Hallo Leute!
Ich wollte euch nurmal vor dem Backdoor-Wurm Suckit
warnen. Diesen hatte ich nämlich letztens auf meinem System. Wie der Wurm auf
mein System kam, weiß ich nicht genau (vielleicht sshd- oder apache-bug). Er
installiert sich als /sbin/init und verschiebt das echte init nach
/sbin/init (wobei beliebige Zeichen sind). Das Teil scheint einen Bug
in einem älteren 2.4er Kernel auszunutzen, lässt sich beim Booten starten und
startet dann mit Hilfe dieses Bug das echte init mit der PID 1, mit der init ja
auch gewöhnlich läuft. Dieses Suckit versucht sich in den Kernel zu installieren
und eröffnet dann ein permanentes Backdoor (mit root-Rechten).
Zum Glück hatte ich den 2.4.20er auf meinem System,
so dass Suckit nicht richtig funktuniert hat. Bemerkt hab ich es zum ersten mal,
als ganz merkwürdige Kernel-Errors auf der Konsole erschienen vonwegen
ungültiger Zugriff auf eine virtuelle Speicherseite gefolgt von einer "FUCK:
."-Meldung. Dummerweise hab ich das System dann neugestartet, und da
anscheinend im 2.4.20 der o.g. Bug behoben wurde, konnte das echte init nicht
mehr ausgeführt werden, also hat nurnoch der Kernel gebootet, das init hat aber
nix mehr gemacht. Am besten man bootet dann mit dem lilo-Promt "vmlinuz
init=/bin/sh", bekommt nach dem Kernel eine Root-Shell undkopiert das
/sbin/init wieder nach /sbin/initbzw. installiert sich das
sysvinit-Package neu "apt-get --reinstall install sysvinit"..wenn dann nicht
mehr am System verschossen wurde, läuft der rechner danach wieder
einwandfrei...
Ich hoffe ich konnte mit meiner Mail
helfen...
Viele Grüße,
Thomas