# bundestrojanisches

## UTgamer

*edit, think4urs11: herausgeschnibbelt aus https://forums.gentoo.org/viewtopic-t-587315.html

Genau den gleichen Fehler hatte ich auch dauernd bevor ich neuinstalliert hatte, der geht einfach nicht mehr weg, damit erst fingen meine Probleme an.

Es könnte bei dir einfach solch ein Fall aufgetreten sein, muß es nun aber nicht.

Ich habe openldap auf meinem neuen System nun nicht mehr installiert.

Das ich überhaupt neu installieren mußte, daran war bei mir die Infektion mit dem Bundestrojaner schuld. Das genau zu erklären ist schon ein größeres Stück Arbeit. Nun ich habe sämtliche Änderungen am System zusammengefaßt gehabt, es fing eben damit an das Openldap immer wieder neu mit revdep-rebuild gebaut wurde, ohne Ende. Dann hatte ich openldap deinstalliert gehabt und einzig alles über PAM am laufen. Danach erst ging das Spiel los wie ich es hierunter beschrieben habe. 

So habe ich dies bereits in einem Forum welches sich auch mit Überwachung beschäftigt beschrieben gehabt:

 *Quote:*   

> Es wurden Keylogger unter Linux installiert, die über Kernelmodule
> 
> hergestellt wurden.
> 
> Der Bootmanager - hier Grub - hielt einen Key bereit, wurde das
> ...

 

Also hoffe darauf das du den Fehler eingegrenzt bekommst und das keine Stealthtrojaner darauf laufen wie es eben bei mir der Fall war.  :Wink: 

[Edit]

Hier gibts ein wenig Infos von Staatsseiten über den Bundestrojaner (sehr einfach gehalten damit Behörden auch verstehen worum es geht):

http://www.cyberfahnder.de/nav/them/erm/ondusu01.htm

und diese Software hätten sie gerne bei 99,9% der Bevölkerung installiert:

http://www.perkeo.net/

Unser Schäuble behauptet einfach das alle Bundesbürger präventiv überwacht werden müssen, damit sie keine Kinderpornos oder Bombenbauanleitungen auf ihre Rechner laden. Welche 100%tigen Checksummen sie sonst noch so überprüfen bleibt deren Geheimniss. PS: Der Unterschied zur "Geheimen Staatspolizei = Gestapo" ist ungefähr 0.

http://www.heise.de/newsticker/meldung/95800

http://www.heise.de/tp/r4/artikel/26/26165/1.html

http://www.spiegel.de/netzwelt/web/0,1518,502542,00.html

http://www.heise.de/newsticker/meldung/95247

Zitat Heise: *Quote:*   

> FDP-Bundestagsfraktion, Max Stadler, im ZDF-Morgenmagazin. "Hier soll
> 
> eine Super-Geheimpolizei geschaffen werden, die sich einer
> 
> Kontrollmöglichkeit zu großen Teilen entzieht", sorgt sich auch sein
> ...

 

Also Schäuble will wieder eine "Geheime Staatspolizei = Gestapo", aber jetzt genug von der Politik, wir müßen eben einfach darunter mit Softwarebugs leiden.  :Wink: 

----------

## buggybunny

Wie kam denn das Ding auf dein System?

----------

## UTgamer

 *buggybunny wrote:*   

> Wie kam denn das Ding auf dein System?

 

Sie sind in die Wohnung eingestiegen, ich dachte es währe deutlich geworden, als ich schrieb das 2 Umzugkartons halb geöffnet an einem anderen Platz standen.  :Sad: 

----------

## buggybunny

 *Quote:*   

> Sie sind in die Wohnung eingestiegen, ich dachte es währe deutlich geworden, als ich schrieb das 2 Umzugkartons halb geöffnet an einem anderen Platz standen. 

 

WTF???

Die Staatsbehörden sind in deine Wohnung eingebrochen, haben deinen Rechner aus dem Umzugskarton geholt, aufgebaut, gebootet, hatten noch einen Linux-Fachmann dabei und haben bei dir den Bundestrojaner installiert?

Darf man fragen, was du in deren Augen "angestellt" hast?

----------

## UTgamer

Nein beide Rechner standen aufgebaut im Wohnzimmer. Nur alles mögliche an Zubehör wie CDs etc, war weggepackt, gruml. Sie mußten aber auch durch den mit Kartongs zugestellten sehr schmal gewordenen Flur.

 *buggybunny wrote:*   

> Darf man fragen, was du in deren Augen "angestellt" hast?

 

Ganz einfach, ich wohne in NRW, und hier ist das bald seit 2 Jahren bereits per Gesetz zugelassen. Es wird doch gerade vor dem Bundesverfassungsgericht geklagt, das sie nicht einfach alle Einwohner von NRW grundverdächtigen dürfen. Grundgesetze interressiert die CDU [zensiert] nicht im geringsten. Das BVG hat auch entschieden das Zivilflugzeuge nicht abgeschossen werden dürfen, halten sich die CDU Verfassungsfeinde auch nicht drann. Diese aktuellen Zeitungslinks suche ich dir aber nicht noch raus, lese einfach Spiegel, Heise, FAZ, TAZ, Indymedia etc...

Ich wollte eigentlich darüber aufklären das daß openldap Problem auch durch den Bundestrojaner entstehen kann, wie es eben bei mir auch war und keine tagesaktuelle Politik führen mit Leuten die das Thema sowieso nicht interressiert.

Hier ist das richtige Forum für weitere Informationen und Diskussionen bezüglich des Bundestrojaners.  :Wink: 

http://forum.opensky.cc/viewforum.php?f=4

Peter also der Moderator opensky dort ist der Initiator der Seiten und international in diesem Bereich tätig. Er ist auch als Schweizer eingeladen bei bundesdeutschen Fachtagungen bezüglich von Überwachung. Er spricht mit Staatsanwälten und sonstigen Behörden.

----------

## think4urs11

obige Diskussion aus revdep-rebuild will immer wieder openldap emergen herausgetrennt.

----------

## UTgamer

Ich möchte noch anfügen das sich meine Grubpartition selbst zerstörte als ich von einer weiteren Quelle mein installiertes System gestartet hatte. Die Partition war danach ein vollkommen unbekanntes Medium, die ich erst wieder mit ext2 neu formatieren mußte. Die BKA Leute sind schon eine gewiefte Truppe. Ich würde für den nächsten der auf einen Bundestrojaner trifft anraten wenn er den untersuchen möchte, erstmal soweit vorhanden die Grubpartition zu archivieren.   :Evil or Very Mad: 

Klickt doch mal bei http://www.perkeo.net/ auf Kontakt  :Wink: 

----------

## andix

@UTgamer:

Das ist der 1. konkrete professionelle Spionageversuch von dem ich bis jetzt gehört habe. Mehr Details würden mich echt interessieren. Hast du das vielleicht etwas genauer analysiert und könntest noch mehr darüber berichten? Vielleicht auch die modifizierten Dateien zum Download anbieten damit das jemand professionell analysieren kann?

Interessieren würde mich wieso gerade du überwacht werden solltest, es wurde anscheinend ein erheblicher Aufwand unternommen. Ich verstehe aber wenn du keine persönlichen Details preisgeben willst. Handelt es sich vielleicht um Wirtschaftsspionage, oder um "klassische" Terrorismusbekämpfung? 

Kennst du Berichte über ähnliche Angriffsszenarios und hättest du womöglich ein paar Links für uns?

lg

PS: was meinst du damit?

 *UTgamer wrote:*   

> Klickt doch mal bei http://www.perkeo.net/ auf Kontakt 

 

----------

## UTgamer

 *andix wrote:*   

> @UTgamer:
> 
> Das ist der 1. konkrete professionelle Spionageversuch von dem ich bis jetzt gehört habe. Mehr Details würden mich echt interessieren. Hast du das vielleicht etwas genauer analysiert und könntest noch mehr darüber berichten? Vielleicht auch die modifizierten Dateien zum Download anbieten damit das jemand professionell analysieren kann?
> 
> Interessieren würde mich wieso gerade du überwacht werden solltest, es wurde anscheinend ein erheblicher Aufwand unternommen. Ich verstehe aber wenn du keine persönlichen Details preisgeben willst. Handelt es sich vielleicht um Wirtschaftsspionage, oder um "klassische" Terrorismusbekämpfung? 

 

Zum einen sind bei mir alle Programme auf 64 Bit und somit vom NX-Bit gegen Bufferoverflows geschützt auch Browser und E-Mailprogramme, also allein darum ist es schon schwerer übers Netz bei mir etwas einzuschleusen, auch habe ich sonderliche einzigartige CFlags in Benutzung, die sonst so gut wie niemand nutzt: CFLAGS="-march=athlon64 -O2 -mmmx -m3dnow -msse -msse3 -mfpmath=sse,387 -pipe -ffast-math -m64"

Um den Trojaner unterzubringen mußten sie wohl persönlich vorbeikommen. Der erste Angriff fand auf die (open)ldap statt, ich hatte mich schon gewundert warum revdep-rebuild ständig die openldap ohne Ende neubauen wollte.

Zu dieser Zeit hatte ich noch das gleiche 8 Zeichen lange Paßwort mit Sonderzeichen sowohl für meinen Benutzer als auch für root. Also hatten sie meines irgendwie bekommen können hatten sie auch das andere, diesen Fehler habe ich jetzt auch korrigiert. Ich dachte genau dieses währe richtig sicher gewesen. Also kein Unterschied zu den sudo Lösungen von z.B. Ubuntu, sudo selbst ist bei mir aber nicht installiert.

Jein beim mehr rausgefunden, jedesmal wenn ich dachte ich habe ihn jetzt hat sich das Teil selbst deinstalliert. Mehr Glück hatte ich beim 2. Rechner, dort fand ich über rkhunter und in den /etc/(Dateien) das fast sämtliche Internetprogramme wie z.B. auch KDEPIM auf mehrere MTAs zugriffen, einer davon war eben qmail, die anderen sagten mir nichts. Habe ich einen deinstalliert gehabt waren ~ 1 Woche später andere user und groups für andere mtas installiert, die eigentlichen mta habe ich aber nicht gefunden gehabt. Auf meinem Hauptrechner waren keine MTAs installiert, dafür eben das kaputte openldap, bei dem Deinstall oder anderer Konfig es Null Abhilfte schaffte. Nach dem Deinstall von Openldap tauchten einige Tage später nachdem ich auf einem Amt einen Termin hatte dieses seltsame Verzeichnis /.nvconfig auf.

Nach dem zerstören von diesem /.nvconfig welches anscheinen ein Keylogger war und Paßwörter an den MTA des 2. Rechner übergab hatte ich leider erst Sicherungen von /usr /var und /etc gemacht. In einem anderen Forum wurde mir gesagt das die gesicherten Partitionen damit für weitere Untersuchen unbrauchbar sind. 

Jein waren sie nämlich nicht, erst als ich ein neues System installiert hatte merkte ich weitere Unstimmigkeiten am neuen System, es verhielt sich doch langsamer als das alte vor der Infektion. So begab ich mich an die Erstellung von neuen Kerneln und testete einmal diese nicht über meine normale Grub-Partition sondern über eine alternative Partition. Genau das reichte aus um beim nächsten Neustart die reguläre Grubpartition komplett zu zerstören. Also war der Trojaner letztendlich im Kernel unter Grub versteckt, und beobachtete selbst meine Neuinstallation. Jetzt da ich die Grubpartition neu formatiert habe und neue Kernel erstellt, hat das System auch wieder die ganz normale Geschwindigkeit wie vor der Infektion.

 *andix wrote:*   

> Kennst du Berichte über ähnliche Angriffsszenarios und hättest du womöglich ein paar Links für uns?
> 
> lg

 

Was ich sonst alles so gehört/gelesen hatte war überwiegend nur für Windows, das sie dort remote alles installieren können. Bei Windows brauchen sie wohl nicht die Wohnungen aufsuchen.

Rechtliches: - die Internetseite des Oberstaatsanwaltes von Hannover:

http://www.cyberfahnder.de/nav/them/erm/ondusu01.htm

oder http://www.hrr-strafrecht.de/hrr/archiv/07-04/index.php?sz=8

http://www.foebud.org/

http://moon.hipjoint.de/tcpa-palladium-faq-de.html

http://www.heise.de/ct/hintergrund/meldung/66857 und alle Links unten im Artikel

http://82megaohm.de/

http://zweicent.brostedt.de/

http://www.lawblog.de/

http://wiki.vorratsdatenspeicherung.de/index.php/Hauptseite#.C3.9Cber_das_Projekt

http://www.freiheitsredner.de/

http://www.hanno.de/blog/2007/lobbyismus-fur-nerds/

http://bundestrojaner.blogspot.com/2007/07/ergebnis-einer-strafanzeige.html

http://www.freace.de/

http://forum.opensky.cc/viewtopic.php?t=162

http://www.heise.de/newsticker/meldung/96124

Bei manchen Seiten mußt du etwas blättern weil die Themen nicht immer gerade die aktuellsten aus letzter Woche sind.

 *andix wrote:*   

> 
> 
> PS: was meinst du damit?
> 
>  *UTgamer wrote:*   Klickt doch mal bei http://www.perkeo.net/ auf Kontakt  

 

 *Quote:*   

> HINWEIS für Polizeidienststellen:
> 
> Polizeidienststellen erhalten aufgrund unseres Rahmenvertrages mit dem BKA auf Wunsch eine kostenlose Kopie von PERKEO.
> 
> Bitte wenden Sie sich bei Interesse an das zuständige Landeskriminalamt.
> ...

 

Datenblatt: *Quote:*   

> PERKEO ist lieferbar für folgende Betriebssysteme:
> 
> Win9x/2K/2K3/XP, DOS, LINUX, Solaris, AIX, FreeBSD

 

[Edit]

Ein Link korrigiert

----------

## manuels

UTgamer: Du hast auch nichts zu tun, oder?

----------

## UTgamer

Sagen wir es mal so, ich hatte mich nachdem ich dies festgestellt hatte um nichts anderes mehr gekümmert. Selbst hier im Forum war ich die letzte Zeit kaum aufzufinden.

Die haben sich eben den Falschen ausgesucht, wenn ich mir etwas in den Kopf setze bleibe ich am Ball bis der Fall gelöst ist, so bin ich eben. Außerdem bin ich gegen eine neue Gestapo und werde mich demnächst auch politisch neu engagieren.  :Wink: 

Warum, stört dich das?

----------

## musv

Stören? Nö, ganz im Gegenteil. Schließlich bist du hier im Forum der Erste, den die Stasi2.0 auf dem Kicker hat. 

Falls du Lust hast, kannst du ja mal'n Wiki schreiben, was man alles zu korrigieren hat, falls mal sich mal wirklich so'n Teil "einfängt". 

Ich find das schon ganz schön krass, daß die mit dem Teil so tief in die Materie des OS gehen. Ich wüßte nicht, ob ich das rausgefunden hätte.

PS: pam und ldap sind bei mir gar nicht installiert. Hab's bisher noch nie gebraucht. Könnte vielleicht ein Vorteil sein.

Ansonsten muß dann vielleicht wirklich auf die Paranoia-Schiene gehen. Also als Dateisystem irgendwas exotisches, was nicht per default von jedem Kernel unterstützt wird (z.B. Reiser4), das durch ein Cryptoloop jagen und bei jedem Start auf Rootkits und Bundestrojaner prüfen.

----------

## UTgamer

Für ein Wiki habe ich zuwenig Material, aber für Anregungen an welchen Stellen zu suchen ist reicht dies was ich oben angegeben hatte bereits dicke aus. Beim Grub würde ich als erstes ansetzen wenn ich ihn auf die schnelle deaktivieren möchte, ebenfalls zur Untersuchung sollte die Grubpartition soweit vorhanden gesichert werden. Ich denke die wurde verschlüsselt als ich von einem fremden Medium das installierte System gestartet hatte. Es war wohl eine VM für den Linuxkernel. (open)ldap und die MTAs bilden den 2. Ansatz.

Zum Beispiel waren auf meinem 2. Rechner ständig in /etc/group in ungefähr Wochenabständen neue Gruppen eingetragen. Da ich selbst keinerlei MTAs installiert hatte könnten sie auch einfach nach einem installierten gesucht haben. 

Grundsätzlich ist anzumerken das die Geschwindigkeit auf beiden Rechnern doch um einiges nachgelassen hatte. Festzustellen bei mir war es auch weil ich von meinem Lieblingspiel UT2004 die Frameraten auswendig kannte und diese rund mehr als 30% nachgelassen hatten, alle Versuche sie z.B. mit re-/nice zu beeinflussen brachten keine brauchbaren Ergebnisse. Ich wollte einfach auch die alte Geschwindigkeit wieder haben.

Tip: 

Ein gutes selbstgemachtes Script kann auch behilflich sein. Es soll die Anzahl an Dateien zählen die sich in den Systemordnern wie z.B. /bin /sbin /usr /etc befinden. Bei jedem Rechnerneustart sollten diese identisch sein. Nach dem installieren von neuer Software, wird das Script einfach mit dem neuen aktuellen Wert aufgefrischt. Tauchen auf einmal nach einem Neustart mehr Dateien auf als vorher da waren stimmt ja etwas nicht. Bei etc, wären auch die Checksummen interressant wegen Konfigänderungen.

Evtl. könnte ein Scriptprofi hier auch mal ein Beispiel vorstellen welches mit Parametern wie "vergleichen" oder "update" gestartet werden kann und dann einfach die Werte in eine Datei schreibt sowie die geänderten oder neuen Dateien mit Pfad auf der Konsole ausspuckt.

----------

## c_m

Schau dir mal Tripwire oder Samhain an  :Wink: 

Oder, da wir ja hier rein von Linux Sprechen: iWatch.

Damit kannst du dir auch anzeigen lassen was wann wie und wo geändert wurde  :Wink: 

----------

## Mr_Maniac

 *musv wrote:*   

> Falls du Lust hast, kannst du ja mal'n Wiki schreiben, was man alles zu korrigieren hat, falls mal sich mal wirklich so'n Teil "einfängt".

 

Korrigieren?

Ist ein System erst mal korrumpiert worden, ist es nicht mehr vertrauenswürdig! Da sollte man erst gar nicht versuchen, noch irgend etwas zu "korrigieren"!

Garantiert NICHT befallene Dateien sichern, formatieren und neu installieren ist da die einzig "sichere" Möglichkeit, so etwas los zu werden!

Denn man weiß NIE, wo sich noch Reste des Schadprogrammes verstecken!

----------

## UTgamer

@c_m, danke genau so etwas habe ich gesucht.

@Mr_Maniac, genau richtig, diese Erfahrungen hatte ich bereits vor mehr als 5 Jahren mit Windows gemacht. Ist es einmal infiziert und ein Virenscanner kann ihn dort nicht sauber und richitg identifiziert entfernen hilft nur noch eine Neuinstallation.

----------

## a.forlorn

Der CCC oder auch fefe würden sich sicherlich über eine ausführliche Mail von dir erfreuen.  :Wink: 

----------

## UTgamer

Ich dachte einer von denen hätte auch in anderen Foren bereits mitgelesen, aber die können ja auch nicht in allen Foren mitlesen. Das ist eine gute Idee, werde ich die Tage mal in Angriff nehmen, nachdem ich auf dem zu installierenden Fremdrechner endlich alles Linux-DAU fertig eingerichtet habe habe ich auch wieder Zeit dafür.

----------

## r3tep

Mich würde interessieren, was Du sicherheitstechnisch sonst so auf dem Rechner hattest, auch um den Zugriff von Personen, die Rechnerzugriff haben, zu erschweren bzw. zu loggen.

z.B. Hattest Du ein BIOS-Passwort gesetzt um von CD/DVD-Booten einzuschränken? etcpp.

