Re: Gruppenrechte in /bin und /sbin magisch geändert

Sorry, aber besser spät als nie ...

Roland Jesse <jesse(at)mail.cs.uni-magdeburg.de> wrote:
> mein "security check output" von heute Nacht sagt mir einen Haufen
> meldungen der folgenden Art:
>
> < 60 -r-sr-xr-x 1 root sys 247484 Jul 11 17:05:24 2001 /bin/rcp
> ---
> > 60 -r-sr-xr-x 1 root wheel 247484 Jul 11 17:05:24 2001 /bin/rcp
> 6c6
> < 316 -r-sr-xr-x 1 root sys 199928 Jul 11 17:07:15 2001 /sbin/ping
> ---
> > 316 -r-sr-xr-x 1 root wheel 199928 Jul 11 17:07:15 2001 /sbin/ping
> 10c10
> < 314 -r-sr-xr-x 1 root sys 197676 Jul 11 17:07:16 2001 /sbin/route
> ---
> > 314 -r-sr-xr-x 1 root wheel 197676 Jul 11 17:07:16 2001 /sbin/route
>
> Das System ist noch immer ein 4.3-stable von Mitte Juli. In den syslog
> Meldungen des letzten Tages kann ich nichts weiter erkennen. Hat
> jemand Erfahrungen damit, wo derlei Aktivitäten herrühren könnten?

Zunächstmal gehören die drei obigen Binaries normalerweise
der wheel-Gruppe. Damit stellen sich zwei Fragen:
  -- Warum gehörten sie bei Dir vorher der sys-Gruppe?
  -- Wer hat die Gruppenzugehörigkeit »korrigiert«?

Ein »ls -lc« sollte Dir sagen, wann der chgrp stattfand.
Dann solltest Du mal schauen, ob zu der betreffenden Zeit
irgendwelche verdächtigen Cronjobs liefen, oder wer zu dem
Zeitpunkt gerade eingeloggt war. Hast Du zufällig Process-
accounting eingeschaltet? Oder ein Überwachungstool à la
Tripwire laufen? Das könnte dann sehr aufschlußreich sein.

Es ist natürlich nicht völlig auszuschließen, daß jemand
in Deine Kiste reingehackt ist und ein Rootkit installiert
hat.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"All that we see or seem is just a dream within a dream" (E. A. Poe)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message