Hi...

Also heute Morgen gehe ich an den Server mache ALT+STRG+F1 gebe bei login root ein... nix passiert... sehr komisch... wollte doch jetzt meine Firewall installieren da dies ein router ist...

Okay ALT+STRG+F7 auf X gegangen als User angemeldet ... ging auch Terminal aufgemacht
su eingegeben und passwort... und das richtige Passwort war falsch.. ???? Okays DSL Leitung rausgerissen :) Konoppix gestartet ... chroot auf meine Platten ... passwd und passwort wieder geändert.... und mich gewundert last zeigt mir an das ich zu einem Zeitpunkt online war ... wo ich 50 km weiter weg war... mmhhh schon mal verdächtich....

JETZT mein Problem.... /bin/login hat 0 Byte... ich kann die datei nicht löschen um die alte wiederherzustellen... egal wie ich mounte ... egal was ich mache ich kann weder rechte ändern noch diese Datei ins nervana senden.... BITTE HELFT MIR....

Mfg HellTron


PS: Aber meine Firewall läuft jetzt !!!

So ich kann wieder arbeiten.... über X nur meine Terminals lasse4n mich nicht rein... ich kann die /bin/login datei nicht löschen oder überschreiben ??? kann ich da nicht etwas erzwingen immerhin bin ich ROOT also wie schaft esLinux bzw... diese Datei die folgende rechte hat --rwxr-xr-x mir zu verbieten sie zu löschen ????

Ich brauch die Terms... dringend... keiner eine Idee ?

Über Knoppix müßte jede Aktion rwx mit jeder Datei möglich sein da keinerlei Beschränkungen gelten (der Kernel des kaputten Systems ist ja nicht gebootet sondern der Knoppix Kernel).

Probier das ganze nochmal unter Knoppix - achte darauf ob die Platte auch wirklich read - write gemountet ist...

good luck
cane

Ich würde mir an deiner Stelle ernsthafte Gedanken um deine Sicherheitsstrategie machen. Da bringt auch dein Paketfilter nix, wenn man von Außen per SSH rankommt und der auch noch falsch konfiguriert ist, oder eine Sicherheitslücke hat. Zudem frage ich mich ernsthaft wie er dein Passwort rausbekommen konnte? Zu einfach? Kein Passwort? Direkter root-Login per SSH gehört auch verboten. Ich hoffe das war dir eine Lehre.

Sag mir doch bitte welche Distribution du verwendest, dann brauchst du nur das Paket (in dem /bin/login) enthalten ist, neu zu installieren.

Angesichts der Tatsache das jemand auf der Maschine war, würde ich das System neu installieren. Evtl. wurde ein Root-Kit installiert.

Hi!
Probiere mal ein

lsattr /bin/login

Bestimmt hat da einer ein chattr +i draufgelegt, dann kannst's nicht löschen. Also mit chattr -i wieder rückgängig machen.

Ach ja, und System neu aufsetzen...

geht chown nicht?

und warum
- - rwxr-xr-x
^^ ?
Tippfehler?

Stefan

Original geschrieben von HellTron

PS: Aber meine Firewall läuft jetzt !!!

super. bringt auch viel wenn dir ein rootkit installiert wurde.

ich glaube allerdings nicht, dass die kiste aufgemacht wurde. sieht mir eher nach filesystemfehler aus. welches filesystem?

-j

Hi...


Also ... rootkids sind keine drauf...
mhh ich habe auch keine ahnung mehr wie ich das beseitigen könnte... neuinstallieren ??? OH gott bin doch nicht verückt... das System läuft ja ... mit X super...

blos no login auf dem Terminal die /bin/login ist nicht löschbar kann machen was ich will...
ich nutze ext3 als filesystem habe schon 3 mal getestet mit verschiedenen programmen... aber es geht nix... (kein fehler drauf)

per konoppix gehts auch nicht... muss wohl mit ext3 zusammenhähngen... aber es ist kein fehler da ???

also manschmal gibt es tage an denen ich lieber im bett bleiben sollte LOL :)

Hi!
Hast du meinen Beitrag gelesen ???

Woher willst du wissen das kein Rootkit installiert ist?

Mache einen Durchlauf mit chkrootkit, dann hast du eine Bestätigung falls einer drauf ist, falls chkrootkit nichts meldet ist das aber keine Garantie dass dein System sauber ist.

Am besten das System vom Netz nehmen und erst wieder hinhängen, wenn du das komplette System neu aufgesetzt hast.

Thomas.