On Mon, Aug 23, 2004 at 08:53:56PM +0200, Michelle Konzack wrote: > Hallo Frank, > > Am 2004-08-23 20:25:16, schrieb Frank Lorenzen: [...] > > ls: /usr/bin/X11/X: No such file or directory > > sh: option `-c' requires an argument > > ls: /usr/bin/X11/X: No such file or directory > > sh: option `-c' requires an argument > > ls: /usr/bin/X11/X: No such file or directory > > ls: /usr/include/sdk386: No such file or directory > > ls: /usr/bin/X11/X: No such file or directory > > ls: /usr/include/sdk386: No such file or directory > > ls: /usr/bin/X11/X: No such file or directory > > --18:06:28-- http://xpire.info/cli.gz > > => `/tmp/a.out' > > Resolving xpire.info... done. > > Connecting to xpire.info[202.99.23.162]:80... connected. > > HTTP request sent, awaiting response... 200 OK > > Length: 19,147 [text/plain] > > > > 0K .......... ........ 100% 20.04 > > KB/s > > Du bist gehackt...
Das ist ja sehr schön daß mir das nach 7 Jahren Linux auch mal passiert. Bisher hatte ich dieses Vergnügen noch nicht. Darauf trink ich ein 'Tannenzäpfle'. Trotzdem würde mich interessieren wie das zustande kam, denn eine lang bekannte Sache kann das Ding ja wohl nicht sein sonst hätte das Debian-Security-Team wohl in irgendeiner Weise reagiert. > Schau Dir mal die cli.gz in einem Editor an... > (Es ist keine gnuzipdatei) > > Mach das scheiß teil auf alle Fälle nicht executable... Ich habe es mir zuhause heruntergeladen und mal mit file/ldd/strings schnell drübergeschaut aber noch keine ernsthaften Versuche unternommen zu sehen was es tut. Wie gesagt, auf dem System das die Symptome zeigt war nichts zu finden. Ich bin fast dabei zu glauben daß der Hack aus irgendeinem Grunde schief ging. Ich habe als temporären milchmädchen-Würgaround mal ausgehende Verbindungen zu xpire.info gedropt. Da 'cli.gz' ja mehrmals heruntergeladen wurde, mit jeweils unterschiedlicher Dateigröße, gehe ich davon aus, daß an dem 'Tool' noch herumgeschraubt wird. Somit währe zumindest für Stümper die aktualisierung unterbunden solange nicht der Download-Server gewechselt wird. Lieber währe mir allerdings ein apache der sich nicht dazu überreden läßt Kommandos auszuführen. > > Erstmalig aufgetreten ist das am 12.08. Vorher konnte ich keine Einträge > > dieser Art feststellen. > > > Das Einzige was ich mit google gefunden habe ist > > 'http://www.imperialviolet.org/'. Die Jungs dort halten das ganze für > > einen Hack der anderer Leute Leitungen floodet, hatten allerdings auch > > "Reste" in '/tmp' und einen Prozess 'pra' auf einem tcp-Port. > > Das hatte ich definitiv _nicht_. Weder einen zusätzlichen Port offen, > > noch _irgendwas_ außer bekanntem in '/tmp'. > > Vesuche den Sch... gerade zu disassembieren... > Habe allerdings ein kleines Problem mit meiner amd64 Installation > und dem chroot... > > > Any Hints? > > > > > > PS: Nein, Sven. Nicht momo. > > > > > > gruss > > f > > > Greetings > Michelle gruss f -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)