(Solved) cannot execute binary file

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

(Solved) cannot execute binary file

Post by adjustman » 2007-03-18 22:27

Hallo,

bei einem Freund von mir ist seit heute Abend folgendes aufgetreten:
Alle wichtigen Binarys können nicht mehr ausgeführt werden.

Als Bsp.:

Code: Select all

Starting amavisd: /etc/init.d/amavis: line 31: /bin/chown: cannot execute binary file
s1:~# /etc/init.d/amavis start
Starting amavisd: /etc/init.d/amavis: line 31: /bin/chown: cannot execute binary file
s1:~# uname -a
-bash: /bin/uname: cannot execute binary file
Ist ein 64er Debian System (Sarge) Hab schon Google bemüht, aber
keine relevanten Aussagen gefunden. Kann jemand helfen? Danke.
Last edited by adjustman on 2007-03-19 13:39, edited 1 time in total.

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: (Solved) cannot execute binary file

Post by Roger Wilco » 2007-03-18 22:57

Das System kennt das Binärformat nicht. Was sagt denn z. B. `file /bin/chown` oder `/bin/uname`?
Entweder die Dateien sind kaputt oder im Kernel ist keine ELF-Unterstützung mehr vorhanden.

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: (Solved) cannot execute binary file

Post by adjustman » 2007-03-18 23:17

Roger Wilco wrote:Das System kennt das Binärformat nicht. Was sagt denn z. B. `file /bin/chown` oder `/bin/uname`?

Code: Select all

/bin/chown: ELF 64-bit LSB executable, AMD x86-64, version 1 (SYSV), corrupted program header size, corrupted section header size
Entweder die Dateien sind kaputt oder im Kernel ist keine ELF-Unterstützung mehr vorhanden.
und das passiert einfach so? Und der Kernel lief bis heute, dann nicht mehr?

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: (Solved) cannot execute binary file

Post by Roger Wilco » 2007-03-18 23:29

adjustMan wrote:und das passiert einfach so?
"Einfach so" passiert sehr wenig. In diesem Fall kann das verschiedene Ursachen haben. Von Bug im Dateisystemtreiber über fehlgeschlagenes Update bis zu ungebetene Gäste, die einfach Mist gebaut haben. Sicher kann das im Zweifel nur der Verursacher sagen.

Eine Überprüfung des Systems ist auf jeden Fall anzuraten (etwa die MD5 Summen der Dateien testen).

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: (Solved) cannot execute binary file

Post by adjustman » 2007-03-18 23:41

Roger Wilco wrote:"Einfach so" passiert sehr wenig.
das meinte ich ja. ;)
Eine Überprüfung des Systems ist auf jeden Fall anzuraten (etwa die MD5 Summen der Dateien testen).

Code: Select all

s1:~# md5sum /bin/ls
3a071fcd66f73b8a57ec748918b16f57  /bin/ls
Und was sagt mir das nun?

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: (Solved) cannot execute binary file

Post by Roger Wilco » 2007-03-18 23:49

adjustMan wrote:Und was sagt mir das nun?
Gar nichts...

Aber es gibt sicherlich sogar unter Debian die Möglichkeit, die MD5 Summen der Dateien mit denen in den DEB-Paketen zu vergleichen.

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: (Solved) cannot execute binary file

Post by adjustman » 2007-03-19 00:01

Roger Wilco wrote:Aber es gibt sicherlich sogar unter Debian die Möglichkeit, die MD5 Summen der Dateien mit denen in den DEB-Paketen zu vergleichen.
sicher. Bloss wie das geht? Und woher die *.deb zum Vergleich nehmen?

antondollmaier
Posts: 485
Joined: 2004-03-30 10:06

Re: (Solved) cannot execute binary file

Post by antondollmaier » 2007-03-19 13:11

rootkit-Hunter hilft sicher ...

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: (Solved) cannot execute binary file

Post by adjustman » 2007-03-19 13:38

antondollmaier wrote:rootkit-Hunter hilft sicher ...
nee, kann nicht ausgeführt werden. Siehe oben (cannot execute binary file).

Hab jetzt in den Rescue Modus gewechselt (1&1 Server).
Dann habe ich festgestellt, dass ein Rootkit und eine SSH Backdoor
installiert wurden. Ausserdem alle Binaries ausgetauscht, die Aufschluss
auf die Aktion geben könnten. Und natürlich Logfiles manipuliert.

Insofern ist der Thread erledigt. Danke.