Sec
Anmeldungsdatum: 24. September 2008
Beiträge: 170
Wohnort: München
|
Seit längerem vermutete ich dass fortgesetzt Angriffe auf meine Entwicklungsumgebung stattfinden. Deshalb habe ich heute
| root@<rechnername>:~# chkrootkit
|
laufen lassen. Hier die wichtigen Teile der Ausgabe:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25 | ROOTDIR `/'
.
.
.
Searching suspicious files and dirs, it may take a while... The following su
picous files and directories were found:
/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit
/usr/lib/jvm/.Java-1.7.0-openjdk-amd64.jinfo
.
.
.
Searching for Suckit rootkit... Warning: /sbin/init
INFECTED
.
.
.
Checking chkutmp... The tty of the foll
owing user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! root 1268 tty7 /usr/bin/X -core :0 -seat seat0 -auth /var/run/ligthd
m/root/:0 -nolisten tcp vt7 -novtswitch
.
.
.
|
Für eine Neuinstallation meiner Entwicklungsumgebung brauche ich mindestens einen Tag, den ich mir gerade nicht spendieren kann. Deshalb hab ich mir folgende Notlösung überlegt: Ich kopiere von der Ubuntu 14.04 Life DVD /sbin/init auf einen Stick und ersetze damit das /sbin/init auf meiner Entwicklungsmaschine. Bootet nach dieser Aktion mein System noch, obwohl /sbin/init eine Binärdatei ist?
Löst diese Aktion (zumindest vorläufig) mein Sicherheitsproblem?
|
bratze
Anmeldungsdatum: 7. Oktober 2007
Beiträge: 48
|
|
Sec
(Themenstarter)
Anmeldungsdatum: 24. September 2008
Beiträge: 170
Wohnort: München
|
Danke Bratze! Aus folgenden Gründen nehme ich, dass es sich bei meiner Maschine nicht um eine Falschmeldung handelt: 1. Letzten Samstag wechselte ich mein Passwort und habe danach bis in die Nacht hinein gearbeitet. Als ich um circa 2 Uhr meine
Maschine auf die reguläre Weise runterfahren wollte, erschien die Legitimationsmaske und verlangte für die "sicherheitskritische" Aktion des Herunterfahrens mein Root-Passwort. Da mir eine solche Maske noch nie begegnet war und völlig sinnlos ist, drehte ich der Maschine einfach den Saft ab ohne mein Passwort einzugeben. 2. Wenn ich den das Patchkabel bei laufendem System aus den Socket ziehe und dann (ohne Netzwerkverbindung) einen Neustart veranlasse ich alles bis zur Passworteingabe ganz normal. Sobald das Passwort aber eingegeben ist, fängt der Rechner zu spinnen an. Anstatt des Desktop erscheinen auf dem gesamten Bildschirm nur bunte (gekachelte) Muster und über diesen schräge gelb-schwarze Streifen und Dreiecke. Tastatureingaben und (ziellose) Klicks sind nicht möglich. Wenn ich aber ohne Netzanschluss einen Kaltstart durchführe funktioniert alles einwandfrei. Natürlich habe ich schon im Internet zum Thema recheriert, aber nichts Hilfreiches gefunden. Das CERN rät den von ihm Betreuten das Patchhkabel zu ziehen und die betroffene Maschine laufen zu lassen, bist Hilfe kommt. Debian erwähnt in seinem Handbuch skdetect (ein spezielles Package zum detektieren von SucKIT), bietet aber das Paket nicht zum Download an. Alle sonstigen gefundenen Links auf skdetect für auf eine Seite einer niederländischen Uni und von dort ins nichts (NULL-Pointer).
|
bratze
Anmeldungsdatum: 7. Oktober 2007
Beiträge: 48
|
Servus Sec, sei mir nicht böse, aber ich bin mir nicht sicher, ob der Austausch von /sbin/init Dein Problem wirklich löst. Einen Versuch ist es vielleicht wert, aber ... ich selber würde sofort und ohne Umwege den Rechner sofort neu aufsetzen. Da fackel ich heute nicht mehr lange. Habe in der Vergangenheit zu oft sinnlos Zeit damit verbraten, "pragmatische" und schnelle Lösungen zu finden ... nur um am Ende rauszufinden, dass ich ein mehrfaches der Zeit verschwendet hatte, welche die Neuinst gekostet hätte ... plus der Neuinst, auf die es oft genug letztendlich doch als beste Lösung hinauslief. ☺ Heute habe ich ein Image (Schlaumeier-Alarm), das wird bei Bedarf drüber gebügelt, und gut iss. Leider traue ich mir in Deinem Fall - über solche Schlaumeier-Weisheiten hinaus, die Dir leider auch nicht helfen - keine wirklich kompetente Lösung zu. Sorry, bin raus. Semper fortis
Bratze
|
Sec
(Themenstarter)
Anmeldungsdatum: 24. September 2008
Beiträge: 170
Wohnort: München
|
Hallo Bratze, wie könnte ich Dir denn für einen so gut gemeinten und kompetenten Rat böse sein? Inzwischen hat mich ein anderes Thema aus diesem Forum auf den rkhunter gebracht.
Und:
- rkhunter findet eine Menge versteckte Files und Directories
- rkhunter stellt fest, dass ein paar ausführbare Systemdateien durch Ruby-Scripts ersetzt wurden.
