'su' schaut nach 150 versch. binaries im pfad
Moin,
auf zwei meiner Rechnern habe ich beobachtet, das sich "su" (login
1:4.0.3-30.9) etwas absurd verhaelt (und als Nebeneffekt schneckenlahm
ist). Beim Aufruf von su wird nach ~ 150 binaries in $PATH gesucht. Es
ist eine statische Liste von Programmen (von ifconfig ueber xterm bis
xmms) die nix mit dem zu tun hat, was auf den Systemen vorhanden ist.
Es wird einfach geschaut, ob das entsprechende executable vorhanden ist
oder nicht.
Bsp (mal nur auf /usr/local/bin geschaut. Alle ~150 binaries werden in
jedem $PATH eintrag gesucht):
| root@gnip:~# strace -o /tmp/su.strace su
| root@gnip:~# grep \/usr\/local\/bin /tmp/su.strace | cut -d, -f 1 |
uniq | wc -l
| 150
| root@gnip:~# grep \/usr\/local\/bin /tmp/su.strace | cut -d, -f 1 |
uniq
|
| stat64("/usr/local/bin/mesg"
| stat64("/usr/local/bin/ifconfig"
| stat64("/usr/local/bin/service"
| stat64("/usr/local/bin/rmmod"
| stat64("/usr/local/bin/ifconfig"
| stat64("/usr/local/bin/iwconfig"
| stat64("/usr/local/bin/ifup"
| stat64("/usr/local/bin/ifstatus"
| stat64("/usr/local/bin/ipsec"
| [...]
| stat64("/usr/local/bin/objcopy"
| stat64("/usr/local/bin/objdump"
| stat64("/usr/local/bin/readelf"
| stat64("/usr/local/bin/strip"
| stat64("/usr/local/bin/bison"
| [...]
Ich habe das auf zwei Rechnern beobachtet, auf anderen Rechnern
hingegen ist dies nicht zu beobachten. Die md5's von su stimmen mit dem
aus dem Debian-Paket ueberein. Hat jemand dies Verhalten schonmal
gesehen (sieht ein wenig nach Trojaner aus, dann muessten diese aber
auf beiden Rechnern vorhanden sein und die md5's duerften auch nicht
mehr stimmen).
gruesse und vielen Dank,
felix
--
gpg-fingerprint: 076E 1E87 3E05 1C7F B1A0 8A48 0D31 9BD3 D9AC 74D0
http://fkr.hazardous.org | http://opendarwin.org/~fkr/
| FKR-RIPE
Reply to: