Heute morgen quititerte mein Gateway (potato) den Befehl "man ssh" einfach mit "Illegal instruction". Ebenso alle anderen "man"-Befehle.
Gleichzeitig meldete mir tripwire, das die /lib/libc-2.1.3.so eine andere Prüfsumme hat (Mon Aug 13 04:42:33 2001): ----------------------------------------------------------------------------- Changed files/directories include: changed: -rwxr-xr-x root 887712 Mar 26 00:35:41 2001 /lib/libc-2.1.3.so changed: -rw-r--r-- root 1969 Aug 9 16:30:14 2001 /etc/hosts.deny ----------------------------------------------------------------------------- Am Vortag war noch alles OK, und am Sonntag habe ich keinerlei Updates durchgeführt. Andere modifizierte Dateien hat tripwire nicht gefunden. Mit der alten libc brach dselect ebenfalls mit einer Fehlermeldung ab, allerdings funktionierte "apt-get install --reinstall libc6" problemlos. Ein Vergleich der MD5-Prüfsummen ergibt: Modifizierte Datei: md5sum /lib/libc-2.1.3.so ff79ff747803ba9da8ae4f9bd209724b /tmp/HACK/libc-2.1.3.so -rwxr-xr-x 1 root root 887712 Mar 26 00:35 /tmp/HACK/libc-2.1.3.so* Originaldatei: md5sum /tmp/HACK/libc-2.1.3.so b5db74d0429f61b13661dcea401356a7 /lib/libc-2.1.3.so -rwxr-xr-x 1 root root 887712 Mar 26 00:35 /lib/libc-2.1.3.so* Die Dateien haben also gleiche Größe unbd gleiches Datum und ein "diff" der beiden "strings libc-2.1.3.so" ergibt ebenfalls keinerlei Unterschied. In allen Logfiles (messages, syslog, apache) kann ich nichst auffälliges mehr finden, außer den üblichen Verdächtigen: Aug 12 11:57:03 rts-pc1 wu-ftpd[24059]: refused connect from pD9541953.dip.t-dialin.net Aug 12 11:57:15 rts-pc1 wu-ftpd[24060]: refused connect from pD9541953.dip.t-dialin.net Aug 12 11:57:19 rts-pc1 wu-ftpd[24061]: refused connect from pD9541953.dip.t-dialin.net Aug 12 15:34:59 rts-pc1 wu-ftpd[24418]: refused connect from p3EE2D624.dip.t-dialin.net Aug 12 15:36:05 rts-pc1 wu-ftpd[24419]: refused connect from p3EE2D624.dip.t-dialin.net Aug 12 15:36:28 rts-pc1 wu-ftpd[24420]: refused connect from p3EE2D624.dip.t-dialin.net Aug 12 19:56:47 rts-pc1 wu-ftpd[24994]: refused connect from 81-177.F.dial.o-tel-o.net Aug 12 19:58:48 rts-pc1 wu-ftpd[24995]: refused connect from 81-177.F.dial.o-tel-o.net Aug 12 19:59:34 rts-pc1 wu-ftpd[24996]: refused connect from 81-177.F.dial.o-tel-o.net Aug 12 22:11:56 rts-pc1 wu-ftpd[25225]: refused connect from pD9541953.dip.t-dialin.net Aug 12 22:12:03 rts-pc1 wu-ftpd[25226]: refused connect from pD9541953.dip.t-dialin.net Der einzige auffälliger Prozeß ist ein hängengebliebener cron-Job, den ich aber schon öfters hatte: pstree -p |-cron(373)---cron(14229)-+-sendmail(14249) | `-sh(14233) 14249 ? S 0:00 /usr/sbin/sendmail -i -FCronDaemon -odi -oem root 14233 ? Z 0:00 [sh <defunct>] Da nur diese eine Datei modifiziert ist, glaube ich eigentlich an einen Fehler im Dateisystem. Allerdings möchte ich einen Hackversuch nicht einfach ausschließen. Gab es schon einmal woanders das Phänomen einer sich scheinbar von selbst modifizierenden libc-Datei? Oder bin ich wirklich gehackt worden? MfG, AxelD -- Axel Dürrbaum / Universität Gh Kassel / FB 15 - RTS Regelungstechnik Mönchebergstraße 7 / 34109 Kassel / Germany / Technik I/II / Raum 2602 phone:+49 561 804 3261 Email:axeld@rts.maschinenbau.uni-kassel.de