

Debian von CD?

> Sorry für die Hiobsbotschaft, man verbessere mich falls ich paranoid
> erscheine.

Da ich keine weiteren Spuren eines Einbruchs finde, gehe ich diesmal
von einem Fehler beim Update aus. Es sei denn, ich würde von anderer
Seite ähnliches hören. 

Den Rechner nehme ich aber trotzdem solange mal Netz. Denn vielleicht
bin ich ja doch das Opfer eines genialen Superhackers geworden.

MfG, 
AxelD

-- 
Axel Dürrbaum / Universität Gh Kassel / FB 15 - RTS Regelungstechnik
Mönchebergstraße 7 / 34109 Kassel / Germany / Technik I/II / Raum 2602
phone:+49 561 804 3261  Email:axeld@rts.maschinenbau.uni-kassel.de

Reply to:

References:
- ifconfig und netstat verschwunden
  - From: Axel Duerrbaum <axeld@rts.maschinenbau.uni-kassel.de>
- Re: ifconfig und netstat verschwunden
  - From: Thomas Amm <tom@scannerphoto.de>

Prev by Date: Re: Geister-Dateien
Next by Date: Re: ifconfig und netstat verschwunden
Previous by thread: Re: ifconfig und netstat verschwunden
Next by thread: Re: ifconfig und netstat verschwunden
Index(es):
- Date
- Thread