Seltsames Problem mit /var/www

**burst** · 26.06.05, 12:08

Also ich hab da so einen Server, und eines Tages konnte ich nicht mehr auf die Webseite zugreifen... Ich kann nicht sagen ob ich dieses Problem verursacht habe oder ob es ein hardwareproblem, ein angreifer oder sonst was war. Auf jeden Fall stellte ich fest dass mein /dev/hdb1 auf /var/www nicht mehr gemounted wurde... der Rest in Shell

Code:

root@osgiliath ~ # reiserfsck /dev/hdb1
[...]
No corruptions found
[...]
root@osgiliath ~ # mount /dev/hdb1 /mnt/hd/ && ls /mnt/hd/ && umount /mnt/hd
cgi-bin/  db/  htdocs/  icons/
root@osgiliath ~ # grep hdb1 /etc/fstab
/dev/hdb1        /var/www         reiserfs    defaults         1   2
root@osgiliath ~ # mount /var/www                                                      
mount: block device /dev/hdb1 is write-protected, mounting read-only
mount: cannot mount block device /dev/hdb1 read-only
root@osgiliath ~ # ls /var/www                                                         
/usr/bin/ls: /var/www: Permission denied
root@osgiliath ~ # ls /var/                                                            
/usr/bin/ls: /var/www: Permission denied
X11R6/  cache/  lib/   log/   man/  rwho@   state/
adm@    empty/  lock/  mail@  run/  spool/  tmp/

Nachdem mich im IRC keiner direkt auf einen Fehler hinweisen konnte, den ich gemacht habe, ging ich von einer Fremdeinwirkung aus, und scannte mein System mit chkrootkit, welches jedoch kein Rootkit fand. Mir ist klar dass das keineswegs ein Beweis dafuer ist dass keins vorhanden ist... Nur bevor ich jetz das System platt mache, wollte ich doch noch mal fragen ob es nicht vielleicht doch eine ganz gewoehnliche Erklaerung dafuer gibt?

Dankeschoen

**Pronitron** · 05.07.05, 20:09

Hallo,

für Reiser-FS sollte die Zeile in der fstab mit zwei Nullen Enden - kein 'dump', kein 'fsck'.
Interessant wären noch 'ls -lsa /var' oder 'ls -lsad /var/www' vor und nach dem Mounten.

Noch eine Idee: mir fiel auf, daß ls sich mit "/usr/bin/ls" zurückmeldet. Das ist ungewöhnlich: zum einen sollte sich ls in /bin befinden, zum anderen sieht das aus, als ob /usr/bin/explizit explizit mit Pfad aufgerufen wurde - was beides zu Deiner Vermutung eines Crack paßt.
Vermutung: das "echte" ls befindet sich jetzt in /usr/bin und in /bin befindet sich nur ein Trojaner, der /usr/bin/ls aufruft und noch ein paar andere Features hat ...

Robert

**burst** · 10.07.05, 17:21

hmpf also ich bin ja auch ploed... der dateisystem fehler war nicht auf /dev/hdb1 (/var/www) sondern /dev/md1 (/) ... hab irgendwie gedacht die partition haette ich auch gecheckt, aber heute ist mir eingefallen dass das nicht ging weil gemounted und weil die minimalen bootchecks nicht gefunden hat, hatte ich mir dann wohl gedacht da gibts kein problem... naja auf jedenfall bin ich heute mit ner bootcd ran und hab mal einen ausfuehrlichen reiserfsck gemacht... dann --rebuild-tree und alles geht wieder. die fehler sind wohl dadurch entstanden dass ich vor ein paar wochen mal ausversehen eine einzelne disk anstatt dem raid-device gemounted habe... ich hatte damals gehofft dass dadurch keine differenzen zwischen den disks entstanden sind, aber scheinbar doch :/

naja auf jeden fall gehts jetz wieder, es war meine eigene idiotie. trotzdem danke Pronitron, dass du versucht hast mir zu helfen. wegen ls:

root@osgiliath ~ # ls -l /usr/bin/ls
lrwxrwxrwx 1 root root 12 2004-08-14 19:29 /usr/bin/ls -> ../../bin/ls*

der link ist wohl fuer schlecht geschriebene scripte gedacht...