- rkhunter stellt fest, dass da jemand die Nutzer und Gruppenkennung "postfix" sowie die Gruppenkennung "postdrop" angelegt hat. Trotzdem meint rkhunter, dass kein Rootkit auf meiner Maschine wäre. Na ja, der Gehalt der Warnings vom rkhunter lässt sich leicht überprüfen. Diese schlampigen Scripts, die versteckten Dateien und die Kennungen habe ich ganz sicher nicht selber ins System gepfriemelt. Also:
Du hast recht. Heute Nacht steht eine Datensicherung (leider sehr umfangreich und über's ganze Dateisystem verteilt) und eine
Neuinstallation an. Nochmals: Danke für deinen Beistand. Sec
|
Flieger-RauTec
Anmeldungsdatum: 17. Januar 2015
Beiträge: 467
Wohnort: Flughausen in Ubuntien
|
!! Alarm oder Entwarnung !! Erde an alle Ubuntuianer. Vielleicht kann der eine oder andere das mal nachmachen um zu checken ob der gemeldete Fehler überhaupt ein "echter" Fehler ist ? Also, ich habe das mal nach gemacht:
sudo chkrootkit
Ergebnis:
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
Also, entweder sind alle unsere Rechner verpisst oder es handelt sich um eine Fehlmeldung ?! Ich habe eine ganz normale Desktop-Installation. Erde an Sec Möglicherweise kannst Du aufatmen und es ist falscher Alarm. Deshalb: Können noch ein paar Leute da draussen in der Ubuntu-Welt das mal nach- / mitmachen ?
|
Salander
Anmeldungsdatum: 10. Juni 2015
Beiträge: Zähle...
|
Funktioniert bei mir leider nicht.... "sudo: chkrootkit: command not found"
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
sudo apt-get install chkrootkit siehe chkrootkit
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
Zu der chrootkit-Meldung gabs übrigens gerade ein anderes Thema: Warnmeldungen und Funde im Basisordner (root)…
|
Sec
(Themenstarter)
Anmeldungsdatum: 24. September 2008
Beiträge: 170
Wohnort: München
|
Hallo an euch und vor allen anderen an Bratze, ich hab's getan und neu installiert. Jetzt melde ich mich von Ubuntu 15.04. Unser OS begeistert mich auf's Neue. Zwar hab ich noch nicht wieder alles drauf (Python, Code::Blocks, MySQL, Apache, ... kommt morgen früh!), aber jetzt funst es wieder. Freilich hab chkrootkit und rkhunter noch nicht wieder geholt und laufen lassen. Doch ich kann euch sagen, dass mein System im Moment nicht mehr nach Dreck stinkt. Die Frage danach, ob's denn ein richtiger Fehler war, erübrigt sich eigentlich. Mein 14.04 war penetriert bis zum Abwinken! Morgen bekommt Ihr einen Bericht über die Meldungen chkrootkit und rkhunter auf dem frisch installierten 15.04. Noch 21,000001 Tag bis zum Erscheinen von 15.10. Ich kann's kaum erwarten! Sec
|
Salander
Anmeldungsdatum: 10. Juni 2015
Beiträge: 18
|
Flieger-RauTec schrieb: !! Alarm oder Entwarnung !! Erde an alle Ubuntuianer. Vielleicht kann der eine oder andere das mal nachmachen um zu checken ob der gemeldete Fehler überhaupt ein "echter" Fehler ist ? Also, ich habe das mal nach gemacht:
sudo chkrootkit
Ergebnis:
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
Also, entweder sind alle unsere Rechner verpisst oder es handelt sich um eine Fehlmeldung ?! Ich habe eine ganz normale Desktop-Installation. Erde an Sec Möglicherweise kannst Du aufatmen und es ist falscher Alarm. Deshalb: Können noch ein paar Leute da draussen in der Ubuntu-Welt das mal nach- / mitmachen ?
Bei mir auch: Searching for Suckit rootkit... Warning: /sbin/init INFECTED
|
bratze
Anmeldungsdatum: 7. Oktober 2007
Beiträge: 48
|
Sec schrieb: ich hab's getan und neu installiert. Jetzt melde ich mich von Ubuntu 15.04. [...]
Die Frage danach, ob's denn ein richtiger Fehler war, erübrigt sich eigentlich. Mein 14.04 war penetriert bis zum Abwinken!
Super!
Gute Entscheidung. 👍 Viel Spass damit
Bratze
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
Ich würde eher sagen, du hattest keine Ahnung, dafür viel Angst und Langeweile. Aber wenn man die man nicht liest, weiß man halt nichts von false positives, obwohl man hier im Thema mehrfach drauf hingewiesen wird. Und die Begründungen werden nicht weniger skurril: Ich musste auch schon gelegentlich das Herunterfahren mit PW für sudo-Rechte bestätigen. Kommt vor, wenn aus Gründen diese Rechte gerade nicht vermittelbar sind. War bei mir ein Kommunikationsproblem (DBUS?). Aber auf die bescheidene Idee, neuzuinstallieren, käme ich nicht. Lass den Test doch nochmal laufen. Normalerweise wimmelt er nur so von Falschmeldungen. Ist halt kein Virenscanner, sondern das Falschmelden die Regel! Nicht umsonst heißt es, dass man keinen Virenscanner braucht - selbst unter Win sind die oft neue Lücken aufreißend, wie der CCC weiß. Man sollte damit auch umgehen können, wenn man solche Kalibergeschosse wie Rootkitfinder benutzt. Und ansonsten lieber die Finger davon lassen. Sowas ist substanzlose Panikmache im Forum und davon brauchen wir echt nicht noch mehr. Nix für ungut, Fragen kostet nichts.
|