Re: ifconfig und netstat verschwunden

To: debian-user-german@lists.debian.org
Subject: Re: ifconfig und netstat verschwunden
From: Thomas Amm <tom@scannerphoto.de>
Date: Fri, 22 Feb 2002 13:17:29 +0100
Message-id: <[🔎] 20020222131729.4a0a0181.tom@scannerphoto.de>
In-reply-to: <[🔎] m0it8pap5v.fsf@rts-pc1.rts.maschinenbau.uni-kassel.de>
References: <[🔎] m0it8pap5v.fsf@rts-pc1.rts.maschinenbau.uni-kassel.de>

On 22 Feb 2002 09:36:44 +0100
Axel Duerrbaum <axeld@rts.maschinenbau.uni-kassel.de> wrote:

> Moin,
> 
> bei meinem meiner Potato-Systeme musste ich eben feststellen, das die
> Programme netstat und ifconfig plötzlich verschwunden sind. 
> 
> Sie lagen weder in /bin bzw. /sbin noch konnte "dpgk -S" sie finden.
> 
> Ist das beim letzten Update (ftp.de.debian.org und
> security.debian.org) vorgestern passiert oder hat sich da jemand an
> dem System zu schaffen gemacht?
> 
> Bin etwas ratlos ... und hoffenlich nicht gehackt worden.

Sieht aber stark danach aus; stärker geht eigentlich nicht. 

Eine derart brachiale Intrusion könnte sich mit chkrootkit aufdecken lassen.
Was sagen die Logs ? Im Mailarchiv von debian-security wirst du etliche
Fälle derartiger Rootkit?-Intrusions finden, oftmals genau dokumentiert,
vom Anfangsverdacht bis zum Auffinden des Miststücks.
Sieh auch sofort nach, ob /var/log/syslog seltsame Einträge oder Lücken
bei den Timestamps zeigt. Glaube vor allem nicht, die Sache hätte sich erledigt
wenn ifconfig und netstat "plötzlich" wieder da sind, das sind womöglich
Trojaner. Tripwire oder Tiger waren vermutlich nicht installiert ?
(hinterher weiss man es immer besser). Falls doch, was melden die ? 
Falls du die Möglichkeit hast, boote ein Notsystem von CD und prüfe
die MD5-Checksummen auf dem installierten System. Falls das nicht
möglich ist, betrachte das System als kompromittiert.  

Weitere Tools zum Auffinden von Würmen/Rootkits finden sich z.B. unter

http://packetstorm.widexs.nl/UNIX/IDS/
http://www.ists.dartmouth.edu/IRIA/knowledge_base/tools/adorefind-0.2.0.tar.gz
http://www.sans.org/y2k/ramen.htm
http://jclemens.org/knark/knarkfinder.c

Google, sowie die seiteneigenen Suchmaschinen von www.sans.org und 
www.securityfocus.com halten ausführliches über Rootkits und deren
(mögliche) Entfernung parat. Allerdings würde ich, sofern ich ein
Backup vor der Intrusion hätte, mich seelisch auf eine Neuinstallation
von CD vorbereiten, diesmal Tripwire installieren und als erstes einrichten.

Sorry für die Hiobsbotschaft, man verbessere mich falls ich paranoid erscheine.

-- 
Last login Tue Feb 19 00:52 (CET) on tty1
No mail.
No Plan.

Reply to:

Follow-Ups:
- Re: ifconfig und netstat verschwunden
  - From: Axel Duerrbaum <axeld@rts.maschinenbau.uni-kassel.de>

References:
- ifconfig und netstat verschwunden
  - From: Axel Duerrbaum <axeld@rts.maschinenbau.uni-kassel.de>

Prev by Date: Re: Python und GTK Programierung
Next by Date: Re: Geister-Dateien
Previous by thread: ifconfig und netstat verschwunden
Next by thread: Re: ifconfig und netstat verschwunden
Index(es):
- Date
- Thread