linux-l: gdb & rootkits

Jens Dreger dreger at physik.fu-berlin.de
Mo Nov 29 13:13:44 CET 1999 

Hallo allerseits !

Jetzt habe ich mal ein richtiges nettes Problem. Irgendein freundlicher
Hacker hat meine Kiste in der Uni uebernommen. Natuerlich koennte ich
einfach drueberinstallieren, aber man will ja wissen, was da vor sich
geht. Vor allem wuesste ich gerne, wie schlau der Hacker wirklich ist,
d.h. ob er nur ein vorgefertigtes root-kit verwendet hat, oder ob er das
selbst gestrickt hat. Wenn er naemlich "schlau" ist, hat er
moeglicherweise auch noch andere Rechner geknackt, und ich erkenne es
bisher bloss nicht.

Saemtliche wichtigen binaries sind ersetzt, ich habe das ganze ueberhaupt
nur gemerkt, weil top ploetzlich nicht mehr ging, was ich eine Weile
ertragen habe, bis es mich dann ausreichend nervte. Ich hatte auch einen
load-level von 1, und kein Prozess fuehlte sich zustaendig, was daran lag,
dass auch ps ersetzt war. ;-)

Nundenn, meine eigentlich Frage ist erstmal, wie kann ich ein gestripptes
Programm mit gdb (oder ddd, oder sonst einem Debugger) schrittweise auf
Assemblerebene abarbeiten lassen ? Bei dem ersetzten /bin/login
funktioniert das gut (weil der Hacker es eben nicht gestrippt hat) und ich
weiss genau, was es tut: es ruft /usr/bin/chx auf, nachdem es
"/usr/bin/chx" aus einzelnen strcat-Aufrufen zusammengeklebt hat.
Und ueber chx kann ich leider nichts rausbekommen: wenn ich "gdb
/usr/bin/chx" verwende, und "run" aufrufe, terminiert es sofort. Wie kann
ich hier per Einzelschritt vorgehen ? Wie kann ich ueberhaupt einen
Breakpoint setzten ? gdb zeigt nicht einmal Adressen an. Er weiss
offenbar nicht, wo das Program loslegen soll ?!?

Uebrigens gehoert /usr/bin/chx normalerweise anscheinend zu cxterm, also
der chinesischen XTerm Variante. Wenn man also ein /usr/bin/chx hat, ist
schon mal Vorsicht geboten (es sei denn, man hat wahrhaftig cxterm
installiert).

Also: Assembler-Freaks bitte melden !!

Danke,

Jens.

____________________________________________________________________________
Jens Dreger                     | Freie Universitaet Berlin
Cauerstrasse 35a                | Fachbereich Physik, WWW Administration
10587 Berlin                    | Arnimallee 14, 14195 Berlin
Tel: (030)342-3616              | Tel.: (030)838-4774
jens.dreger at physik.fu-berlin.de | webadmin at physik.fu-berlin.de
Frueher war alles anders, warum soll da nicht heute auch alles anders sein ?

Mehr Informationen über die Mailingliste linux-l