/bin/ls scheint nicht mehr original zu sein

[peter123]

Hallo zusammen,

ich muß bei einem VServer ein wenig nach einem rootkit-Befall aufräumen. Es wurde nichts weltbewegendes gemacht.

Nun der letzte Schritt:
das file "/bin/netstat" ist laut rkhunter nicht mehr original, wo bekomme ich das original-file her ?

Gibt es eine elegante Möglichkeit alle Files unter /bin /usr/bin mit den Originalen abzugleichen ?

Es handelt sich um eine debian 5 System.

Danke und Grüße
Peter

[Roger Wilco]

Du willst dich über debsums informieren.

[peter123]

vielen Dank, nettes kleines Paket um die Checksummen zu prüfen.

Wie komme ich an die orginal-Files von z.B. ls , top , ifconfig , .... ?

Grüße
Peter

[Roger Wilco]

*** Multiposting - Was ist das und warum mag die keiner? ***
http://serversupportforum.de/forum/virt ... -sein.html

Wie komme ich an die orginal-Files von z.B. ls , top , ifconfig , .... ?

Indem du die Pakete einfach wieder über die Paketverwaltung deiner Distribution installierst.

[papabaer]

Grundsätzlich ne gaaaanz schlechte Idee, den Server "reparieren" zu wollen. Bei nem System zu Hause kann man das nen Virenscanner machen lassen und hoffen, dass er alles findet. Wissen kann man das nie.

Und genau dieses nie ganz wissen, kann man sich auf nem Server nicht leisten. Ein kompromitierter Server muss daher neu aufgesetzt werden. Mehr Infos zu dem Thema unter:

http://www.server-wissen.de/security/me ... h-tun.html
http://www.debian.org/doc/manuals/secur ... se.de.html

[peter123]

Vielen Dank für euer Tips, ich habe allerdings selber auf einem "Test-Vserver" diverse Sicherheitslücken gesucht und gerunden ... allerdings hatte ich vergessen, daß diverse rootkits die Dateiattribute verändern.

Nun mit:

chattr -a -s -i

und dannach konnte ich wie gewohnt das modifizierte file entfernen und es mit dem paketmanager sauber installieren.
Nun ist alles wieder im "original-Zustand"und somit ist das System wieder bereit um das nächste Sicherheitsloch zu finden.

Kann geschlossen werden.

[papabaer]

Nun ist alles wieder im "original-Zustand"

Und das weißt du woher? Weil dein möglichwereise kompromitiertes Packet-Management das sagt? Weil dein möglichwerweise kompromitierter Kernel die Syscalls so beantwortet, wie du das erwartest? Weil dein möglicherweise durch das Rootkit ersetzte RKhunter keine komischen Prozesse mehr findet? Weil dir ps keine verdächtigen Programme mehr anzeigt? Rootkits laden gelegentlich anderen Schadcode nach.

Kurz: sowas kann man nicht wissen.

[Joe User]

Zumal sich gute RootKits im geschützten Speicherbereich einnisten und beim Reboot wieder auf Platte scheiben. Vom Zugang zum BIOS mal ganz abgesehen...

[oxygen]

Zumal sich gute RootKits im geschützten Speicherbereich einnisten und beim Reboot wieder auf Platte scheiben. Vom Zugang zum BIOS mal ganz abgesehen...

Bei einem VServer wo man nicht mal Zugriff auf den Kernel hat ist das wohl recht unwahrscheinlich ;)

[Joe User]

Das geht auch bei VServern ohne grosse Probleme, es lohnt sich nur noch nicht für Scriptkiddies und somit gibt es dazu noch keine Heise-News :roll: