Am Sonntag, 22. Januar 2006 10:56 schrieb Joern Seemann: > On Sat, 21 Jan 2006 14:55:07 +0100, Claus Malter wrote: > > Und in der Tat 'tar' ist "kaputt": > > > > # tar > > Segmentation fault > > > > Ich kann nicht abschätzen, was alles nicht geht. Aber ein 'ls -l' z.B > > nicht (Segmentation fault), aber ein normales 'ls -a' schon. > > Wenn der Rechner aus dem Internet erreichbar ist, solltest Du > anschließend chkrootkit und rkhunter drüberlaufen lassen. Das ganze > klingt irgendwie verdächtig.
Hmm... das wäre ein komisches Rootkit... ls durch ein imkompatibel gelinktes Binary zu ersetzen ist schon eine Leistung (\Rightarrow criminal braindead scriptkiddie), warum es dann ls -a tut und tar mit segfault endet (Warum ersetzt man auch tar, wenn man schon ls ersetzt hat - und das noch falsch gelinkt (\Rightarrow criminal braindead scriptkiddie), macht die Sache schon relativ unwahrscheinlich. Bliebe noch ein Austausch der libc - aber mir ist kein rootkit bekannt, dass so etwas wirklich durchzieht. Nun könnte das Rootkit theo. noch auf Kernel/FS-Ebene sitzen, dann würde aber kaum ein simpler tar Aufruf (ohne I/O) mit einem segfault abbrechen, wenn das rootkit korrekt arbeitet. (\Rightarrow criminal braindead scriptkiddie) Wenn das FS auch inkompatibel gelinkt wäre, würdest du mehr sehen, als segfaults ;). Denkbar wäre auch ein Rootkit, dass irgendwas mit dem Speicher anstellt, aber das würde sich bei diesem vorgehen mit der Brechstange wahrscheinlich durch Kernel Panics aufmerksam machen (vgl. Rootkit auf den Debian Server 2004 - habe dessen Namen leider vergessen). Also wurde das System entweder von einem "H4xor" kompromittiert (chkrootkit, rkhunter Sinn, dd | gzip | dd ebenfalls ratsam - Rootkits sollten eher dunkle Nischen und keine Festagsbeleuchtung für Aktivitäten sein.). Ich vermute aber eher entweder eine Kompromittierung in Form einer Zerstörung, (libs gelöscht - falls überhaupt.). oder eine Kompromittierung ohne dritte - da glaube ich schon fast dran. Keep smiling yanosz
