Hej! Jag har en liten server-dator hemma i garderoben som kör Debian etch. Sedan en vecka tillbaka får jag ett mail från den varje dag med felmeddelanden från ett cron-jobb. Meddelandena är lite olika från gång till gång, men det senaste såg ut så här:
/etc/cron.daily/dnsquery: ./popauth: error while loading shared libraries: libdb.so.3: cannot open shared object file: No such file or directory mkdir: kan inte skapa katalog "/usr/share/misc/": Filen existerar mkdir: kan inte skapa katalog "/usr/share/misc/blah/": Filen existerar popauth: ingen process avslutad popauth: error while loading shared libraries: libdb.so.3: cannot open shared object file: No such file or directory Om man googlar på "/etc/cron.daily/dnsquery" så handlar de flesta träffar om folk som blivit hackade, varför jag nu är orolig för att ha råkat ut för detta. Filen dnsquery verkar inte tillhandahållas av något Debian-paket (enligt sökning med dpkg -S dnsquery och sökning på http://www.debian.org/distrib/packages ). Jag har nu stängt ner hela cron-tjänsten tills vidare. Jag såg nu att etch inte stöds längre för säkerhets-uppdateringar, så jag tänker uppgradera till lenny, men först vill jag gå till botten med om ett intrång skett eller ej, så att jag vet om jag ska uppgradera eller installera om helt. Det främsta tipset från google-träffarna är att köra en "rootkit hunter", så jag provade att installera rkhunter (från http://www.rootkit.nl/ ) på servern och köra denna. Den upptäckte inte någon rootkit, men gav en hel del andra varningar. Vissa, kanske alla, av dessa varningar tror jag beror på att rkhunter inte vet tillräckligt mycket om hur Debian-disten är uppbyggd, finns det någon rootkit hunter som är mer Debian-kunnig? Först varnar den om att följande program har "bytts ut" mot skript, men jag tror att det är Debian som väljer att tillhandahålla dessa tjänster med skript: /bin/egrep /bin/fgrep /bin/which /usr/bin/groups /usr/bin/ldd /usr/bin/lwp-request /usr/sbin/adduser Andra varningar lyder -- klipp -- [11:33:45] Info: Using inetd configuration file '/etc/inetd.conf' [11:33:45] Checking for enabled inetd services [ Warning ] [11:33:46] Warning: Found enabled inetd service: ident -- klipp -- [12:01:45] Checking /dev for suspicious file types [ Warning ] [12:01:45] Warning: Suspicious file types found in /dev: [12:01:46] /dev/hdsmat: ASCII text [12:01:48] Checking for hidden files and directories [ Warning ] [12:01:48] Warning: Hidden directory found: /dev/.static [12:01:48] Warning: Hidden directory found: /dev/.udev [12:01:48] Warning: Hidden directory found: /dev/.initramfs -- klipp -- Också varningar om att Exim, OpenSSL, PHP och OpenSSH är för gamla, eftersom jag använder etch. Jag har också försökt kolla i auth.log-filerna. De innehåller mängder av öppnade och stängda CRON-sessioner (ska vara normalt enligt mitt googlande) och mängder av misslyckade ssh-inloggningar, framförallt till root-användaren. Ser ut som en ständigt pågående brute-force-attack alltså. Tyvärr har jag hittintills tillåtit direkta root-inloggningar via SSH, något som jag nu ändrat. Jag kan inte avgöra om brute-force-attacken vid något tillfälle lyckats då jag inte minns alla tillfällen när jag själv loggat in. En annan misstänkt grej i auth.log är dessa rader som återkommer ibland: Jun 6 06:25:09 bilbo su[30649]: Successful su for nobody by root Jun 6 06:25:09 bilbo su[30649]: + ??? root:nobody Jun 6 06:25:09 bilbo su[30649]: (pam_unix) session opened for user nobody by (uid=0) Jun 6 06:25:09 bilbo su[30649]: (pam_unix) session closed for user nobody Enligt tips på internet så ska användaren nobody inte ha något skal, men på båda mina debian-burkar så har nobody ett skal (/bin/sh) som man kan logga in på. Tacksam för hjälp /Pelle -- To UNSUBSCRIBE, email to debian-user-swedish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1276090077.3972.40.ca...@gandalf.homeunix.net
