login funktioniert nicht mehr

[Christian Ordig]

On Sun, Sep 15, 2002 at 12:31:51PM +0200, Florian Lohoff wrote:
> On Sun, Sep 15, 2002 at 11:33:07AM +0200, Ralf Scheider wrote:
> Versuchen kannst du mit "linux init=/bin/sh" zu booten 
> und mal in der shell dann in dein /etc zu gucken - Ich vermute
> nach wie vor das das leer ist - Da damit die ganze "persoehnlichkeit"
> deines Rechners wech ist kannst du auch gleich neu installieren
> (/home retten)
ich hatte dieses Verhalten auch mal auf einem Rechner.
folgendes Problem war dort:
es war eine zu alte sshd installiert, die zu allem Ueberfluss auch
noch nach aussen offen war -> script-kiddi wurde root -> root-kit
zum Glueck sind die Sachen in dem installierten root-kit nicht 
statisch gelinkt, so dass ls, df, syslogd und eben auch login einen
SIGSEV (Segmentation Fault) werfen, sobald man sie versucht zu verwenden.
Dadurch kam auch keine Passwort-Abfrage mehr beim Login (das getty hatten
sie in Ruhe gelassen)

Loesung des Problems/Aufspueren des root-kits (in _meinem_ speziellen
Fall!):
 - booten mit init=/bin/sh
 - mc (den hatten sie nicht ersetzt *g*)
 - unter /dev gibt es ploetzlich ein Verzeichnis "tux" ... dort ist das
 - root-kit installiert ... 

wenn dem so ist (oder etwas anderes auffaelliges
auf einen solchen Eindringling hinweist):
 - ruhig bleiben
 - Spuren sichern (evtl. komplettes Backup?)
 - rechtliche Schritte erwaegen
 - Neuinstallation 

aber vielleicht hast Du auch nur als root im falschen Verzeichnis ein rm
gemacht ..... man will ja nicht gleich den Teufel an die Wand malen.

-- 
Christian Ordig
Germany