Hallo! Ich hatte eben ein Erlebnis, bei dem es mir eiskalt über den Rücken gelaufen ist. Ich gucke per Zufall nach /tmp und sehe eine Datei in der Größe von ca. 2,8MB mit Namen ungefähr wie yssSeYa oder so. Ich schau mir den Inhalt an und soweit ich sehen konnten, waren darin alle wichtigen Systeminformationen abgelegt. Von Samba.conf bis wtemp usw. Ich schließe das file und will es in mein Home-Verzeichnis kopieren und just in dem Augenblick war es verschwunden. Was war das? Ich habe schon ein 'find / -mtime -2 -print' aber nichts außergewöhnliches gefunden, außer daß unter /dev ein paar Dateien als verändert angezeigt wurden. So ein Mist, was war das für eine Datei? -- Gruß Andreas Meyer http://home.wtal.de/MeineHomepage
* On Sun, 23 Jun 2002 at 20:13 +0200, Andreas Meyer wrote:
Ich hatte eben ein Erlebnis, bei dem es mir eiskalt über den Rücken gelaufen ist. Ich gucke per Zufall nach /tmp und sehe eine Datei in der Größe von ca. 2,8MB mit Namen ungefähr wie yssSeYa oder so.
Sind evtl. merkwürdige Netzwerkverbindungen offen? netstat -anp /var/log/messages schnellstmöglich wegsichern, evtl. lässt was finden.
Ich schau mir den Inhalt an und soweit ich sehen konnten, waren darin alle wichtigen Systeminformationen abgelegt. Von Samba.conf bis wtemp usw.
Ich schließe das file und will es in mein Home-Verzeichnis kopieren und just in dem Augenblick war es verschwunden.
Was war das? Ich habe schon ein 'find / -mtime -2 -print' aber nichts außergewöhnliches gefunden, außer daß unter /dev ein paar Dateien als verändert angezeigt wurden.
Und - welche sind das?
So ein Mist, was war das für eine Datei?
Rettungssystem starten und mal folgendes probieren: find / -name ... find /dev -type f Nach Möglichkeit sollten beide nichts finden. Zusätzlich könntest Du noch chkrootkit anwenden - siehe freshmeat. -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at
Hallo! Am Sun, 23 Jun 2002 20:22:17 +0200 schrieb Adalbert Michelic:
* On Sun, 23 Jun 2002 at 20:13 +0200, Andreas Meyer wrote:
Ich hatte eben ein Erlebnis, bei dem es mir eiskalt über den Rücken gelaufen ist. Ich gucke per Zufall nach /tmp und sehe eine Datei in der Größe von ca. 2,8MB mit Namen ungefähr wie yssSeYa oder so.
Sind evtl. merkwürdige Netzwerkverbindungen offen? netstat -anp
Kann ich jetzt nicht mehr überprüfen, da der Dial-Up neu gestartet wurde. Ich hatte testweise eine eine NFS-Verbindung zum Dial-Up. Wie dumm....
/var/log/messages schnellstmöglich wegsichern, evtl. lässt was finden.
Habe ich gemacht.... wenn ich nur den genauen filename noch wüßte. Ginge da ein find /home/messages -type f -exec grep eYA -H \{\} \; oder sowas; ein Teilstring? ^^^ - die sind sicher!
Ich schau mir den Inhalt an und soweit ich sehen konnten, waren darin alle wichtigen Systeminformationen abgelegt. Von Samba.conf bis wtemp usw.
Ich schließe das file und will es in mein Home-Verzeichnis kopieren und just in dem Augenblick war es verschwunden.
Was war das? Ich habe schon ein 'find / -mtime -2 -print' aber nichts außergewöhnliches gefunden, außer daß unter /dev ein paar Dateien als verändert angezeigt wurden.
Und - welche sind das?
