(beendet) mutmaßlich chinesische untermieter: help needed

[michaa7]

Ganz sicher bin ich mir noch nicht, aber ich befürchte ich habe chinesische untermieter an board (auf meinem home server)

Was spricht dafür:
http://debianforum.de/forum/viewtopic.p ... 79#p975879

Weitere untersuchungen ergaben:
syslogd läuft nicht (wohl seit May 2013)
syslogd kann ncith gestartet werden (# /etc/init.d/syslogd start
bash: /etc/init.d/syslogd: Datei oder Verzeichnis nicht gefunden)
vermutlich trifft das gleiche für klogd zu (keine aktualisierung von /var/log/kern

rkhunter updated chinesische internationalisierungsfiles, sehr freundlich, aber sprachlich ehr unangemessen)

Das ist ein zweiter durchlauf, daher kein update bei den chinesischen files. Oder ist das standard aus irgendeien grund, dass die chinesischen internationalisierungen in die rkhunter-datenbank wandern? Vielleicht ist WOODy (Debian 2005) trotz laufemdem updat nun doch müde geworden?

# rkhunter --update
[ Rootkit Hunter version 1.4.0 ]

Checking rkhunter data files...
Checking file mirrors.dat [ No update ]
Checking file programs_bad.dat [ No update ]
Checking file backdoorports.dat [ No update ]
Checking file suspscan.dat [ No update ]
Checking file i18n/cn [ No update ]
Checking file i18n/de [ No update ]
Checking file i18n/en [ No update ]
Checking file i18n/zh [ No update ]
Checking file i18n/zh.utf8 [ No update ]

chkrootkit testet sylogd nicht (weil nicht vorhanden)

Rootkits oder sonstiges werden zwar nicht gefunden, rkhunter findet viele veränderte files, allerdings kann dies auch mit dem update von Debian 6 auf 7 zusammenhängen.

Neben all denn funktionsfehlern find ich diese chinesischen internationalisierungsfiles am merkwürdigsten.

Wie gehe ich am besten weiter vor. Es befindet sich eine wartungspartition auf dem (uralt) rechner, die *nicht* gemountet ist, wenn das (nun möglicherweise verseuchte) hauptsystem gemountet ist. Der rechner hat kein CDROM (mehr) und bootet wohl nicht von usb. Wie bekomme ich da wieder ein system drauf. Würde es reichen von der wartungspartition die versuchte systempartition zu nullen oder muß ich noch radikaler vorgehen.

Wot schäll ai du?

[orcape]

Hi micha,
bist Du Dir ganz sicher das nicht zufällig eine i18n/ der chinesichen Ausführung irgendwann mal fälschlicherweise installiert wurde ?
Was Debian Woody betrifft, denke ich, das es an der Zeit wäre, das ganze mal zu "überarbeiten", allein wegen der wohl nicht mehr so richtig funktionierenden Sicherheitsaktualisierungen.
Gruß orcape

[uname]

Vorteil an dieser Konstellation ist, dass man dabei viel lernen kann. So würde ich an deiner Stelle das System weiter analysieren und danach erst plattmachen.
Bei mir gibt es "syslog" auch nicht sondern "rsyslog", welches zum Paket rsyslog gehört.

Ein paar Ideen:
1.) Installiere mal apt-show-versions und suche nach verwaisten Paketen, also eine "fgrep -v" - Filterung auf wheezy oder so ähnlich
2.) Schau dir debsums an und lass es mal durchlaufen, filtere auf "fgrep -v OK"
3.) einige Pakete könnten noch Konfigurationen haben

Code: Alles auswählen

dpkg -l |grep "^rc"

Könntest du mal weghauen wenn du die Konfigurationen nicht mehr brauchst, mag auch "syslog" bei sein.

Code: Alles auswählen

apt-get remove --purge $(dpkg -l |grep "^rc" |awk '{print $2}' | xargs)

4.) Scannen macht eigentlich immer nur von außen (z.B. Live-CD) Sinn. Nutze eine Live-CD oder Live-USB (z.B. GRML) und versuche debsums zu wiederholen. Auch könntest du von allen Dateien z.B. mal Prüfsummen (z.B. md5sum) bilden. Da Schadcode auch diese korrekt zurückändern könnte, könntest du mal über alle Dateien die Prüfsummen zwischen gebootetem System und gemountet per Live-CD/USB vergleichen. Vielleicht gibt es ja Unterschiede.

Ich habe im übrigen noch ein altes Sarge-System, welches auch mittlerweile über die Jahre auf Wheezy läuft. Über die Release-Wechsel sind auch bei mir ein paar Leichen übrig geblieben.

[dirk11]

Vielleicht ist WOODy (Debian 2005) trotz laufemdem updat nun doch müde geworden?

Bitte welche "laufenden Updates"? Wie jemand anderer schon schrieb, gibt es für Woody seit 2005 keine Updates mehr.
Ich sehe übrigens - anders als einige andere hier - in so einem System kein nennenswertes Problem, so lange man es in einer definierten Umgebung laufen hat, und kein Dienst nach außen zur Verfügung gestellt werden muss, beispielsweise wenn es ein Steuerungsrechner ist oder sowas in der Art. Aber mit Zugang zur großen weiten Welt würde ich sowas freiwillig auch nicht mehr laufen lassen, alleine schon deshalb, weil das ein Einfallstor für die anderen Rechner wäre, z.B. durch gemeinsam genutzte Dienste oder systemübergreifend vorhandene Accounts.

Ich habe im übrigen noch ein altes Sarge-System, welches auch mittlerweile über die Jahre auf Wheezy läuft. Über die Release-Wechsel sind auch bei mir ein paar Leichen übrig geblieben.

Och, solche Leichen halten sich aber erstaunlicherweise in Grenzen. Auf meinen Rechnern hatte ich Debian, basierend auf einer(!) Potatoe-Installation, welche fortwährend aktualisiert wurde. Durch einen dieses Jahr endlich durchgeführten Wechsel auf 64Bit "angeregt" habe ich mittlerweile vier Rechner komplett neu aufgesetzt und die alten Konfigs damit gemerget - schliesslich will man ja auch wieder ein lauffähiges System haben. Die Unterschiede von Squeeze zu Wheezy sind "normal", die Leichen, die man wirklich gar nicht mehr benötigt, dürfte sich auf einige kB beschränken. Jedenfalls kaum der Rede wert, wenn man sie dennoch mitschleppt. Man hat mit denen halt nur die Problematik, dass man u.U. in Files rumkonfiguriert oder nach Fehlern sucht, welche vom System schon seit nem Jahrzehnt nicht mehr beachtet werden

[michaa7]

Vielleicht ist WOODy (Debian 2005) trotz laufemdem updat nun doch müde geworden?

Bitte welche "laufenden Updates"? Wie jemand anderer schon schrieb, gibt es für Woody seit 2005 keine Updates mehr.
...

Du meine güte, ist das sooooo schwer zu verstehen. Das system wurde unter Woody angelegt, aber es hat natürlich die updates über sarge, etch, lenny, squeeze nach wheezy mitgemacht. In soweit ist es ein top aktuelles "stable", was es immer war. Aber die diversen fehler, vor allem die anmerkungen rendegast im hwclock thread haben mich dazu veranlas klar zu machen dass das system auf eine woody installation *zurückreicht*. Nun wird also langsam klar dass die releaseübergänge wohl doch die eine oder andere hinterlassenschaft mit sich gebracht haben.

Gestern nacht hatte ich dieses posting auch noch in teilen korrigiert, text durchgestrichen, aber vor lauter vorschau und noch mehr wohl wegen müdigkeit den "absenden"-knopf verfehlt , daher nun die korrektur:

zu den chinesischen i8n files: rkhunter, den ich natürlich gestarte habe zieht wohl standardmäßig chinesische internationalisierungsfiles in seine database. Das hat mich wohl fälschlicherweise auf die chinesische spur gebracht. Es wäre mir sehr lieb wenn mir dieses rkhunter verhalten jemand bestätigen könnte.

