|
| Hacket Fra : H@nZen |
Dato : 25-01-04 22:00 |
|
Hej Allesammen
Jeg har fået i problem. Har lovet at holde en af mine venners linux maskine
kørerne, imens han er på en større jord om rejse. Han har lavet sådan at
"Vi" herhjemme kan følge hans tur rundt de forskellige steder. Altså noget
dagbog via hjemmeside.
Nu er problemet bare at jeg tror pcén er blevet hacket. Da den skriver noget
mærkelig noget når man starter den op. Der kommer et brev fra med at der er
en der har været inde og gøre noget i /sbin/init filen. Måske slettet den
ved det ikke da jeg ikke har så meget forstand på det. Hvad kan jeg gøre for
at få den til at kører igen uden at begynde helt forfra. Nogen der er blevet
hacket på samme måde.
Håber I gider hjælpe, da det ville være fedt hvis den kunne komme til at
kører igen. PLZ HELP
| |
Peter Andersen (25-01-2004)
| Kommentar Fra : Peter Andersen |
Dato : 25-01-04 22:18 |
|
H@nZen wrote:
> Hej Allesammen
>
> Jeg har fået i problem. Har lovet at holde en af mine venners linux
> maskine kørerne, imens han er på en større jord om rejse. Han har
> lavet sådan at "Vi" herhjemme kan følge hans tur rundt de forskellige
> steder. Altså noget dagbog via hjemmeside.
> Nu er problemet bare at jeg tror pcén er blevet hacket. Da den
> skriver noget mærkelig noget når man starter den op. Der kommer et
> brev fra med at der er en der har været inde og gøre noget i
> /sbin/init filen. Måske slettet den ved det ikke da jeg ikke har så
> meget forstand på det. Hvad kan jeg gøre for at få den til at kører
> igen uden at begynde helt forfra. Nogen der er blevet hacket på samme
> måde.
>
> Håber I gider hjælpe, da det ville være fedt hvis den kunne komme til
> at kører igen. PLZ HELP
Du må starte med at give en HELT præcis forklaring på hvad der er galt. Hvad
virker ikke, hvilke fejl er der og hvad skriver den under opstart? og først
hvad er det for en linux der kører på den.
--
M.v.h. Peter Andersen.
| |
H@nZen (26-01-2004)
| Kommentar Fra : H@nZen |
Dato : 26-01-04 12:23 |
|
>
> Du må starte med at give en HELT præcis forklaring på hvad der er galt.
Hvad
> virker ikke, hvilke fejl er der og hvad skriver den under opstart? og
først
> hvad er det for en linux der kører på den.
System: Red hat Linux 8.0
Den skriver dette når man har bootet.
Hello, dear friend.
I have two news for you. Bad one and the bad one.
First, it seems that someone installed rootkit on your system.
Second, is the fact that I can't execute (errno=2) original /sbin/init
binary !
And reason whyy I am telling you this is that I can't live without this
file. It's just Kinda of symbiosis, so, boot from clean floppy, mount fs and
repair /sbin/init from backup.
(And install me again, if you like :P)
Best Regards
Your rootkit
Hvad skal jeg gøre. Kan forstå at man skal tage en ren floppy disk og lave
noget backup ??
Hjælp PLZ
Lars
| |
Peter Makholm (26-01-2004)
| Kommentar Fra : Peter Makholm |
Dato : 26-01-04 12:41 |
|
"H@nZen" <Lars_hansen@tele2adslnospam.dk> writes:
> Hvad skal jeg gøre. Kan forstå at man skal tage en ren floppy disk og lave
> noget backup ??
Øjensynligt så er der et root-kit på maskinen der ikke er helt
tilfreds med systemets tilstand. Den eneste fornuftige måde at
håndtere et root-kit på er at reinstallere hele maskine.
--
Peter Makholm | Perhaps that late-night surfing is not such a
peter@makholm.net | waste of time after all: it is just the web
http://hacking.dk | dreaming
| -- Tim Berners-Lee
| |
Peter Andersen (26-01-2004)
| Kommentar Fra : Peter Andersen |
Dato : 26-01-04 14:55 |
|
Peter Makholm wrote:
> "H@nZen" <Lars_hansen@tele2adslnospam.dk> writes:
>
>> Hvad skal jeg gøre. Kan forstå at man skal tage en ren floppy disk
>> og lave noget backup ??
>
> Øjensynligt så er der et root-kit på maskinen der ikke er helt
> tilfreds med systemets tilstand. Den eneste fornuftige måde at
> håndtere et root-kit på er at reinstallere hele maskine.
