ja hallo erstmal,.. Am Montag, 9. Juni 2003 10:00 schrieb Thomas Stahl:
> Ich wollte euch nurmal vor dem Backdoor-Wurm Suckit warnen. Diesen hatte > ich nämlich letztens auf meinem System. Wie der Wurm auf mein System kam, > weiß ich nicht genau (vielleicht sshd- oder apache-bug). Er installiert > sich als /sbin/init und verschiebt das echte init nach /sbin/initxxxx > (wobei xxxx beliebige Zeichen sind). Das Teil scheint einen Bug in einem > älteren 2.4er Kernel auszunutzen, lässt sich beim Booten starten und > startet dann mit Hilfe dieses Bug das echte init mit der PID 1, mit der > init ja auch gewöhnlich läuft. Dieses Suckit versucht sich in den Kernel zu > installieren und eröffnet dann ein permanentes Backdoor (mit root-Rechten). > Zum Glück hatte ich den 2.4.20er auf meinem System, so dass Suckit nicht > richtig funktuniert hat. Bemerkt hab ich es zum ersten mal, als ganz > merkwürdige Kernel-Errors auf der Konsole erschienen vonwegen ungültiger > Zugriff auf eine virtuelle Speicherseite gefolgt von einer "FUCK: > ....."-Meldung. Dummerweise hab ich das System dann neugestartet, und da > anscheinend im 2.4.20 der o.g. Bug behoben wurde, konnte das echte init > nicht mehr ausgeführt werden, also hat nurnoch der Kernel gebootet, das > init hat aber nix mehr gemacht. Am besten man bootet dann mit dem > lilo-Promt "vmlinuz init=/bin/sh", bekommt nach dem Kernel eine Root-Shell > und kopiert das /sbin/initxxxx wieder nach /sbin/init bzw. installiert sich > das sysvinit-Package neu "apt-get --reinstall install sysvinit"..wenn dann > nicht mehr am System verschossen wurde, läuft der rechner danach wieder > einwandfrei... danke, passt, da gerade vor kurzem das Problem mit dem 2.4.18 behoben worde. Obligatorisch sei auf http://www.chkrootkit.org/ das u.a. auch diesen Wurm entdecken kann. Keep smiling yanosz -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
