t0rnkit ...
Markus Wigge
markus.wigge at omp.de
Wed Feb 13 20:55:04 CET 2002
Tag,
ich habe auf einer mitlerweile ausgetauschten Maschine deutliche
Spuren des t0rn Root-Kits gefunden.
Mir ist auch ungefähr bekannt ab wann der Einbruch auf die Maschine
stattgefunden haben muß, nur noch nicht ganz wie.
Mein Verdacht ist momentan eine alte Version des wu.ftpd, nur weiß
ich nicht wie und woran ich das genau fest machen kann...
Gibt es irgendeine Strategie herauszufinden von wo ein Einbruch
letztendlich erfolgt ist?
Es war eine nicht ganz aktuelle Fassung der SuSE 5.3 ;-)
Das Glück an der Sache war das auf dieser SuSE (vermutlich wg.
Libraryproblemen) die ausgetauschten Systemtools (ls, ps, login ...)
nicht liefen (Segfault). Dadurch war die Kiste von außen quasi gar
nicht mehr erreichbar (wohl auch für den Angreifer).
Beispiel eines Loginversuchs:
markus at gandalf:~> ssh root@???????
root@?????'s password:
Warning: Remote host denied X11 forwarding, perhaps xauth program could not
be run on the server side.
/usr/sbin/sshd: error in loading shared libraries: /usr/sbin/sshd: symbol
updwtmpx, version GLIBC_2.1 not defined in file libc.so.6 with link
time reference
Connection to ?????? closed.
Für Tipps wonach ich im Dateisystem der alten Möhre noch suchen kann
wär ich sehr dankbar ... Hab das ganze Zeug in einem sauberen
Rechner gemountet und hangel mich grade durch die logs.
Mit freundlichen Grüßen
Markus Wigge
--
Markus Wigge omp computer gmbh voice +49 5251 15098-124
markus.wigge at omp.de Nordstraße 21 fax +49 5251 15098-190
Systemadministration D-33102 Paderborn
More information about the Linux
mailing list