linux-l: rpc.statd: komische Fehlermeldung

[Steffen Dettmer]

* David Hansen wrote on Thu, May 17, 2001 at 21:03 +0200:
> On Thu, May 17 at 20:28 Andre Schmaida wrote:
> > zeigt die shellhistory(.bash_history o. .history) von root auf /dev/null?
> 
> > schaue nach user mit userid 0 ausser root(vorzugsweise tmp tmpx)
> > scanne den rechner ab, offene ports etc.(inet.d) veraendert.
> 
> Sieht alles ganz gut aus. 

Hast Du für Deine Tests von CD gebootet? Ein gutes rootkit
tauscht mindestens Sachen wie netstat und ls aus, d.h. Du kannst
den Tools nicht trauen, auch "unsichtbare" Kernelmodule könnten
laufen. 

Du solltest auch securityfocus.com gucken, ob Deine rpc.statd
Version einen remote root bug hat, und wenn ja, mußt Du die
Platte in einem definitiv sauberen (z.B. Rettungs-) System
mounten und von vorn anfangen.

> Ich bin ja halbwegs beruhigt. Soviel Spass
> haette auch niemand an dem Geraet. Es werden ja schliesslich 24h/d
> DivX'e durch die schmale Leitung gepresst ;)

Vermutlich hätte der Angreifer den entsprechenden Eintrag aus dem
syslogd geschlöscht, aber script kiddies sind nicht unbedingt
sehr intelligent...

> Wie krieg' ich denn raus, ob meine rpc library bugy ist? Das ist ein
> frisch installiertes Debian 2.2r3.

securityfocus.com bug database ist vielleicht ein guter Anfang.

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.