Hallo,

Kann man /sbin/init ohne Probleme mit einer Kopie ueberschreiben?

chkrootkit [gekuerzt ]
pstree INFECTED
Searching for Suckit rootkit ... Warning: /sbin/init INFECTED
Checking `lkm'... You have 1 process hidden for readdir command
You have 1 process hidden for ps command
Searching for TC2 Worm default files and dirs... Possible TC2 Worm installed

Und gibts ein TC2 Removel Tool? Unter /usr/info bin ich schon fuendig geworden.
Leider kann ich den Rechner nicht abschalten, er soll weiterlaufen.

Vielen Dank.
lh

ja man kann init überschreiben. danach muss per telinit ein reexecute ausgeführt werden. das ganze ist aber bogus. wenn ein rootkit drauf ist bleibt nur neuinstallation um sicherzugehen, dass man alles entfernt hat was der besucher so dagelassen hat. abgesehen davon kann man sich ärger einhandeln wenn man die maschine nicht vom netz nimmt und sie für irgendwelche bösen sachen (spam, ddos, einbrüche in andere systeme) missbraucht wird.


-j

a man kann init überschreiben. danach muss per telinit ein reexecute ausgeführt werden. das ganze ist aber bogus. wenn ein rootkit drauf ist

hey und wenn ich chattr Attribute auf /sbin/init und chattr setze?


um sicherzugehen, dass man alles entfernt hat was der besucher so dagelassen hat.

Naja ich habe dem verantwortl. Admin erstmal gesagt wir machen auf alles md5 Summen.

Der Aerger bei der Sache ist klar, der Rechner wird demnaechst abgestellt.
Offenbar kam jemand via cvs rein. Das Schlimme ist, der Rechner hat
noch andere Luecken. Und man hatte sich wohl zu sehr auf die Firewall verlassen.

Vielen Dank Jasper. :-)

Mit diesem Post habe ich gute Arguemnte fuer eine bessere Sicherheitspolitik auf dem neuen
Webserver und gelte ein bisschen weniger als paranoider Freak.

Gruss l.h.

hey und wenn ich chattr Attribute auf /sbin/init und chattr setze?


dann kopiere ich mein eigenes chattr auf die maschine.



Naja ich habe dem verantwortl. Admin erstmal gesagt wir machen auf alles md5 Summen.


wenn das eine rpm-basierte distribution ist kann man das zur not mit rpm lösen. wenn man es richtig gut machen will nimmt man samhain. aide und tripwire gehen zwar auch, lösen aber nicht das problem das problem sicheren speicherung der datenbanken. samhain ist da weit besser.

denjenigen, der dich paranoid nennt, darfst du von mir treten; dahin wo es weh tut. ein rechner sollte so sicher sein, dass er ohne firewall betrieben werden kann. sich auf firewalls verlassen war noch nie gut, siehe fehler in cisco pix und checkpoints fw-1.


-j