So habe ich wohl ehr ein veraltetes, aber kein verseuchtes system. Wie und warum syslogd heruntergeflogen ist (da war auch kein rsyslog o.ä. vorhanden, und am 5.may letzen jahres endenden syslogeinträge habe ich als kappute uhr *fehlinterpretiert*) ist mir nicht nachvollziehbar. Mittlerweile läuft syslogd-ng (rsyslog und busybox-syslog bereitete probleme) und die einträge in den log dateien (syslog und kern) haben die richtigen zeitstempel

In soweit reduziert sich meine anfrage auf:
Wie finde ich veraltete pakete, wie entferne ich überflüssige symlinks, wie unterbinde ich veraltete fehlermeldungen ala "missing LSB tags and overrides"? Leider bringt das autoremove gar ncihts, weil die veralteten pakete zwar nicht mehr installiert sind, die symlings in den startleveln aber nicht alle gelöscht wurden.

Ich würde es begrüßen, wenn weiterhin interessierte diesen thread hier sterben lassen und hier einsteigen würden

[dirk11]

Du meine güte, ist das sooooo schwer zu verstehen.

Bei deiner Schreibweise: JA! Sonst hätten da wohl kaum mehrere drauf geantwortet.

Das system wurde unter Woody angelegt, aber es hat natürlich die updates über sarge, etch, lenny, squeeze nach wheezy mitgemacht. In soweit ist es ein top aktuelles "stable", was es immer war.

Warum schreibst dann so deppert? Das ist kein Woody, sondern - sofern es ein aktuelles stable ist - ein Wheezy.

haben mich dazu veranlas klar zu machen dass das system auf eine woody installation *zurückreicht*.

Nein, das hast du keineswegs so explizit umschrieben.

Nun wird also langsam klar dass die releaseübergänge wohl doch die eine oder andere hinterlassenschaft mit sich gebracht haben.

Wie ich schon schrieb, auf Potato basierende Rechner haben hier bis Squeeze klaglos überlebt - problemlos.

So habe ich wohl ehr ein veraltetes, aber kein verseuchtes system. Wie und warum syslogd heruntergeflogen ist (da war auch kein rsyslog o.ä. vorhanden, und am 5.may letzen jahres endenden syslogeinträge habe ich als kappute uhr *fehlinterpretiert*) ist mir nicht nachvollziehbar.

Bei irgendeinem Release-Wechsel wurde auch der Standard geändert, ich glaube von syslogd auf rsyslogd. Und wenn man da nicht drauf geachtet hat, hat man danach eben gar keinen syslog mehr gehabt. Man sollte sich bei Release-Updates schon genau anschauen, was da passiert.

Ich würde es begrüßen, wenn weiterhin interessierte diesen thread hier sterben lassen und hier einsteigen würden

Da sich meine Antwort ausschliesslich auf hier geschriebenes bezog, habe ich auch noch letztmalig hier geantwortet.

[Dogge]

So habe ich wohl ehr ein veraltetes, aber kein verseuchtes system. Wie und warum syslogd heruntergeflogen ist (da war auch kein rsyslog o.ä. vorhanden, und am 5.may letzen jahres endenden syslogeinträge habe ich als kappute uhr *fehlinterpretiert*) ist mir nicht nachvollziehbar.

Bei irgendeinem Release-Wechsel wurde auch der Standard geändert, ich glaube von syslogd auf rsyslogd. Und wenn man da nicht drauf geachtet hat, hat man danach eben gar keinen syslog mehr gehabt. Man sollte sich bei Release-Updates schon genau anschauen, was da passiert.

Sollte dist-upgrade sowas nicht auflösen?

[dirk11]

Sollte dist-upgrade sowas nicht auflösen?

Hättekönntesollte. Wir waren nicht dabei...