Hi,

ich wurde in den letzten Wochen 2x von netten Menschen mit dem zk-Rootkit besucht.

beim ersten Mal habe ich komplett neu installiert und beim zweiten Mal habe ich es schon während des Angriffs bemerkt und sofort die Verbindung beendet.

Doch nun wurden schon einige Dateien geändert, welche ich gelöscht und wieder neu installiert habe.

Doch nun habe ich das Problem, wenn ich ./configure ausführe, dass das System angeblich nicht sane ist :(
Die Ausgabe :
checking build system type... i686-pc-linux-gnu
checking host system type... i686-pc-linux-gnu
checking target system type... i686-pc-linux-gnu
checking for a BSD-compatible install... /usr/bin/ginstall -c
checking for -p flag to install... yes
checking whether build environment is sane... configure: error: ls -t appears to fail. Make sure there is not a broken
alias in your environment
configure: error: newly created file is older than distributed files!
Check your system clock


Kann mir jmd helfen, wie es wieder hinbekomme ?? (netdate habe ich bereits ausgeführt und somit sollte die Uhr ja wieder ok sein)

zweitens : Wie kann ich solche Übergriffe verhindern ??

Für welche Sourcen führst Du ./configure aus?

Mal ne Vermutung:
Deine Uhr ist ok aber die Zeitstempel einiger Dateien wurden vom Attacker geändert.


configure: error: newly created file is older than distributed files!
Das müßte doch heißen dass eine vom Script generierte File älter ist als die installierte...
Also verstehe ich das so dass eine File im System einen Zeitstempel hat der uin der Zukunft liegt.

Aber wiegesagt - ist eine Vermutung und ich weiß gar nicht ob das theoretisch überhaupt möglich ist...

Kannst ja mal per ls selber nach den neuesten Timestamps suchen...

Übrigens: woher weißt Du dass der Attacker nicht erfolgreich war?


mfg
cane

Original geschrieben von sebbel
Hi,

ich wurde in den letzten Wochen 2x von netten Menschen mit dem zk-Rootkit besucht.

beim ersten Mal habe ich komplett neu installiert und beim zweiten Mal habe ich es schon während des Angriffs bemerkt und sofort die Verbindung beendet.

Doch nun wurden schon einige Dateien geändert, welche ich gelöscht und wieder neu installiert habe.

Doch nun habe ich das Problem, wenn ich ./configure ausführe, dass das System angeblich nicht sane ist :(
Die Ausgabe :
checking build system type... i686-pc-linux-gnu
checking host system type... i686-pc-linux-gnu
checking target system type... i686-pc-linux-gnu
checking for a BSD-compatible install... /usr/bin/ginstall -c
checking for -p flag to install... yes
checking whether build environment is sane... configure: error: ls -t appears to fail. Make sure there is not a broken
alias in your environment
configure: error: newly created file is older than distributed files!
Check your system clock


Kann mir jmd helfen, wie es wieder hinbekomme ?? (netdate habe ich bereits ausgeführt und somit sollte die Uhr ja wieder ok sein)

zweitens : Wie kann ich solche Übergriffe verhindern ??

1.
Villeicht auch ein Problem mit ls (was ja verändert wird um das Rootkit nicht anzuzeigen)
Am besten "fileutils" (enthält ls & co) und den kernel neuinstallieren!

http://www.rpmfind.net/linux/rpm2html/search.php?query=fileutils

2.

Firewall, Updates, unbenötigte deamons anbesten gleich deinstallieren, lange Passwörter...