Re: Fehlerhaftes System nach apt-get dist-upgrade / Segmentation fault
Am Sonntag, 22. Januar 2006 10:56 schrieb Joern Seemann:
> On Sat, 21 Jan 2006 14:55:07 +0100, Claus Malter wrote:
> > Und in der Tat 'tar' ist "kaputt":
> >
> > # tar
> > Segmentation fault
> >
> > Ich kann nicht abschätzen, was alles nicht geht. Aber ein 'ls -l' z.B
> > nicht (Segmentation fault), aber ein normales 'ls -a' schon.
>
> Wenn der Rechner aus dem Internet erreichbar ist, solltest Du
> anschließend chkrootkit und rkhunter drüberlaufen lassen. Das ganze
> klingt irgendwie verdächtig.
Hmm... das wäre ein komisches Rootkit...
ls durch ein imkompatibel gelinktes Binary zu ersetzen ist schon eine Leistung
(\Rightarrow criminal braindead scriptkiddie), warum es dann ls -a tut und
tar mit segfault endet (Warum ersetzt man auch tar, wenn man schon ls ersetzt
hat - und das noch falsch gelinkt (\Rightarrow criminal braindead
scriptkiddie), macht die Sache schon relativ unwahrscheinlich.
Bliebe noch ein Austausch der libc - aber mir ist kein rootkit bekannt, dass
so etwas wirklich durchzieht.
Nun könnte das Rootkit theo. noch auf Kernel/FS-Ebene sitzen, dann würde aber
kaum ein simpler tar Aufruf (ohne I/O) mit einem segfault abbrechen, wenn das
rootkit korrekt arbeitet. (\Rightarrow criminal braindead scriptkiddie) Wenn
das FS auch inkompatibel gelinkt wäre, würdest du mehr sehen, als
segfaults ;). Denkbar wäre auch ein Rootkit, dass irgendwas mit dem Speicher
anstellt, aber das würde sich bei diesem vorgehen mit der Brechstange
wahrscheinlich durch Kernel Panics aufmerksam machen (vgl. Rootkit auf den
Debian Server 2004 - habe dessen Namen leider vergessen).
Also wurde das System entweder von einem "H4xor" kompromittiert (chkrootkit,
rkhunter Sinn, dd | gzip | dd ebenfalls ratsam - Rootkits sollten eher dunkle
Nischen und keine Festagsbeleuchtung für Aktivitäten sein.). Ich vermute aber
eher entweder eine Kompromittierung in Form einer Zerstörung, (libs gelöscht
- falls überhaupt.). oder eine Kompromittierung ohne dritte - da glaube ich
schon fast dran.
Keep smiling
yanosz
Reply to: