kernel panic - nach geplanten Neustart (Zombieload)

  • Grundsätzlich sieht es so aus, als wäre die Binary von busybox kaputt, aber das kann ich mir nicht vorstellen (weshalb der gesamte Output cool wäre)... Wenn alle Stricke reißen könntest du probieren, die "originale" in busybox_bak umzubenennen und dann mit cp /bin/busybox /mnt/bin/busybox die vom grml (in der Hoffnung, das grml busybox hat) reinschieben, die sollte in Ordnung sein...


    EDIT: Aber vorher den nächsten Post von H6G probieren;)

    Dann mal bitte das hier machen, die Binary von busybox ist korrupt

  • readelf: Error: Not an ELF file - it has the wrong magic bytes at the start

    Ist also keine Binary, sondern vermutlich ein Skript mit Shebang am Anfang, was dann natürlich auch ein \n am Ende hat.

    Ich würde das System als kompromitiert betrachten.


    Ist das ein schlechtes Rootkit?


    Du kannst natürlich wie timkoop vorgehen - ich möchte dich trotzdem darauf hinweisen, dass dein System infiziert sein kann.

    Um in den bin Ordner zu schreiben brauchst du root Rechte. Das macht nicht einfach mal eben so ein Programm von selbst.

  • Grundsätzlich sieht es so aus, als wäre die Binary von busybox kaputt, aber das kann ich mir nicht vorstellen (weshalb der gesamte Output cool wäre)... Wenn alle Stricke reißen könntest du probieren, die "originale" in busybox_bak umzubenennen und dann mit cp /bin/busybox /mnt/bin/busybox die vom grml (in der Hoffnung, das grml busybox hat) reinschieben, die sollte in Ordnung sein...


    EDIT: Aber vorher den nächsten Post von H6G probieren;)

    Yes! Der restore der busybox hat gefruchtet. Und anschließend die Prozedur:

    mount --bind /dev /mnt/dev
    mount --bind /dev/pts /mnt/dev/pts
    mount --bind /sys /mnt/sys
    mount --bind /proc /mnt/proc
    chroot /mnt /bin/bash
    update-initramfs -u -k 3.16.0-4-amd64

    Neustart... und alles geht wieder.


    H6G und timkoop Ihr seid die Besten! Vielen Dank, dass es so Menschen wie Euch gibt :)

    Und auch danke an alle anderen, die sich bei so einem Wetter tatsächlich die Zeit nehmen um sich mit Problemen von Linux n00bs wie mich herumzuschlagen :)))

  • Du könntest ja Mal die busybox-Datei hochladen oder selbst schauen, ob das wie ein Shell-Script aussieht

    Aus Neugier natürlich ersteres:D

    Nein, kein Shell-Script. Es ist viel "dümmer" als gedacht ^^

    Ich hatte im April immense Probleme mit dem Server weil ich durch eine Confluence Sicherheitslücke mir was eingefangen hatte.

    Ich habe zwar keine Ahnung mehr, wie ich das wieder gefixt habe (hat paar Tage gedauert) aber unter anderem gab es Probleme mit der busybox.

    Dann hatte ich irgendwie via wget mir anstatt mir ein cleaning tool runter zuladen die busybox mit einer html file überbügelt, siehe screenshot :rolleyes:


    Und das ist einfach bis jetzt nicht aufgefallen... Und die Ursache für das Problem dieses Threads ist dann wohl irgend ein kernel update was nur durch Zufall (bzw. den Neustart) zu Tage kam, oder?

  • Und das ist einfach bis jetzt nicht aufgefallen... Und die Ursache für das Problem dieses Threads ist dann wohl irgend ein kernel update was nur durch Zufall (bzw. den Neustart) zu Tage kam, oder?

    Du hast dir Busybox zerschossen und irgendwann dann ein Kernelupdate ausgeführt, welches das initram neu baut. Beim Update kam wahrscheinlich auch schon ein Fehler, aber auch ich muss gestehen: wenn man mal richtig Updates (auf einer flotten Maschine) installiert und der Fehler nicht gerade rot ist, dann kann man sowas übersehen

  • Andere Sache: ich will dir wirklich nicht auf den Schlips treten, aber traust du dir die Administration eines Servers im Internet wirklich zu?

    Ich sage es mal so. Bisher (mal abgesehen von heute) habe ich mir immer selbst helfen können. Auf dem Server laufen nur meine privaten Anwendungen und nichts von Kunden o.ä.


    Aber Du hast recht. Sensitive- und Kundendaten würde ich da eher weniger hosten bzw. eher zu einem Managed Server greifen :saint:

    Oder suchst du einen Job? :D

  • Wenn du dir eine korrupte Busybox Binary gesetzt hast, dann können die Skripte (https://git.laucyun.com/security/lsd_malware_clean_tool) unmöglich funktioniert haben. Bist du dir sicher, dass die Confluence Malware nicht mehr wütet?



    Ich sage es mal so. Bisher (mal abgesehen von heute) habe ich mir immer selbst helfen können. Auf dem Server laufen nur meine privaten Anwendungen und nichts von Kunden o.ä.

    Auch bei privaten Sachen kann schnell mal etwas schief gehen - dein Server kann, sofern schlecht abgesichert, auch zur Gefahr werden und fleißig andere Systeme angreifen. Das kann auch Schadensersatzforderungen nach sich ziehen.

  • Zwei Anmerkungen habe ich noch:


    Wenn du NFS nutzt, für Netcup-Storage, dann erstell dir mal eine Firewall Regel, die den Port 111 nur für den Storage erlaubt.

    Wenn du NFS nicht nutzt, deinstalliere oder deaktiviere den Portmapper Dienst.


    Debian Jessie bekommt noch bis zum Juni 2020 Updates. Du solltest also bald das Betriebssystem updaten. Mitlerweile ist Debian Buster draußen.

    PHP dürfte aber schon durch sein.