/dev /dev/console /dev/psaux /dev/ptmx /dev/pts /dev/pts/0 /dev/tty /dev/tty1 /dev/tty10 /dev/tty2 /dev/tty3 /dev/tty4 /dev/tty5 /dev/tty6 /dev/xconsole /dev/log /dev/initctl /dev/printer /dev/bcrypt0 /dev/bcrypt1 /dev/bcrypt2 /dev/bcrypt3 /dev/bcrypt4 /dev/bcrypt5 /dev/bcrypt6 /dev/bcrypt7 /dev/bcrypt8 /dev/bcrypt9 /dev/bcrypt10 /dev/bcrypt11 /dev/bcrypt12 /dev/bcrypt13 /dev/bcrypt14 /dev/bcrypt15
Rettungssystem starten und mal folgendes probieren: find / -name ...
Keine Ergebnisse, bleibt irgendwann bei /proc/???/???/fd oder so hängen "permission denied".
find /dev -type f
Null Ergebnis
Nach Möglichkeit sollten beide nichts finden. Zusätzlich könntest Du noch chkrootkit anwenden - siehe freshmeat.
chkrootkit habe ich am Laufen: 0 12 * * * root cd /root/chkrootkit; ./chkrootkit 2>&1 | mail -s \ "chkrootkit output" root Ich bin mir sicher, daß da was im Argen liegt. Als ich nach /tmp gekuckt habe, war ich kurz vorher online und das Datum des files lag eine Minute zurück.... und wurde sauber gelöscht. Gibt es eine Möglichkeit z.B. mir netcat das /tmp-Verzeicnis umzuleiten, damit der Inhalt über längere Zeit erhalten bleibt? Subject: chkrootkit output ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not infected Checking `chfn'... not infected Checking `chsh'... not infected Checking `cron'... not infected Checking `date'... not infected Checking `du'... not infected Checking `dirname'... not infected Checking `echo'... not infected Checking `egrep'... not infected Checking `env'... not infected Checking `find'... not infected Checking `fingerd'... not infected Checking `gpm'... not infected Checking `grep'... not infected Checking `hdparm'... not infected Checking `su'... not infected Checking `ifconfig'... not infected Checking `inetd'... not infected Checking `inetdconf'... not infected Checking `identd'... not infected Checking `killall'... not infected Checking `ldsopreload'... not infected Checking `login'... not infected Checking `ls'... not infected Checking `lsof'... not infected Checking `mail'... not infected Checking `mingetty'... not infected Checking `netstat'... not infected Checking `named'... not infected Checking `passwd'... not infected Checking `pidof'... not infected Checking `pop2'... not found Checking `pop3'... not found Checking `ps'... not infected Checking `pstree'... not infected Checking `rpcinfo'... not infected Checking `rlogind'... not infected Checking `rshd'... not infected Checking `slogin'... not infected Checking `sendmail'... not infected Checking `sshd'... not infected Checking `syslogd'... not infected Checking `tar'... not infected Checking `tcpd'... not infected Checking `top'... not infected Checking `telnetd'... not infected Checking `timed'... not infected Checking `traceroute'... not infected Checking `write'... not infected Checking `aliens'... /dev/fd0H1440 /dev/hd0 Searching for sniffer's logs, it may take a while... nothing found Searching for HiDrootkit's default dir... nothing found Searching for t0rn's default files and dirs... nothing found Searching for t0rn's v8 defaults... nothing found Searching for Lion Worm default files and dirs... nothing found Searching for RSHA's default files and dir... nothing found Searching for RH-Sharpe's default files... nothing found Searching for Ambient's rootkit (ark) default files and dirs... nothing found Searching for suspicious files and dirs, it may take a while... /usr/lib/adabas/.mc /usr/lib/adabas/.bash_history /usr/lib/.text_extras_menu /usr/lib/.textswrc /usr/lib/.ttyswrc /usr/lib/perl5/5.00503/i586-linux/.packlist /usr/lib/perl5/5.00503/i586-linux/auto/Tk/.packlist /usr/lib/perl5/5.00503/i586-linux/auto/CGI3/.packlist /usr/lib/perl5/5.00503/i586-linux/auto/CGI/.packlist /usr/lib/perl5/5.00503/i586-linux/auto/GD/.packlist /usr/lib/perl5/5.00503/i586-linux/auto/File/Spec/.packlist /usr/lib/perl5/5.00503/i586-linux/auto/Test/Harness/.packlist /usr/lib/perl5/5.00503/i586-linux/auto/CPAN/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/SNMP/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/MD5/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/MIME/Base64/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/MIME/Lite/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/PDL/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Qt/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Gtk/.packlist /usr! /lib/perl5/site_perl/5.005/i586-linux/auto/DBI/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Msql-Mysql-modules/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/MysqlTool/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Data/ShowTable/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Paw/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Net/Netmask/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Net/DNS/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Net/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Net/Telnet/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Date/Calc/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Curses/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Crypt/Blowfish/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Crypt/SSLeay/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Digest/MD5/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Tie/! IxHash/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Pg/.pa cklist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Image/Size/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Image/Info/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/GD/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Newt/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/AppConfig/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/URI/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Compress/Zlib/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Archive/Tar/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Term/ReadKey/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Term/ReadLine/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/Test/Simple/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/CPAN/WAIT/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/IO/String/.packlist /usr/lib/perl5/site_perl/5.005/i586-linux/auto/CGI/FastTemplate/.packlist /usr/lib/perl5/site_perl/5.005/i586-li! nux/auto/Mail/POP3Client/.packlist /usr/lib/jre1.1.8/bin/linux/native_threads/.extract_args /usr/lib/systemconfig/auto/systemconfigurator/.packlist /usr/lib/adabas/.mc Searching for LPD Worm files and dirs... nothing found Searching for Ramen Worm files and dirs... nothing found Searching for Maniac files and dirs... nothing found Searching for RK17 files and dirs... nothing found Searching for Ducoci rootkit... nothing found Searching for Adore Worm... nothing found Searching for ShitC Worm... nothing found Searching for Omega Worm... nothing found Searching for Sadmind/IIS Worm... nothing found Searching for MonKit... nothing found Searching for anomalies in shell history files... nothing found Checking `asp'... not infected Checking `bindshell'... not infected Checking `lkm'... nothing detected Checking `rexedcs'... not found Checking `sniffer'... eth0 is not promisc eth0:1 is not promisc eth0:2 is not promisc eth0:3 is not promisc eth0:4 is not promisc eth0:5 is not promisc eth0:6 is not promisc eth0:7 is not promisc Checking `wted'... nothing deleted Checking `z2'... nothing deleted oh oh... -- Gruß Andreas Meyer http://home.wtal.de/MeineHomepage
Am Sonntag, 23. Juni 2002 20:13 schrieb Andreas Meyer:
Ich hatte eben ein Erlebnis, bei dem es mir eiskalt über den Rücken gelaufen ist. Ich gucke per Zufall nach /tmp und sehe eine Datei in der Größe von ca. 2,8MB mit Namen ungefähr wie yssSeYa oder so.
Ich schau mir den Inhalt an und soweit ich sehen konnten, waren darin alle wichtigen Systeminformationen abgelegt. Von Samba.conf bis wtemp usw.
Ich schließe das file und will es in mein Home-Verzeichnis kopieren und just in dem Augenblick war es verschwunden.
Was war das? Ich habe schon ein 'find / -mtime -2 -print' aber nichts außergewöhnliches gefunden, außer daß unter /dev ein paar Dateien als verändert angezeigt wurden.
So ein Mist, was war das für eine Datei?
Wenn es dich interessiert was genau der Inhalt der Datei war kannst du sie mit dem Tool debugfs ev. wieder herstellen. Natürlich nur wenn die Datei noch nicht wirklich gelöscht ist sondern nur der Verweis im Dateisystem gelöscht wurde (z.B. mittels rm). Solltest du allerdings schnellst möglich machen, ansonsten wird die Datei tatsächlich auch physikalisch gelöscht. Schau dir mal diese Seite an: http://sdb.suse.de/de/sdb/html/cg_rmfiles.html . Für andere Dateisysteme als ext2 oder ext3 gibt es auch solche Tools, kenne deren Namen allerdings nicht gerade. Grüsse, Nicolas
participants (3)
-
Adalbert Michelic
-
Andreas Meyer
-
Nicolas Rüegg