Re: Apache macht komische Dinge

To: debian-user-german@lists.debian.org
Subject: Re: Apache macht komische Dinge
From: Frank Lorenzen <fisch@Fh-Worms.de>
Date: Mon, 23 Aug 2004 21:32:38 +0200
Message-id: <[🔎] 20040823193238.GA3636@venus.Linux-Lounge.IT.FH-Worms.DE>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 20040823185356.GB599@freenet.de>
References: <[🔎] 20040823182516.GA32688@venus.Linux-Lounge.IT.FH-Worms.DE> <[🔎] 20040823185356.GB599@freenet.de>

On Mon, Aug 23, 2004 at 08:53:56PM +0200, Michelle Konzack wrote:
> Hallo Frank, 
> 
> Am 2004-08-23 20:25:16, schrieb Frank Lorenzen:
[...]
> > ls: /usr/bin/X11/X: No such file or directory
> > sh: option `-c' requires an argument
> > ls: /usr/bin/X11/X: No such file or directory
> > sh: option `-c' requires an argument
> > ls: /usr/bin/X11/X: No such file or directory
> > ls: /usr/include/sdk386: No such file or directory
> > ls: /usr/bin/X11/X: No such file or directory
> > ls: /usr/include/sdk386: No such file or directory
> > ls: /usr/bin/X11/X: No such file or directory
> > --18:06:28--  http://xpire.info/cli.gz
> > => `/tmp/a.out'
> > Resolving xpire.info... done.
> > Connecting to xpire.info[202.99.23.162]:80... connected.
> > HTTP request sent, awaiting response... 200 OK
> > Length: 19,147 [text/plain]
> > 
> > 0K .......... ........                                   100%   20.04
> > KB/s
> 
> Du bist gehackt...

Das ist ja sehr schön daß mir das nach 7 Jahren Linux auch mal passiert.
Bisher hatte ich dieses Vergnügen noch nicht.
Darauf trink ich ein 'Tannenzäpfle'.

Trotzdem würde mich interessieren wie das zustande kam, denn eine lang
bekannte Sache kann das Ding ja wohl nicht sein sonst hätte das
Debian-Security-Team wohl in irgendeiner Weise reagiert.

> Schau Dir mal die cli.gz in einem Editor an... 
> (Es ist keine gnuzipdatei)
> 
> Mach das scheiß teil auf alle Fälle nicht executable...

Ich habe es mir zuhause heruntergeladen und mal mit file/ldd/strings
schnell drübergeschaut aber noch keine ernsthaften Versuche unternommen
zu sehen was es tut.

Wie gesagt, auf dem System das die Symptome zeigt war nichts zu finden.
Ich bin fast dabei zu glauben daß der Hack aus irgendeinem Grunde schief
ging.

Ich habe als temporären milchmädchen-Würgaround mal ausgehende
Verbindungen zu xpire.info gedropt. Da 'cli.gz' ja mehrmals
heruntergeladen wurde, mit jeweils unterschiedlicher Dateigröße, gehe
ich davon aus, daß an dem 'Tool' noch herumgeschraubt wird. Somit währe
zumindest für Stümper die aktualisierung unterbunden solange nicht der
Download-Server gewechselt wird.

Lieber währe mir allerdings ein apache der sich nicht dazu überreden
läßt Kommandos auszuführen.

> > Erstmalig aufgetreten ist das am 12.08. Vorher konnte ich keine Einträge
> > dieser Art feststellen.
> 
> > Das Einzige was ich mit google gefunden habe ist
> > 'http://www.imperialviolet.org/'. Die Jungs dort halten das ganze für
> > einen Hack der anderer Leute Leitungen floodet, hatten allerdings auch
> > "Reste" in '/tmp' und einen Prozess 'pra' auf einem tcp-Port.
> > Das hatte ich definitiv _nicht_. Weder einen zusätzlichen Port offen,
> > noch _irgendwas_ außer bekanntem in '/tmp'.
> 
> Vesuche den Sch... gerade zu disassembieren...
> Habe allerdings ein kleines Problem mit meiner amd64 Installation 
> und dem chroot...
> 
> > Any Hints?
> > 
> > 
> > PS: Nein, Sven. Nicht momo.
> > 
> > 
> > gruss
> > f
> 
> 
> Greetings
> Michelle

gruss
f

Reply to:

Follow-Ups:
- Re: Apache macht komische Dinge
  - From: Michelle Konzack <linux4michelle@freenet.de>

References:
- Apache macht komische Dinge
  - From: Frank Lorenzen <fisch@Fh-Worms.de>
- Re: Apache macht komische Dinge
  - From: Michelle Konzack <linux4michelle@freenet.de>

Prev by Date: [OT] Corel Draw auf Sarge
Next by Date: Re: [OT] Corel Draw auf Sarge
Previous by thread: Re: Apache macht komische Dinge
Next by thread: Re: Apache macht komische Dinge
Index(es):
- Date
- Thread