On Mon, Aug 23, 2004 at 08:53:56PM +0200, Michelle Konzack wrote: > Hallo Frank, > > Am 2004-08-23 20:25:16, schrieb Frank Lorenzen: [...] > > ls: /usr/bin/X11/X: No such file or directory > > sh: option `-c' requires an argument > > ls: /usr/bin/X11/X: No such file or directory > > sh: option `-c' requires an argument > > ls: /usr/bin/X11/X: No such file or directory > > ls: /usr/include/sdk386: No such file or directory > > ls: /usr/bin/X11/X: No such file or directory > > ls: /usr/include/sdk386: No such file or directory > > ls: /usr/bin/X11/X: No such file or directory > > --18:06:28-- http://xpire.info/cli.gz > > => `/tmp/a.out' > > Resolving xpire.info... done. > > Connecting to xpire.info[202.99.23.162]:80... connected. > > HTTP request sent, awaiting response... 200 OK > > Length: 19,147 [text/plain] > > > > 0K .......... ........ 100% 20.04 > > KB/s > > Du bist gehackt...
Das ist ja sehr sch�n da� mir das nach 7 Jahren Linux auch mal passiert. Bisher hatte ich dieses Vergn�gen noch nicht. Darauf trink ich ein 'Tannenz�pfle'. Trotzdem w�rde mich interessieren wie das zustande kam, denn eine lang bekannte Sache kann das Ding ja wohl nicht sein sonst h�tte das Debian-Security-Team wohl in irgendeiner Weise reagiert. > Schau Dir mal die cli.gz in einem Editor an... > (Es ist keine gnuzipdatei) > > Mach das schei� teil auf alle F�lle nicht executable... Ich habe es mir zuhause heruntergeladen und mal mit file/ldd/strings schnell dr�bergeschaut aber noch keine ernsthaften Versuche unternommen zu sehen was es tut. Wie gesagt, auf dem System das die Symptome zeigt war nichts zu finden. Ich bin fast dabei zu glauben da� der Hack aus irgendeinem Grunde schief ging. Ich habe als tempor�ren milchm�dchen-W�rgaround mal ausgehende Verbindungen zu xpire.info gedropt. Da 'cli.gz' ja mehrmals heruntergeladen wurde, mit jeweils unterschiedlicher Dateigr��e, gehe ich davon aus, da� an dem 'Tool' noch herumgeschraubt wird. Somit w�hre zumindest f�r St�mper die aktualisierung unterbunden solange nicht der Download-Server gewechselt wird. Lieber w�hre mir allerdings ein apache der sich nicht dazu �berreden l��t Kommandos auszuf�hren. > > Erstmalig aufgetreten ist das am 12.08. Vorher konnte ich keine Eintr�ge > > dieser Art feststellen. > > > Das Einzige was ich mit google gefunden habe ist > > 'http://www.imperialviolet.org/'. Die Jungs dort halten das ganze f�r > > einen Hack der anderer Leute Leitungen floodet, hatten allerdings auch > > "Reste" in '/tmp' und einen Prozess 'pra' auf einem tcp-Port. > > Das hatte ich definitiv _nicht_. Weder einen zus�tzlichen Port offen, > > noch _irgendwas_ au�er bekanntem in '/tmp'. > > Vesuche den Sch... gerade zu disassembieren... > Habe allerdings ein kleines Problem mit meiner amd64 Installation > und dem chroot... > > > Any Hints? > > > > > > PS: Nein, Sven. Nicht momo. > > > > > > gruss > > f > > > Greetings > Michelle gruss f -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
