[Schan-user] Speicherzugriffsfehler

Joachim Deckers joachim.deckers at gmx.de
Fre Mai 5 08:26:09 CEST 2006


Hallo Helmut!

Vielen Dank für deine Antwort.

Helmut Hullen schrieb:
>>Hm, was mich daran aber wundert: ssh ist nur per RSA-key möglich,
>>der nur auf meinem Rechner daheim liegt.
> 
> Kann auch ein Insider-Job sein. Eigner "sysadm" klingt nicht gut.

Die System-Dateien hatten die Zugriffszeit des letzten Zugriffs, den ich
als sysadm durchführte. Wenn durch den Zugriff als sysadm die Systemzeit
geändert wird, dann ist es nicht verwunderlich, wenn auch der Eigner
darauf gesetzt wird.

> Lass mal "chkrootkit" laufen - auch wenn es dafür zu spät sein könnte.
Mache ich, auch wenn ich nach wie vor nicht wirklich an einen Hack glaube.

> Uhrzeit 21:36 klingt nach "at"-Job oder Cron-Job - davon könnte noch  
> einiges in einer Log-Datei zu finden sein (obwohl es leicht ist,  
> solche Einträge wieder zu löschen).

Uhrzeit 21:36 war die Zugriffszeit auf das Skript durch mich als sysadm.

 > Wann ist "/etc/passwd" zuletzt geändert worden? Welche Shell ist dort
> für "sysadm" eingetragen?

Es wird die übliche sysadm-Shell sein, da ich diese ja noch um kurz nach
 halb zehn genutzt habe. Werde aber nachsehen.

> Speicherfehler: "memtest", mindestens 24 Stunden lang.

Das ist mal wieder so ein Problem, da wir ja nur genau diesen Arktur
haben und der auch für Mailinglisten, BSCW-Server, ... usw. zuständig ist.
Kann man eigentlich beim Start von memtest auf Arktur festlegen, dass
das genau X Stunden laufen und anschließend den Rechner normal rebooten
soll?

> Plattenfehler: (am besten von einer Knoppix-CD aus):
> 
>         badblocks -nsv /dev/hda1        (oder sda1, Arktur 3.0-3.4)
>         badblocks -nsv /dev/hda2        (oder sda2, Arktur 3.4 und 4.0)

Ja, werde ich auf jeden Fall machen, wenn auch von einer SuSe aus :-)
> 
> 
> 
>>[Angriffe von innen wären via telnet denkbar, aber das
>>root-Passwort zu erraten ist doch recht unwahrscheinlich. last
>>zeigte auch keine Nutzer außer mir.]
> 
> 
> "sysadm" hat "root"-Rechte.

Klaro. Aber sysadm wurde sicherlich nicht direkt gehackt, da er einen
ungültigen Passwort-Eintrag in der /etc/shadow hat (wurde von mir so
gesetzt, da ich die selten genutzte sysadm-Shell nur per "su - sysadm"
als root nutze).

Und da ich - wenn ich mich recht erinnere - auch root-Logins per telnet
von innen verboten habe, wäre ein Hacken dann ja nur noch per telnet auf
meinen Userzugang *und* erfolgreiches "su - root" mit dem root-Passwort
möglich. Gerade letzteres ist aber sehr kryptisch...

Im Moment erscheinen mir Speicher- oder Plattenfehler am
wahrscheinlichsten, wobei beide vor 3 Monaten neu erworben wurden (und
seitdem problemlos liefen).

Gruß
Joachim


_______________________________________________
schan-user mailing list
schan-user at listserv.heise.de
http://www.heise.de/bin/newsletter/listinfo/schan-user