Re: Fehlerhaftes System nach apt-get dist-upgrade / Segmentation fault

To: debian-user-german@lists.debian.org
Subject: Re: Fehlerhaftes System nach apt-get dist-upgrade / Segmentation fault
From: Jan Luehr <listen@stephan.homeunix.net>
Date: Sun, 22 Jan 2006 13:36:34 +0100
Message-id: <[🔎] 200601221336.34688.listen@stephan.homeunix.net>
In-reply-to: <[🔎] pan.2006.01.22.09.56.46.275372@aumund.org>
References: <[🔎] 43D23D3B.4020001@sprayen.de> <[🔎] pan.2006.01.22.09.56.46.275372@aumund.org>

Am Sonntag, 22. Januar 2006 10:56 schrieb Joern Seemann:
> On Sat, 21 Jan 2006 14:55:07 +0100, Claus Malter wrote:
> > Und in der Tat 'tar' ist "kaputt":
> >
> > # tar
> > Segmentation fault
> >
> > Ich kann nicht abschätzen, was alles nicht geht. Aber ein 'ls -l' z.B
> > nicht (Segmentation fault), aber ein normales 'ls -a' schon.
>
> Wenn der Rechner aus dem Internet erreichbar ist, solltest Du
> anschließend chkrootkit und rkhunter drüberlaufen lassen. Das ganze
> klingt irgendwie verdächtig.

Hmm... das wäre ein komisches Rootkit... 
ls durch ein imkompatibel gelinktes Binary zu ersetzen ist schon eine Leistung 
(\Rightarrow criminal braindead scriptkiddie), warum es dann ls -a tut und 
tar mit segfault endet (Warum ersetzt man auch tar, wenn man schon ls ersetzt 
hat - und das noch falsch gelinkt (\Rightarrow criminal braindead 
scriptkiddie), macht die Sache schon relativ unwahrscheinlich.
Bliebe noch ein Austausch der libc - aber mir ist kein rootkit bekannt, dass 
so etwas wirklich durchzieht.
Nun könnte das Rootkit theo. noch auf Kernel/FS-Ebene sitzen, dann würde aber 
kaum ein simpler tar Aufruf (ohne I/O) mit einem segfault abbrechen, wenn das 
rootkit korrekt arbeitet. (\Rightarrow criminal braindead scriptkiddie)  Wenn 
das FS auch inkompatibel gelinkt wäre, würdest du mehr sehen, als 
segfaults ;). Denkbar wäre auch ein Rootkit, dass irgendwas mit dem Speicher 
anstellt, aber das würde sich bei diesem vorgehen mit der Brechstange 
wahrscheinlich durch Kernel Panics aufmerksam machen (vgl. Rootkit auf den 
Debian Server 2004 - habe dessen Namen leider vergessen).

Also wurde das System entweder von einem "H4xor" kompromittiert (chkrootkit, 
rkhunter Sinn, dd | gzip | dd ebenfalls ratsam - Rootkits sollten eher dunkle 
Nischen und keine Festagsbeleuchtung für Aktivitäten sein.). Ich vermute aber 
eher entweder eine Kompromittierung in Form einer Zerstörung, (libs gelöscht 
- falls überhaupt.). oder eine Kompromittierung ohne dritte - da glaube ich 
schon fast dran.

Keep smiling
yanosz

Reply to:

Follow-Ups:
- Re: Fehlerhaftes System nach apt-get dist-upgrade / Segmentation fault
  - From: Claus Malter <debian@sprayen.de>

References:
- Fehlerhaftes System nach apt-get dist-upgrade / Segmentation fault
  - From: Claus Malter <debian@sprayen.de>
- Re: Fehlerhaftes System nach apt-get dist-upgrade / Segmentation fault
  - From: Joern Seemann <joern@aumund.org>

Prev by Date: Re: Fehlerhaftes System nach apt-get dist-upgrade / Segmentation fault
Next by Date: Re: Fehlerhaftes System nach apt-get dist-upgrade / Segmentation fault
Previous by thread: Re: Fehlerhaftes System nach apt-get dist-upgrade / Segmentation fault
Next by thread: Re: Fehlerhaftes System nach apt-get dist-upgrade / Segmentation fault
Index(es):
- Date
- Thread