[Schan-user] Speicherzugriffsfehler

Joachim Deckers joachim.deckers at gmx.de
Don Mai 4 23:05:18 CEST 2006


Hallo Thomas,

danke für deine Antwort.

Ob's /usr/bin oder /bin war, weiß ich nicht sicher.

Thomas Litsch schrieb:
> Ich vermute, dass die Kiste gehackt wurde.

Hm, was mich daran aber wundert: ssh ist nur per RSA-key möglich, der
nur auf meinem Rechner daheim liegt. Vor Arktur ist ein Router, der
einen Port mit hoher Portnummer auf Arkturs Port 22 leitet.
Wie kommt da jemand rein? Habe ja nicht einmal Angriffsversuche in den
Logs gesehen, die ich vor wenigen Tagen noch einmal recht genau
kontrolliert habe.
[Angriffe von innen wären via telnet denkbar, aber das root-Passwort zu
erraten ist doch recht unwahrscheinlich. last zeigte auch keine Nutzer
außer mir.]

>> Die genannten Dateien haben ein Erzeugungsdatum von heute (und zwar in
>> etwa zur Zeit des Skriptaufrufs). Als ich testweise chmod oder andere
>> Dateien der Liste ohne Parameter aufrief, erschien eenfalls die Meldung
>> Speicherzugriffsfehler.

Sind "hacks" oder rootkits bekannt, bei denen die Systemdateien als
Datum das der letzten Verwendung erhalten?

> Du solltest mit einem Rettungssystem booten, und die Dateien aus den
> Paketen der Arktur CD slack/a1/fileutil.tgz und util-linux.tgz
> wiederherstellen. Spiele auch die Pakete n1/openssh.tgz neu ein, wenn
> sshd nicht so aussieht:
> tlitsch at Arktur:/usr/sbin > l sshd
> -rwxr-xr-x    1 root     root       330628 2004-02-18 10:55 sshd*
> 
> Sollten sichdie Dateien nicht überschreiben lassen, siehe "man chattr"
> und "man lsattr".

Werde ich morgen mal prüfen! Das sollte doch auch mit einer neuen Arktur
3.5.6-CD gehen, oder? [Die alte 3.5ß4 müsste ich erst suchen...]

Gruß
Joachim



_______________________________________________
schan-user mailing list
schan-user at listserv.heise.de
http://www.heise.de/bin/newsletter/listinfo/schan-user