subject:"\/var\/bobsdata \- ein Crack\?"

Re: /var/bobsdata - ein Crack?

2003-07-22 Thread Philipp Meier

On Tue, Jul 22, 2003 at 06:55:44PM +0200, Andreas von Heydwolff wrote:
> Habe auf meiner aktuellen SID Maschine (Kabelmodem) unlängst ein 
> Verzeichnis /var/bobsdata entdeckt, das ich im Leben nicht angelegt 
> habe. Inhalte sind eine Datei "admin.pwd" mit einem String wie 
> $1$WmspYkT9$POV...  sowie sub-Verzeichnisse current/process, darin 
> Dateien cmdloop und check_loop

[...]

> Tiger läuft nicht regelmäßig, hat aber für ein Dutzend oder mehr 
> Systemdateien falsche md5chksums gefunden ("nicht Debian 2.0.35 oder 
> höher" oder so ähnlich). Allerdings habe ich dieselben Meldungen auch 
> nach einem apt-get clean und --reinstall der betreffenden Pakete 
> bekommen. Chkrootkit ist nicht beunruhigt.

Vergleiche auch heutigen thread zum ähnlichen Thema. Hast Du die
Überprüfung der checksummen vom laufenden System aus gemacht? Sollte ein
rootkit installiert sein, so kann dieses eventuell seine Entdeckung
durch manipulierte binaries oder sogar den kernel verhindern. Du
solltest das zur Sicherheit mal von einer Boot-CD aus checken.

-billy.

-- 
Meisterbohne   Meisterbohne GbR, Küfner, Mekle, Meier   Tel: +49-731-399 499-0
   eLösungen   Söflinger Straße 100 Fax: +49-731-399 499-9
   89077 Ulm   http://www.meisterbohne.de/

-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

/var/bobsdata - ein Crack?

2003-07-22 Thread Andreas von Heydwolff

Habe auf meiner aktuellen SID Maschine (Kabelmodem) unlängst ein 
Verzeichnis /var/bobsdata entdeckt, das ich im Leben nicht angelegt 
habe. Inhalte sind eine Datei "admin.pwd" mit einem String wie 
$1$WmspYkT9$POV...  sowie sub-Verzeichnisse current/process, darin 
Dateien cmdloop und check_loop

Crontab hatte:

0-59/5 * * * * root /var/bobsdata/current/process/check_loop

Sieht mir natürlich nach einem Crack aus, aber in der Regel sitzt die 
Maschine hinter einer gehärteten firewall auf stable-Basis und auch auf 
der Maschine selbst läuft i.d.R. die Firewall. Allerdings zeigt die 
Firewal manchmal trin00 und subseven-Pakete, die als DST die interne 
Netzwerkadresse haben.

Tiger läuft nicht regelmäßig, hat aber für ein Dutzend oder mehr 
Systemdateien falsche md5chksums gefunden ("nicht Debian 2.0.35 oder 
höher" oder so ähnlich). Allerdings habe ich dieselben Meldungen auch 
nach einem apt-get clean und --reinstall der betreffenden Pakete 
bekommen. Chkrootkit ist nicht beunruhigt.

Logins um die Zeit des Anlegens des Verzeichnisses sind unauffällig.

Habe länger herumgegooglet und nichts zu diesem speziellen Fall 
gefunden. Kennt jemand solche Symptome?

Gruß aus Wien

Andreas v. Heydwolff

--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: /var/bobsdata - ein Crack?

/var/bobsdata - ein Crack?

2 matches

Site Navigation

Mail list logo

Footer information