Auf einem Notebook mit Dualboot-System mit OpenSuse 11.2/64bit habe ich die 11.4/64 als Update von DVD installiert. Das Installations-Update verlief problemlos, reboot und das System war da.
Danach habe ich in Yast das Software-Update aufgerufen. Auch dieses lief prima durch. Nach dem reboot blieb das System am Prompt stehen mit einer Meldung beim hochfahren:
“blogd: system console stolen at line 266!”
Verwunderlich ist, rebootete man mehrmals, wird dieser Fehler zwar immer angezeigt, aber das System fährt zwischendurch auch mal normal hoch.
Der boot mit Failsafe klappt einwandfrei, diese Fehlermeldung taucht nicht auf, stattdessen die Meldung: “Random Number Generator failed”, was aber übergangen wird.
Als Lösungsversuch habe ich nochmals das Installations-Update gefahren und kam nach dem Software-Update auf den gleichen Fehler wie oben beschrieben.
Einen Hinweis zum Update auf die 11.4 fand ich hier: Upgrade auf openSUSE 11.4 / Installationserfahrung
…und habe die dort beschrieben Tipps zusätzlich ausgeführt, aber ohne Erfolg, obwohl einige alte Pakete gefunden, entfernt und upgedatet wurden:
Tag!
Die gleiche Ausgabe hatte ich auch… aber im laufenden Betrieb (!= Update/Upgrade).
Auf Verdacht habe ich permanent Pakete sniffen lassen und Protokolle begutachtet. Viele.
Seit 2 Tagen habe ich die Gewissheit nicht einer paranoiden Wahnvorstellung zu leiden (SVH5 Rootkit + DNS-Spoofing Bot, über die letztens gerade publik gewordene dhcp & Xorg Vuln eingefangen).
Siehe: linxscripts.co.cc
Ach so:
Jetzt seh ich es erst… Upgrade von 11.2 auf 11.4? Na gut.
Am schnellsten und saubersten: Daten sichern, neu aufsetzen.
> Auf Verdacht habe ich permanent Pakete sniffen lassen und Protokolle
> begutachtet. Viele.
> Seit 2 Tagen habe ich die Gewissheit nicht einer paranoiden
> Wahnvorstellung zu leiden (SVH5 Rootkit + DNS-Spoofing Bot, über die
> letztens gerade publik gewordene dhcp & Xorg Vuln eingefangen).
> Siehe: linxscripts.co.cc
tschuldigung, was ist das? die erwähnte webseite gibt’s nicht (404). und
über dieses rootkit/spoofing bot habe ich auch nichts gefunden, außer
einer pdf datei aus dem jahre 2008
(http://www.issa.org/Library/Journals/2008/November/ISSA%20Journal%20November%202008.pdf
), in der ich auf den erste blick nichts interessantes oder alarmierendes
sehe. wie war das mit den paranoia?
Also das erscheint mir mit Verlaub ein totaler Schmarren. Ich habe hier die selbe Fehlermeldung mit einem völlig neu aufgesetztem System. 11.4, nach dem Update auf nvidea video driver für GS7600. Das ganze System war eigentlich nach dem ersten Versuch hängen geblieben, dann mit "Failsafe gut durchgestarted und konfiguriert. Und jetzt dieser Fehler.
System console stolen at line 266.
Dann wenn man einloged und mit
startx
weitermacht, geht das System in einen loop. Wenn ich richtig verstanden habe ist das ein X-Problem.
Lösungsvorschläge?
>
> phanisvara;2327459 Wrote:
>>
>>
>> tschuldigung, was ist das? die erwähnte webseite gibt’s nicht (404)…
>> und
>> über dieses rootkit/spoofing bot habe ich auch nichts gefunden, außer
>>
>> einer pdf datei aus dem jahre 2008
>> (…)in der ich auf den erste blick nichts interessantes oder
>> alarmierendes
>
>
> Oh, sorry. Ist im GoogleCache noch zu finden: ‘Gürteltierhelm + Wände
> mit Bleifarbe streichen’ (http://tinyurl.com/3jpfpwj)
>
> Ausserdem hier etwas Lektüre:
> ‘Widely used DHCP Systems Vulnerable | SecTechno’
> (http://tinyurl.com/3rg43ba)
> ‘WARN_ON report from clockevents_program_event | Linux | Kernel’
> (http://www.gossamer-threads.com/lists/linux/kernel/1366986?page=last)
> ‘Sicherheitslücke: Fehler in Dhclient ermöglicht Root-Zugriff -
> Golem.de’ (http://www.golem.de/1104/82659.html)
>
>
>> sehe. wie war das mit den paranoia?
>
>
>
>
DHCLIENT_SET_HOSTNAMEdepending on the above information, i should be able
to talk acyuta pr. through enabling the external web interface for the
router’s admin. interface, enabling me to make all necessary configuration
changes from here (mayapur).
ja, ist schon interessantes lesematerial, aber für normalbürger, vorallem
mit DHCLIENT_SET_HOSTNAME abgeschaltet, nicht wirklich bedenklich. (ich
habe auch weder kreditkarten noch bank-konten, und mein “broadband” ist so
langsam, daß selbst bot-treiber verzweifeln würden, so daß ich schon
deshalb kaum grund zu paranoia habe…)
> DHCLIENT_SET_HOSTNAMEdepending on the above information, i should be
> able to talk acyuta pr. through enabling the external web interface for
> the router’s admin. interface, enabling me to make all necessary
> configuration changes from here (mayapur).
>
tschuldigung; der obige absatz ist nicht etwa das ergebnis eines
wildgewordenen root-kits, sondern ein fälschlicherweise gedrücktes
<ctrl><v>, das mir vor dem abschicken nicht auffiel…
Naja… so unwahrschenilich scheint eine Infektion gar nicht gewesen zu sein wenn ich mir angucke wie bei Suchanfragen nach spezifischen
Codeschnipseln und TCP-Headern in den letzten Tagen die Resonanz explodiert ist.
Die Ausbreitungsroutine ist änhnlich der von anderen gängigen Bots… nur dass es dieses mal speziell Linuxsystheme mit einbezogen hat.
Der Exploit dürfte sehr schmal sein - also kein großer Mehraufwand.
Auffallend war dass im Systembetrieb ohne Browser kaum Traffic aufkam, alle paar Minuten wurden die C/C Server kurz auf Aktualisierung der
Exploits mit GET abgefragt, was auf den ersten Blick nach keep-alive aussieht. Da kommt das Spoofing dann ins Spiel.
Wollte eigentlich hier schöne exemplarische Pakete posten… da bin ich über das hier gestoßen:
11419 956.692565 192.168.2.100 192.168.2.1 DNS Standard query A newhaven.fbi.gov
11428 956.752187 192.168.2.1 192.168.2.100 DNS Standard query response CNAME www.fbi.gov.c.footprint.net A 192.221.111.119 A 204.160.120.86 A 207.123.56.86
Also da bei mir eine frische Installation vorliegt sollte ich vielleicht einen neuen thread starten um das System zum laufen zu bringen. Gruesse und viel Glueck.
