Suckit Backdoor und Debian

[Thomas Stahl]

Hallo Leute!   Ich wollte euch nurmal vor dem Backdoor-Wurm Suckit warnen. Diesen hatte ich nämlich letztens auf meinem System. Wie der Wurm auf mein System kam, weiß ich nicht genau (vielleicht sshd- oder apache-bug). Er installiert sich als /sbin/init und verschiebt das echte init nach /sbin/initxxxx (wobei xxxx beliebige Zeichen sind). Das Teil scheint einen Bug in einem älteren 2.4er Kernel auszunutzen, lässt sich beim Booten starten und startet dann mit Hilfe dieses Bug das echte init mit der PID 1, mit der init ja auch gewöhnlich läuft. Dieses Suckit versucht sich in den Kernel zu installieren und eröffnet dann ein permanentes Backdoor (mit root-Rechten). Zum Glück hatte ich den 2.4.20er auf meinem System, so dass Suckit nicht richtig funktuniert hat. Bemerkt hab ich es zum ersten mal, als ganz merkwürdige Kernel-Errors auf der Konsole erschienen vonwegen ungültiger Zugriff auf eine virtuelle Speicherseite gefolgt von einer "FUCK: ....."-Meldung. Dummerweise hab ich das System dann neugestartet, und da anscheinend im 2.4.20 der o.g. Bug behoben wurde, konnte das echte init nicht mehr ausgeführt werden, also hat nurnoch der Kernel gebootet, das init hat aber nix mehr gemacht. Am besten man bootet dann mit dem lilo-Promt "vmlinuz init=/bin/sh", bekommt nach dem Kernel eine Root-Shell und kopiert das /sbin/initxxxx wieder nach /sbin/init bzw. installiert sich das sysvinit-Package neu "apt-get --reinstall install sysvinit"..wenn dann nicht mehr am System verschossen wurde, läuft der rechner danach wieder einwandfrei...   Ich hoffe ich konnte mit meiner Mail helfen...   Viele Grüße, Thomas