[Schan-user] Speicherzugriffsfehler

Thomas Litsch tlitsch at gmx.de
Don Mai 4 22:28:50 CEST 2006


Hallo,

Joachim Deckers wrote:

> Nach Beendigung der sysadm-Shell zeigt /usr/bin folgende merkwürdigen
> Einträge:
> 
> -rwxrwxrwx    1 sysadm   root       237413 2006-05-04 21:32 gawk
> -rwxr-xr-x    1 sysadm   root        25925 2006-05-04 21:35 mkdir
[schnipp]
> -rwxr-xr-x    1 sysadm   root       458284 2006-05-04 21:36 ash.static
> -rwxr-xr-x    1 sysadm   root        72497 2006-05-04 21:36 ash

Die meisten dieser Dateien (nicht für alle geprüft) sollten nicht in 
/usr/bin, sondern in /bin liegen.
Sie haben bei meinem Arktur auch andere Größen!

tlitsch at Arktur:/bin > l ash*
-rwxr-xr-x    1 root     root        65524 2002-03-23 19:59 ash*
-rwxr-xr-x    1 root     root       454188 2002-03-23 19:59 ash.static*

Ich vermute, dass die Kiste gehackt wurde.

> Die genannten Dateien haben ein Erzeugungsdatum von heute (und zwar in
> etwa zur Zeit des Skriptaufrufs). Als ich testweise chmod oder andere
> Dateien der Liste ohne Parameter aufrief, erschien eenfalls die Meldung
> Speicherzugriffsfehler.
> Auffällig ist auch, dass sich unser Arktur in der vergangenen Nacht 2mal
> nicht - wie sonst - viertelstündlich auf unserem externen Webserver
> meldete, was mir durch ein Skript von dort gemailt wurde.

Was für den Hack spricht.

> Meine ssh-Shell zur Fernsteuerung wurde kurz danach beendet, den Server
> konnte ich dann für ca. 5 Minuten nicht mehr per ssh erreichen. 

Und das erst recht!

Du solltest mit einem Rettungssystem booten, und die Dateien aus den 
Paketen der Arktur CD slack/a1/fileutil.tgz und util-linux.tgz 
wiederherstellen. Spiele auch die Pakete n1/openssh.tgz neu ein, wenn 
sshd nicht so aussieht:
tlitsch at Arktur:/usr/sbin > l sshd
-rwxr-xr-x    1 root     root       330628 2004-02-18 10:55 sshd*

Sollten sichdie Dateien nicht überschreiben lassen, siehe "man chattr" 
und "man lsattr".

Viel Glück.

-- 
Gruss,                       There are 10 kinds of people:
Thomas Litsch                those who understand binary,
www.linux-schule.de          and those who don't.
skype Kontakt: tlitsch


_______________________________________________
schan-user mailing list
schan-user at listserv.heise.de
http://www.heise.de/bin/newsletter/listinfo/schan-user