Måske kunne en midlertidig løsning være at opgradere til redhat 9....
Forsøget kan da gøres....
--
M.v.h. Peter Andersen.
| |
Klaus Ellegaard (26-01-2004)
| Kommentar Fra : Klaus Ellegaard |
Dato : 26-01-04 14:57 |
|
"Peter Andersen" <peterandersen@mespilus.dk> writes:
>> Øjensynligt så er der et root-kit på maskinen der ikke er helt
>> tilfreds med systemets tilstand. Den eneste fornuftige måde at
>> håndtere et root-kit på er at reinstallere hele maskine.
>Måske kunne en midlertidig løsning være at opgradere til redhat 9....
>Forsøget kan da gøres....
Det løser ikke problemet med eventuelle bagdøre. De vil være
lige så åbne.
Nej, løsningen er at genetablere en backup fra et tidspunkt,
hvor man er sikker på, at der ikke var problemer. Alternativt
at geninstallere hele systemet og derefter genetablere *data*
(ikke programmer og konfigurationsfiler) fra backup.
Mvh.
Klaus.
| |
Rasmus Bøg Hansen (26-01-2004)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 26-01-04 12:37 |
|
"H@nZen" <Lars_hansen@tele2adslnospam.dk> writes:
>>
>> Du må starte med at give en HELT præcis forklaring på hvad der er galt.
> Hvad
>> virker ikke, hvilke fejl er der og hvad skriver den under opstart? og
> først
>> hvad er det for en linux der kører på den.
>
>
> System: Red hat Linux 8.0
>
> Den skriver dette når man har bootet.
>
> Hello, dear friend.
> I have two news for you. Bad one and the bad one.
> First, it seems that someone installed rootkit on your system.
> Second, is the fact that I can't execute (errno=2) original /sbin/init
> binary !
> And reason whyy I am telling you this is that I can't live without this
> file. It's just Kinda of symbiosis, so, boot from clean floppy, mount fs and
> repair /sbin/init from backup.
> (And install me again, if you like :P)
>
> Best Regards
> Your rootkit
>
> Hvad skal jeg gøre. Kan forstå at man skal tage en ren floppy disk og lave
> noget backup ??
Nej. Du skal:
1) Koble maskinen af nettet.
2) Finde ud af, hvordan han kom ind.
3) Genetablere systemet fra en sikkerhedskopi fra før, den blev hacket.
3a) Geninstallere systemet fra bunden, hvis du ikke har en
sikkerhedskopi.
4) Rette fejlen, så han ikke kan bryde ind igen.
5) Sætte maskinen på nettet igen.
Hvis du har *meget* styr på systemet, *kan* du prøve at redde det
(gerne med hjælpe fra sikkerhedskopier, hvor du kan kontrollere
md5-summer mm.). Hvis du ikke har meget styr på systemet, vil jeg
anbefale at geninstallere eller genetablere fra en sikkerhedskopi.
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
I swear, I didn't feed them anything inappropriate..., but somehow the
icons on my desktop grew by about 10% after the latest sid upgrade.
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Lars Kristensen (26-01-2004)
| Kommentar Fra : Lars Kristensen |
Dato : 26-01-04 19:56 |
|
H@nZen wrote:
> Hej Allesammen
>
<klip problemet>
> Håber I gider hjælpe, da det ville være fedt hvis den kunne komme til at
> kører igen. PLZ HELP
Måske det var en idé at tage puteren under armen og møde op til en
install-"fest" hvis du ikke har nogen viden om Linux. Folk plejer at
være rimeligt hjælpsomme.
Jeg kender ikke Sandkassen, men deres hjemmeside siger at de har
tilholdssted på Roskilde Handelsskole og er der hver mandag 17-21, så
måske der er hjælp at hente der med reinstallation eller hvad du nu
vælger af de forslag der er kommet. Deres hjemmeside er:
http://sandkassen.linux.dk/
Hvis du ikke bor i nærheden af Roskilde kan du prøve at se efter en LUG
(Linux User Group) i nærheden af dig og om de evt. har lignende dage:
http://www.lug.dk/
Ellers er der jo altid http://www.linuxbog.dk/ og evt.
http://www.gnuskole.dk/bog/ til at hjælpe dig lidt på vej på dansk og på
engelsk er der bl.a. http://www.tldp.net/, hvis du beslutter at klare
det selv.
Mvh
Lars
| |
|
|