Fremder Zugriff auf mein System?

chris_ · Beitrag von **chris_** » 04.09.2006 14:12:05

Hallo Leute,

meine Tripwire sagt, dass folgende Dateien geändert wurden, obwohl ich zu der Zeit nicht am Rechner war.

"/lib/modules/2.4.27-3-386/modules.dep"
"/lib/modules/2.4.27-3-386/modules.generic_string"
"/lib/modules/2.4.27-3-386/modules.ieee1394map"
"/lib/modules/2.4.27-3-386/modules.isapnpmap"
"/lib/modules/2.4.27-3-386/modules.parportmap"
"/lib/modules/2.4.27-3-386/modules.pcimap"
"/lib/modules/2.4.27-3-386/modules.pnpbiosmap"
"/lib/modules/2.4.27-3-386/modules.usbmap"

Alle Dateien gehören zu kernel-image-2.4.27-3-386, das am Jun 17 11:29 installiert wurde. Seither wurde das System im Juli und Aug bereits neu gebootet. Warum änderten sich die Dateien?

"/etc/hotplug/.run/net.enable"
"/etc/motd"
"/etc/mtab"
"/etc/network/run"
"/etc/network/run/ifstate"
wurden ebenso geändert. Die Änderungen sind jedoch unkritisch.

Was mir unsicher macht, ist dass /dev/tty1 auf GID 0 gesetzt wurde.
Property: Expected Observed
------------- ----------- -----------
* GID tty (5) root (0)

Andererseits haben alle tty[1-6] root als GID.
Hat dafür jemand eine Erklärung?

Anm.:
chkrootkit hat kein Root-kit gefunden.
Alle Ports scheinen mit geplanten Diensten sinnvoll geschlossen/geöffnet zu sein.

novalix · Beitrag von **novalix** » 04.09.2006 14:31:15

hi,

kannst du ausschliessen, dass es false positives sind? mit tripwire habe ich noch nicht gearbeitet. es funkitioniert aber iirc ganz aehnlich wie aide, in dessen dokumentation ausfuehrlich auf das problem eingegangen wird.

ciao, niels

chris_ · Beitrag von **chris_** » 04.09.2006 16:11:36

Absolut sicher, dass dies kein false positive! Aus dem Bericht:
---8<---
Modified object name: /lib/modules/2.4.27-3-386/modules.dep
Property: Expected Observed
------------- ----------- -----------
* Modify Time Thu Jul 13 14:25:49 2006 Wed Aug 30 16:30:12 2006
* Change Time Thu Jul 13 14:25:49 2006 Wed Aug 30 16:30:12 2006

Modified object name: /lib/modules/2.4.27-3-386/modules.generic_string
Property: Expected Observed
------------- ----------- -----------
* Modify Time Thu Jul 13 14:25:49 2006 Wed Aug 30 16:30:12 2006
* Change Time Thu Jul 13 14:25:49 2006 Wed Aug 30 16:30:12 2006
...
---8<---
Alle Dateien wurden zur gleichen Zeit aktualisiert.
Es erfolge ein reboot kurz davor (Aug 30 16:27:13 linux-pc syslogd 1.4.1#17: restart.).

Drei Dateien scheinen einee falsche checksumme zu haben:

debsums kernel-image-2.4.27-3-386 | grep "modules\."
/lib/modules/2.4.27-3-386/modules.dep FAILED
/lib/modules/2.4.27-3-386/modules.generic_string OK
/lib/modules/2.4.27-3-386/modules.pcimap FAILED
/lib/modules/2.4.27-3-386/modules.isapnpmap FAILED
/lib/modules/2.4.27-3-386/modules.usbmap OK
/lib/modules/2.4.27-3-386/modules.parportmap OK
/lib/modules/2.4.27-3-386/modules.ieee1394map OK
/lib/modules/2.4.27-3-386/modules.pnpbiosmap OK

chris_ · Beitrag von **chris_** » 05.09.2006 07:33:29

Kann jemand mal von euch:
# debsums kernel-image-2.4.27-3-386 | grep "modules\."
(sarge, stable) ausführen?

Mich interessiert, ob die checksums bei anderen auch nicht stimmen.
Danke.

chris_ · Beitrag von **chris_** » 05.09.2006 09:07:57

Der Reboot wurde durch einen Spannungseinbruch verursacht, der lt. E-Firma wegen eines Gewitters verursacht wurde.

Wenn mir jemand noch das mit dev/tty1 die modules erklären könnte warum sich diese geändert haben, wären alle meine Fragen beantwortet.