Hallo Peter, On Fri, Jun 13, 2003 at 03:54:26PM +0200, Peter Gloor wrote:
Ich bin mir nicht sicher, aber so wie es aussieht, wurden auch noch andere Dateien verändert/überschrieben (z.B. hat sendmail ein Änderungsdatum von heute nacht und ist wesentlich grösser als das Original).
kannst Du evtl. mal die md5sum von sendmail posten und vielleicht auch noch sagen welche Version Du verwendest? Eine Liste aller Dienste die auf dem System laufen/liefen wäre ausserdem recht interressant.
Sicherheitshalber habe ich vor einem Reboot /usr/bin/wrapper und /usr/sbin/wrapper gelöscht.
schade
Jetzt kann ich den Rechner jedoch nicht mehr booten. Nach dem Monten der Dateisysteme kommen noch die Meldungen: mounting local filesystems proc on /proctyp proc (rw)
Standart vorgehen: - Stecker ziehen (Netzwerk und Strom) - Knoppix oder ähnliches booten ( mit Strom und ohne Netz :) - Platte ro mounten - Kopie erstellen und Original beiseite legen. (1 zu 1 mit dd o.ä.) - chkrootkit auf die Platte ansetzten - Tripwire logs auswerten. - Evtl. vorhandene "know good binaries" mit "untrusted" binaries vergleichen (md5sum) (SuSE Live-Eval) - Alles was sich verändert hat protokollieren. - Sicherheitslücke finden. - System neu aufsetzen + Lücke beseitigen.
Danach passiert nichts mehr. Wie kriege ich jetzt die Kiste wieder in Gang?
So ein System am besten komplett platt machen. Wenn Du auf deiner Sicherheitskopie keine Binaries hast diese wo anderst hin sichern (CD RW) Binaries wenn möglich nicht weiter verwenden oder nur nach eingehendem check.
Es macht mir nichts aus, alles neu zu installieren, sofern mir dabei die Partitionen und vor allem das Filesystem auf hda3 intakt bleiben, da ich auf hda3 eine komplette Sicherung aller wichtigen Konfigurationsdateien und Datenfiles habe.
Partitionen und Filesystem beibehalten ist eigentlich nicht gut. Das rootkit das Du beschreibst sagt mir so jetzt zwar nichts aber wenn es halbwegs intelligent ist dann ist das install skript gefaked und die eigentlich interessanten Daten sind ganz wo anderst zu suchen. Deshalb Deine Daten auf CDRW sichern und unter Knoppix oder einem anderen Livesystem dd if=/dev/zero of=/dev/hda bs=1024 ausführen. Danach kannst dann wieder alles neu anlegen und kannst trotz Paranoia gut schlafen.
Ich habe versucht ab CD das Ding wieder in Gang zu bringen, was aber auch nicht geht:
- Neuinstallation Will meine HD partitionieren/überschreiben!?!
lässt sich zwar manuell überschreiben aber ist IMHO nicht zu empfehlen.
So sieht die Datei mihai/inst aus: --------------------------------------------------------------- #/bin/bash
echo "Start Daemon" sleep 1 ./kill
was steht in der Datei im mihai/kill
Kennt übrigens jemand diesen Virus?
ist IMHO kein Virus sondern ein Rootkit aber kennen tue ich es nicht. Greetings Daniel -- Fighting for peace is like fucking for virginity!