Hallo, Am Sat, 02 Oct 2004, Udo Neist schrieb:
Auf einem von mir mitbetreuten Webserver habe ich einen cronjob von 37815 Bytes Größe gefunden, dessen Inhalt sich mir nicht erschliesst. Ich habe den betreffenden Account erstmal gesperrt und um Klärung gebeten.
Gut so.
Den vollständigen Code kann man unter ftp://singollo.de/pub/Final2001 ansehen bzw. downloaden.
Ein Ausschnitt:
# DO NOT EDIT THIS FILE - edit the master and reinstall. # (/tmp/qmcunnilt installed on Tue Sep 28 18:05:55 2004) # (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $) # "\177\105\114\106\001 [..]
Das ist ein ELF-Binary! [1]. Ob und wie das so als cronjob funktionieren kann/soll weiss ich nicht.
Vielleicht kann mir jemand helfen? Ich schätze, wegen dem Script wurde der betreffende Server für eine Woche vom Netz genommen, so dass wir nur per Remote-Console eine Analyse durchführen konnten.
Gut so. Der Server ist IMHO komprimittiert. Am besten setzt ihr den Server neu auf und spielt die Backups von _VOR_ dem 27. wieder ein. -dnh [1] Was man z.B. erkennt, wenn man die ersten Zeichen (das sind oktale Escapesequenzen) mal mit 'echo -e' ausgibt, wenn man unsicher ist, was da alles dabei ist, dann sollte man das evtl. an 'hex' oder 'od' pipen. $ echo -en '\177\105\114\106' | hex 00000000 7F 45 4C 46 .ELF -- Allergien sind wenn ich mich recht erinnere Immunsystemteile welche individuelle Karrieren anstreben. Dies kann man durch geeignete Konditionierung in jungen Jahren wohl stark beeinflussen. -- Dietz Proepper