Debian AMD64 anomalia?

Security-all

Hello mindenki!

Egy elege gyanus esettel talakoztam es mar nem iagazan tudom, hogy mire gondoljak, ugyhogy kikernem a velemenyeteket:
Szoval adott egy Debian AMD64-et futtato gep, 64 bites kernelel es userlandel. A gepen egy napja bekattant a su es elszall egy olyan hibauzenettel, hogy nem talaja a modult.

Utannaneztem a dolognak es kiderult, hogy a su ami nem mukodik az egy 32 bites binaris es nem a /bin/su (ami 64 bites) hanem a /usr/bin/su!!!!!

file-al gyorsan megkersetem, hogy milyen 32bites binarisok vannak meg a /usr/bin-ben es egy rakatot talaltam (su, ps, kill, tar ...).

Az apt-file-al rakerestem es egyik package sem tartalmazza ezeket a fileokat. A rootkit scannerek (mert rootkit-gyanus volt a dolog) nem talalnak semmit.

Van valakinek otlete, hogy mikent kerulhettek oda azoka 32 bites binarisok?

Esetleg ha valaki futtat "pure AMD64"-et, akkor mgkernem szepen nezzen utana, hogy ezek a gyanus fileok meg vannak mas rendszereken is.

  • 1356 megtekintés

( popacsek | 2006. 11. 10., p – 17:49 )

Nekem nincs ilyesmi ott, bár én nem debian-t használok.

Ősi trükk, hogy hackelt programot PATH-on előbb lévő könyvtárba tesznek, mint az eredeti. Nálad is ez lehet?
Mik a jogosultságai a /usr/bin-nek?

A /usr/bin jogosultsaga drwxr-xr-x. Es tenyleg ugy tunik, mintha az lenne ahylzet, hogy valaki odapakolta. De a gep cska neha van huzamosabb ideig bekapcsolva es userek sincsenek.

Hogy tudom kideriteni hogy hackeltek e a binarisok. strace, ltrace, strings megvolt de semmi gyanusat nem lattam.

( sb | 2006. 11. 12., v – 11:53 )

No esteleg meg valakinek van valami mas tanacsa, otlete?

( rubasov | 2006. 11. 12., v – 14:22 )

Hasznalok "pure AMD64" rendszert (Debian Etch), es a helyzet a kovetkezo:

# ls /usr/bin/su
ls: /usr/bin/su: No such file or directory
# file /bin/su
/bin/su: setuid ELF 64-bit LSB executable, AMD x86-64, version 1 (SYSV), for GNU/Linux 2.6.0, dynamically linked (uses shared libs), for GNU/Linux 2.6.0, stripped

udv: rubasov

( Dr_Mac | 2006. 11. 12., v – 17:05 )

Nálam így néz ki:
mzs@amd64:~$ file /bin/su
/bin/su: setuid ELF 64-bit LSB executable, AMD x86-64, version 1 (SYSV), for GNU/Linux 2.6.0, dynamically linked (uses shared libs), stripped
mzs@amd64:~$ file /bin/ps
/bin/ps: ELF 64-bit LSB executable, AMD x86-64, version 1 (SYSV), for GNU/Linux 2.6.0, dynamically linked (uses shared libs), stripped

( sb | 2006. 11. 12., v – 17:56 )

Kossz az infokat. Akkor megiscsak gyanus a dolog! Igaz a kereso progik szerint rootkitnek semmi nyoma...