Gruß

r3tep

----------

## papahuhn

Ich möchte dir nicht zu nahe treten, aber irgendwie schreibst du ziemlich konfus.

Du stellst Behauptungen auf, die du nicht näher erläuterst, z.B.

"Es wurden Keylogger unter Linux installiert, die über Kernelmodule hergestellt wurden."

"zählte der Bootmanager die Häufigkeit der Aktivierungen"

Weiter unten schreibst du, dass nvclock der Keylogger gewesen ist. Wie kommst du darauf? Und inwiefern soll die Ausgabe von cpufreqd deine These bestätigen? Weils einen Segfault gab? Es kann doch gut möglich sein, dass nvclock auf cpufreqd angewiesen ist. Schließlich dient beides zur Steuerung des CPU/GPU Taktes.

Auf die Frage "Darf man fragen, was du in deren Augen "angestellt" hast?" schreibst du "Ganz einfach, ich wohne in NRW, und hier ist das bald seit 2 Jahren bereits per Gesetz zugelassen."

Was ist das denn für eine Begründung?

Es trüge enorm zum Verständnis der Situation bei, wenn du deine Vorgehensweise zur "Beweissicherung" chronologisch dokumentieren und dabei auf Spekulationen verzichten würdest.

Danke schonmal

----------

## misterjack

Ich stehe dem hier beschriebenen sehr skeptisch gegenüber. Ohne Beweise für einen Keylogger und den Bootmanageraktivitäten schenke ich dem kein bisschen Glauben.

PS: den .nvclock-Ordner kann man ganz schnell selbst erstellen, wenn man als Root z.b. einfach mal nvclock -D aufruft. Dass da jetzt ein Trojaner genau diesen Ordner erstellt, halte ich für sehr weit hergebracht. nvclock kann man genauso gut als Dämon starten lassen, sodass bei jedem Neustart dieser besagte Ordner neu erstellt wird. Vielleicht sind wir nur ein wenig zu paranoid  :Smile: 

Edith hat aus sehe -> stehe gemacht  :Smile: 

----------

## xraver

Hm, ich frage mich auch ob der UTgamer da nicht zu schnell in die falsche Richtung denkt.

Wenn der UTgamer nix "böses" angestellt hat und er dennoch Opfer des BundesTrojaners ist, warum sind dann nicht andere Leute betroffen?

Es währe sehr schön wenn es für die aufgezählten Aktivitäten sowas wie logs oder Dateien gibt die einen Angriff beweisen.

Ein LinuxKernel der einen Keylogger enthält?

Haben SIE für dich/deiner Maschine einen neunen Kernel gebaut oder konnten SIE deinen Kernel fremden Code unterjubeln?

Bitte den Code veröffentlichen.

Nein, jetzt war es ja nvclock - aber bitte auch hier den Code veröffentlichen.

Grub als Angriffsziehl?

Ist der Aufwand nicht sehr erheblich um Informationen von Grub aus irgentwohin zu lagern?

Und warum auch - welche Informationen kann grub liefern die irgend eine "Tat" beweisen. 

Die "Beweisdaten" wurden per E-mail versendet?

Ja gibt es denn hier keine Spuren?

Mit deinem Thema verwirrst du eine Menge Leute und wir bekommen alle ganz Spitze Ohren.

Ich will dir ja nicht unterstellen das du Mist erzählst, aber bitte sei bei diesen Thema etwas vorsichtig.

Bitte versorge uns doch mit mehr Informationen.

Irgentwo muss es ja Spuren geben - wenn du sie nicht schon alle zerstört hast.

Ich muss doch mal in den Keller gehen und den guten alten Brotkasten (C64) hoch holen.

----------

## manuels

Das mein ich doch: UTgamer versucht hier buggybunny (und den Rest des Forums) zu verarschen.  *UTgamer wrote:*   

> Zwei größere Kartons
> 
> waren nicht mehr auf ihrem Platz und bei einem war die Abdeckung nur
> 
> noch halb zu. Meine Haustiere (Vögel) waren zudem recht verstört.
> ...

