Lieber Besucher, herzlich willkommen bei: Ubuntu-Forum & Kubuntu-Forum | www.Ubuntu-Forum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.
Quellcode |
|
1 2 3 4 5 6 7 |
# Originalpaket downloaden, aber nicht installieren # (ansonsten wäre das System zwar sofort sauber, aber ein eventueller Einbruch wäre überdeckt) sudo apt-get --reinstall -d install libkeyutils1 # prüfen der installierten Dateien gegen die MD5-Summen aus dem soeben heruntergeladenen Paket # dabei alle lokalen Daten ignorieren und stattdessen aus der Download-Datei holen. debsums -p /var/cache/apt/archives --generate=all libkeyutils1 |
Quellcode |
|
1 2 3 4 |
debsums -a libkeyutils1 /usr/share/doc/libkeyutils1/copyright OK /usr/share/doc/libkeyutils1/changelog.Debian.gz OK /lib/libkeyutils.so.1.3 OK |
Quellcode |
|
1 2 3 4 |
debsums -a -p /var/cache/apt/archives --generate=all libkeyutils1 /usr/share/doc/libkeyutils1/copyright OK /usr/share/doc/libkeyutils1/changelog.Debian.gz OK /lib/libkeyutils.so.1.3 FAILED |
Benutzerinformationen überspringen
User
Registrierungsdatum: 14.09.2005
Derivat: Xubuntu
Architektur: 64-Bit PC
Desktop: XFCE
Das stimmt schon, aber das ganze ist eine News und richtet sich nicht speziell an Anfänger. Ich habe mein Kommentar nur geschrieben, weil mehrere Antworten kamen im Stil von: "Alles Ok, danke wieder etwas gelernt"Zitat
Dieses Forum richtet sich überwiegend an Einsteiger, also sollten die
Schritte auch für sie nachvollziehbar (sprich in wenigen Schritten und
mit verfügbaren Kommandos machbar) sein.
Benutzerinformationen überspringen
User
Registrierungsdatum: 10.03.2005
Derivat: Ubuntu
Architektur: 64-Bit PC
Desktop: GNOME 3.0
Andere Betriebssysteme: debian
Genau deswegen habe ich die Meldung ja hier reingesetzt und einen einfachen Ansatz gebracht, obwohl es den Durchschnittsuser sehr wahrscheinlich gar nicht betreffen wird. Ich hielt es für eine gute Idee, auf DEB-Systeme einzugehen, da im restlichen Netz zumindest zu dem Zeitpunkt nur Lösungen für RPM angeboten waren. (Womit es ja für dieses Forum völlig uninteressant gewesen wäre)Selbst Einsteiger profitieren davon, wenn der Mechanismus hinter einer Software in groben Zügen erklärt wird
Benutzerinformationen überspringen
User
Registrierungsdatum: 10.03.2005
Derivat: Ubuntu
Architektur: 64-Bit PC
Desktop: GNOME 3.0
Andere Betriebssysteme: debian
Benutzerinformationen überspringen
User
Registrierungsdatum: 12.03.2008
Derivat: Kein Ubuntu-Derivat
Architektur: 64-Bit PC
Desktop: XFCE
Andere Betriebssysteme: Arch Linux
Zitat von »libkeyutils1«
Description: Linux Key Management Utilities (library)
Keyutils is a set of utilities for managing the key retention facility in the kernel, which can be used by filesystems, block devices and more to gain and retain the authorization and encryption keys required to perform secure operations.
Zitat von »cifs-utils«
Description: Common Internet File System utilities
The SMB/CIFS protocol provides support for cross-platform file sharing with Microsoft Windows, OS X, and other Unix systems.
Die betreffenden SSH-Pakete schnitten demnach offenbar die erzeugten/verwendeten SSH-Keys mit. Diese können somit vom bösen Mann abgefragt bzw. automatisch oder auf Abruf übermittelt werden. Soweit die Frage, wie der wohl ins System kommt.Zitat von »http://docs.cpanel.net/twiki/bin/view/AllDocumentation/CompSystem«
In regards to CentOS and RedHat systems, we have determined that the sshd, ssh, ssh-keygen, and ssh-askpass binaries all appear to contain trojan code. This code is used to collect authentication credentials for both inbound and outbound connections. We believe that the SSH keys generated by these binaries were also captured.
Quellcode |
|
1 2 3 |
whereis libkeyutils.so.1 libkeyutils.so: /lib/libkeyutils.so.1 # <- diese Datei prüfen: strings /lib/libkeyutils.so.1 | egrep 'connect|socket|inet_ntoa|gethostbyname' |
Quellcode |
|
1 2 3 4 |
gethostbyname socket inet_ntoa connect |
Quellcode |
|
1 |
ldd /usr/sbin/sshd | grep "=> /" | cut -d' ' -f3 | xargs dpkg -S |
Benutzerinformationen überspringen
User
Registrierungsdatum: 14.09.2005
Derivat: Xubuntu
Architektur: 64-Bit PC
Desktop: XFCE
Benutzerinformationen überspringen
User
Registrierungsdatum: 10.03.2005
Derivat: Ubuntu
Architektur: 64-Bit PC
Desktop: GNOME 3.0
Andere Betriebssysteme: debian
Benutzerinformationen überspringen
User
Registrierungsdatum: 28.07.2011
Derivat: Kein Ubuntu-Derivat
Version: gar kein Ubuntu
Architektur: 64-Bit PC
Desktop: unbekannt
Zitat
CERT.at wurde informiert, dass nachsthende(r) Server in Ihrem Netz-
werk mit hoher Wahrscheinlichkeit kompromittiert und ein SSHD rootkit
installiert wurde. Ein Zusammenhang mit der aktuellen Welle an Server-
Hacks (siehe [1], [2] und [3]) ist zu vermuten.
Zitat
Weiss jemand wo man dieses Zeug, welches Poettering raucht, kaufen kann? Und brennt das dann auch mit nem normalen Feuerzeug? Oder brauch ich da jointd dazu, um den Rauch zu erzeugen?
Benutzerinformationen überspringen
User
Registrierungsdatum: 10.03.2005
Derivat: Ubuntu
Architektur: 64-Bit PC
Desktop: GNOME 3.0
Andere Betriebssysteme: debian
(siehe [1], [2] und [3])
Sponsorenwerbung: |
Hardware, Computer, PCs, Notebooks & Laptops mit Linux |
Forensoftware: Burning Board®, entwickelt von WoltLab® GmbH
Individuelle Notebooks Laptops - Individuelle Computer PCs - Linux Notebooks & Computers
Lastminute - Ubuntu Linux - Abmahnung - Geek und Nerd Shirt Shop
T-Shirts - sanierung wien