On 22 Feb 2002 09:36:44 +0100 Axel Duerrbaum <[EMAIL PROTECTED]> wrote:
> Moin, > > bei meinem meiner Potato-Systeme musste ich eben feststellen, das die > Programme netstat und ifconfig pl�tzlich verschwunden sind. > > Sie lagen weder in /bin bzw. /sbin noch konnte "dpgk -S" sie finden. > > Ist das beim letzten Update (ftp.de.debian.org und > security.debian.org) vorgestern passiert oder hat sich da jemand an > dem System zu schaffen gemacht? > > Bin etwas ratlos ... und hoffenlich nicht gehackt worden. Sieht aber stark danach aus; st�rker geht eigentlich nicht. Eine derart brachiale Intrusion k�nnte sich mit chkrootkit aufdecken lassen. Was sagen die Logs ? Im Mailarchiv von debian-security wirst du etliche F�lle derartiger Rootkit?-Intrusions finden, oftmals genau dokumentiert, vom Anfangsverdacht bis zum Auffinden des Mistst�cks. Sieh auch sofort nach, ob /var/log/syslog seltsame Eintr�ge oder L�cken bei den Timestamps zeigt. Glaube vor allem nicht, die Sache h�tte sich erledigt wenn ifconfig und netstat "pl�tzlich" wieder da sind, das sind wom�glich Trojaner. Tripwire oder Tiger waren vermutlich nicht installiert ? (hinterher weiss man es immer besser). Falls doch, was melden die ? Falls du die M�glichkeit hast, boote ein Notsystem von CD und pr�fe die MD5-Checksummen auf dem installierten System. Falls das nicht m�glich ist, betrachte das System als kompromittiert. Weitere Tools zum Auffinden von W�rmen/Rootkits finden sich z.B. unter http://packetstorm.widexs.nl/UNIX/IDS/ http://www.ists.dartmouth.edu/IRIA/knowledge_base/tools/adorefind-0.2.0.tar.gz http://www.sans.org/y2k/ramen.htm http://jclemens.org/knark/knarkfinder.c Google, sowie die seiteneigenen Suchmaschinen von www.sans.org und www.securityfocus.com halten ausf�hrliches �ber Rootkits und deren (m�gliche) Entfernung parat. Allerdings w�rde ich, sofern ich ein Backup vor der Intrusion h�tte, mich seelisch auf eine Neuinstallation von CD vorbereiten, diesmal Tripwire installieren und als erstes einrichten. Sorry f�r die Hiobsbotschaft, man verbessere mich falls ich paranoid erscheine. -- Last login Tue Feb 19 00:52 (CET) on tty1 No mail. No Plan. -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