   :Laughing:   *Quote:*   

> 
> 
> Als ich einen Rechner hochfuhr fiel mir direkt auf das ich einen
> 
> zusätzlichen Ordner im root / Verzeichnis hatte in welchem 2 Dateien
> ...

 

Das ist bei mir auch der Fall.

 *Quote:*   

> 
> 
> w83627hf 9191-0290: Reading VID from GPIO5
> 
> cpufreqd: apm_init    : /proc/apm: No such file or
> ...

 

Huhu, das riecht nach einem Trojaner   :Rolling Eyes: 

 *Quote:*   

> 
> 
> ld  -r -o
> 
> /var/tmp/portage/x11-drivers/nvidia-drivers-1.0.9755-r1/work/NVIDIA-L
> ...

 

So ein Fehler trat bei mir auch schon mal auf - so what?

 *Quote:*   

> 
> 
> Dann bin ich hingegangen und hatte das gesammte System durchgegrept,
> 
> ich fand diese beiden Dateien:
> ...

 

equery b /usr/lib64/cpufreqd_nvclock.so

[ Searching for file(s) /usr/lib64/cpufreqd_nvclock.so in *... ]

sys-power/cpufreqd-2.1.1 (/usr/lib64/cpufreqd_nvclock.so)

 *Quote:*   

> 
> 
> Desweiteren ist auch openssh involviert.

 

Hihi  :Laughing: 

----------

## UTgamer

 *r3tep wrote:*   

> Mich würde interessieren, was Du sicherheitstechnisch sonst so auf dem Rechner hattest, auch um den Zugriff von Personen, die Rechnerzugriff haben, zu erschweren bzw. zu loggen.
> 
> z.B. Hattest Du ein BIOS-Passwort gesetzt um von CD/DVD-Booten einzuschränken? etcpp.
> 
> Gruß
> ...

 

Nein hatte weder ein BIOS-PW noch sonst weiteres, würde diese Leute aber auch nicht abhalten, wenn sie schon in Wohnungen einbrechen haben sie auch sicher hierfür vorgesorgt. Oder muß ich noch den privaten Rechner in einen Tresor schließen.

 *papahuhn wrote:*   

> Weiter unten schreibst du, dass nvclock der Keylogger gewesen ist. Wie kommst du darauf? Und inwiefern soll die Ausgabe von cpufreqd deine These bestätigen? Weils einen Segfault gab? Es kann doch gut möglich sein, dass nvclock auf cpufreqd angewiesen ist. Schließlich dient beides zur Steuerung des CPU/GPU Taktes.

 

a) Die reguläre Anwendung nvclock war überhaupt nie auf diesem Rechner installiert gewesen.

b) Die reguläre Anwendung nvclock legt ihren Ordner in das Verzeichniss /root/nvclock

c) Dieser Ordner war direkt mit einem Punkt am Anfang versehen im Rootverzeichnis /

 *papahuhn wrote:*   

> Auf die Frage "Darf man fragen, was du in deren Augen "angestellt" hast?" schreibst du "Ganz einfach, ich wohne in NRW, und hier ist das bald seit 2 Jahren bereits per Gesetz zugelassen."
> 
> Was ist das denn für eine Begründung?
> 
> Es trüge enorm zum Verständnis der Situation bei, wenn du deine Vorgehensweise zur "Beweissicherung" chronologisch dokumentieren und dabei auf Spekulationen verzichten würdest.
> ...

 

A) Wohne ich in NRW, in welchem LKA und BKA freihe Hand haben

B) Hatte ich über 2 Jahre fast täglichen Chatkontakt mit einem Jordanier in einem Spiel, aber dies wäre echte Spekulation.

```
/.nvclock

9757 64 -rw------- 1 root root 65535 29. Mai 09:48 bios0.rom

11058 4 -rw------- 1 root root 200 29. Mai 09:48 config
```

Jedesmal wenn ich den Ordner nicht mit einem tmpfs geblockt hatte wurden diese beiden Dateien in identischer Größe immer wieder neu erstellt.

Wer hat diese beiden Dateien noch?

