Re: su: illegal instruction
On Tuesday 17 February 2004 23:14, Andreas Schmidt wrote:
> Hallo,
>
> hab mich gerade auf dem anderen Rechner hier per ssh eingeloggt, wollte
> dann User wechseln, und bekam als Antwort:
>
> andy@stralsunder-10:~$ su
> Illegal instruction
Wie schon von Sven Hartge erwaehnt, es riecht nach einem Rootkit.
Jenachdem wie geschickt sich die Angreifer anstellen/angestellt haben (falls
es denn welche sind) liefern vielleicht folgende Sachen nen paar Infos:
- log files checken: wann fangen sie an? gibt es luecken (z.B. von 14:00-18:00
Uhr nix geloggt)
- was sagt last? wann faengt es an?
- bash history von root checken.
- mal nach Verzeichnissen mit komischen Namen (wie z.B. ... (drei punkte),
< leerzeichen> (find / -name "*\ "), usw.) suchen.
- Aenderungszeiten von Systemprogrammen wie ls, find, netstat, ps, login,
passwd ... angucken.
- netstsat -taup Ausgabe untersuchen, gibt es komische Verbindungen?
- chkrootkit installieren und laufen lassen.
Diese Tips sind natuerlich mit nichten verlaesslich, falls das System wirklich
kompromittiert ist, da dann ggf. Systemprogramme ausgetauscht wurden
und einem irgendwas vorgaukeln oder schlimmer LKM-Rootkits am Werk sind, und
schon auf Kernel Ebene Sachen versteckt werden.
basti
Reply to: