Re: Fehlerhaftes System nach apt-get dist-upgrade / Segmentation fault

To: debian-user-german@lists.debian.org
Subject: Re: Fehlerhaftes System nach apt-get dist-upgrade / Segmentation fault
From: Claus Malter <debian@sprayen.de>
Date: Sun, 22 Jan 2006 14:37:32 +0100
Message-id: <[🔎] 43D38A9C.2040504@sprayen.de>
In-reply-to: <[🔎] 200601221336.34688.listen@stephan.homeunix.net>
References: <[🔎] 43D23D3B.4020001@sprayen.de> <[🔎] pan.2006.01.22.09.56.46.275372@aumund.org> <[🔎] 200601221336.34688.listen@stephan.homeunix.net>

Hallo,

jetzt mal TOFU, weil du doch sehr viel geschrieben hast ;)

Also ich habe die Rootkit Scanner nicht innerhalb Knoppix ausgeführt.
Aber ich würde gerne ausschliessen, dass es sich um ein Rootkit handelt.
Insofern werde ich dem weiter nachgehen.

Jedoch bleibt denn nicht die Möglichkeit, dass sich beim dist-upgrade
das System selbst in eine Sackgasse befördert hat (in diesem Fall tar
nicht mehr funktionierte -> folglich apt und dpkg dahin)?
Zumindest war es nicht ganz vernünftig von mir das dist-upgrade im
Runlevel 2 durchzuführen.

Gruß, Claus

Jan Luehr wrote:
> Am Sonntag, 22. Januar 2006 10:56 schrieb Joern Seemann:
>> On Sat, 21 Jan 2006 14:55:07 +0100, Claus Malter wrote:
>>> Und in der Tat 'tar' ist "kaputt":
>>>
>>> # tar
>>> Segmentation fault
>>>
>>> Ich kann nicht abschätzen, was alles nicht geht. Aber ein 'ls -l' z.B
>>> nicht (Segmentation fault), aber ein normales 'ls -a' schon.
>> Wenn der Rechner aus dem Internet erreichbar ist, solltest Du
>> anschließend chkrootkit und rkhunter drüberlaufen lassen. Das ganze
>> klingt irgendwie verdächtig.
> 
> Hmm... das wäre ein komisches Rootkit... 
> ls durch ein imkompatibel gelinktes Binary zu ersetzen ist schon eine Leistung 
> (\Rightarrow criminal braindead scriptkiddie), warum es dann ls -a tut und 
> tar mit segfault endet (Warum ersetzt man auch tar, wenn man schon ls ersetzt 
> hat - und das noch falsch gelinkt (\Rightarrow criminal braindead 
> scriptkiddie), macht die Sache schon relativ unwahrscheinlich.
> Bliebe noch ein Austausch der libc - aber mir ist kein rootkit bekannt, dass 
> so etwas wirklich durchzieht.
> Nun könnte das Rootkit theo. noch auf Kernel/FS-Ebene sitzen, dann würde aber 
> kaum ein simpler tar Aufruf (ohne I/O) mit einem segfault abbrechen, wenn das 
> rootkit korrekt arbeitet. (\Rightarrow criminal braindead scriptkiddie)  Wenn 
> das FS auch inkompatibel gelinkt wäre, würdest du mehr sehen, als 
> segfaults ;). Denkbar wäre auch ein Rootkit, dass irgendwas mit dem Speicher 
> anstellt, aber das würde sich bei diesem vorgehen mit der Brechstange 
> wahrscheinlich durch Kernel Panics aufmerksam machen (vgl. Rootkit auf den 
> Debian Server 2004 - habe dessen Namen leider vergessen).
> 
> Also wurde das System entweder von einem "H4xor" kompromittiert (chkrootkit, 
> rkhunter Sinn, dd | gzip | dd ebenfalls ratsam - Rootkits sollten eher dunkle 
> Nischen und keine Festagsbeleuchtung für Aktivitäten sein.). Ich vermute aber 
> eher entweder eine Kompromittierung in Form einer Zerstörung, (libs gelöscht 
> - falls überhaupt.). oder eine Kompromittierung ohne dritte - da glaube ich 
> schon fast dran.
> 
> Keep smiling
> yanosz
> 

-- 
Claus Malter <debian@sprayen.de>
Blog: http://claus.freakempire.de
Web:  http://freakempire.de
ICQ:  105226435
GnuPG-ID: 0x6219B1B9 http://wwwkeys.de.pgp.net

Reply to:

References:
- Fehlerhaftes System nach apt-get dist-upgrade / Segmentation fault
  - From: Claus Malter <debian@sprayen.de>
- Re: Fehlerhaftes System nach apt-get dist-upgrade / Segmentation fault
  - From: Joern Seemann <joern@aumund.org>
- Re: Fehlerhaftes System nach apt-get dist-upgrade / Segmentation fault
  - From: Jan Luehr <listen@stephan.homeunix.net>

Prev by Date: Re: 1x Firefox starten ergibt 5x Firefox in der Prozessliste?!?
Next by Date: nfs fehler?
Previous by thread: Re: Fehlerhaftes System nach apt-get dist-upgrade / Segmentation fault
Next by thread: probleme mit kbd, utf-8 und unicode_start
Index(es):
- Date
- Thread