/.nvclock/bios0.rom

/.nvclock/config

---

/usr/lib64/cpufreqd_nvclock.la

/usr/lib64/cpufreqd_nvclock.so 

Als ich die *.la und *.so  entfernte war auch der Spuk vorbei mit dem Ordner /.nvclock.

 *Quote:*   

> Desweiteren ist auch openssh involviert.

 

rkhunter hat behauptet das die openssh genauso wie kdepim auf eine elf defekte libidl-0.6.6 zugreifen würden.

Ja jetzt wo andere sagten meine Backups wären nichts mehr Wert weil ich 

/usr/lib64/cpufreqd_nvclock.la

/usr/lib64/cpufreqd_nvclock.so

zum Testen auch gelöscht hatte und diese sich dann nicht mehr selbst generierten, meint ihr hier ich würde Blödsinn erzählen. Und meine Grubpartition zerstört sich auch von selbst, nur weil ich meinen Kernel von einer anderen Partition gestartet hatte, ach das passiert alles einfach mal so mit Gentoo.  :Wink: 

Die wöchentlichen Updates für diverse Gruppen in /etc/group erstellten sich auch von selbst, jaja ich sehe Gespenster. Das ganze fand von April bis Mai statt, am 6. Juni hatte ich dann neu installiert. Die Backuppartitionen hatte ich aber erst im August gelöscht, nachdem mir jemand mit forensichen Kenntnissen in einem anderen Forum klar machte das nach dem löschen von den 2 elementaren Dateien jede Backupspiegelung wertlos ist.

Und manuels wenn du meinst ich wollte jemanden verarschen kennst du mich nicht.

----------

## Anarcho

Mich würde ja mal interessieren was in den Dateien /.nvclock/* drin stand.

Zur möglichen Erklärung warum das Verzeichnis unter / angelegt wurde: Falls die Umgebungsvariable HOME nicht gesetzt ist wird versucht da Verzeichnis unter / anzulegen.

Aber im Nachhinein kann jetzt eh keiner mehr sagen ob es stimmt oder nicht. Ich sehe das auch eher skeptisch.

----------

## UTgamer

Soweit mag das ja ok sein das wenn ein Homeverzeichniss nicht gesetzt ist das es in / landen könnte, aber wo kam der Punkt . dann her?

----------

## xraver

 *Quote:*   

> Die Backuppartitionen hatte ich aber erst im August gelöscht, nachdem mir jemand mit forensichen Kenntnissen in einem anderen Forum klar machte das nach dem löschen von den 2 elementaren Dateien jede Backupspiegelung wertlos ist. 

 

Du verwirrst mich immer mehr. Wie ist das gemeint? Link zum Forum/Beitrag bitte.

Tja, zum Rest kann ich nur sagen; sei mal bitte nicht gleich Beleidigt.

Wenn ich merke mir möchte die Administration an die Karre pissen und ich weiss das dieser Bundestrojaner gerade in aller Munde ist, dann werd ich verdammt noch mal Backups von den Files haben wo ich denke hier ist was am brutzeln und diese wenn ich selber damit nicht klar komme an Leute senden wo ich meine die koennen mir weiter Helfen - und wenn es nur dieses Forum ist  :Wink: .

Hast du nun Backups, Codefetzen, Logs oder nicht?

Bis jetzt ist die ganze Sache für mich nur eine nette Story für die ich (noch) keine Beweise gesehen habe - und so wirds den meisten hier gehen.

----------

## misterjack

 *UTgamer wrote:*   

> a) Die reguläre Anwendung nvclock war überhaupt nie auf diesem Rechner installiert gewesen.

 

Das bezweifel ich ganz stark, denn ein USE="nvidia" emerge cpufreqd installiert nvclock als Abhängigkeit. Schau dir das ebuild an.

Und dass das der Fall war, belegt die Existenz von:

/usr/lib64/cpufreqd_nvclock.la

/usr/lib64/cpufreqd_nvclock.so 

 *UTgamer wrote:*   

> b) Die reguläre Anwendung nvclock legt ihren Ordner in das Verzeichniss /root/nvclock

 

Nein, sie legt ihn in <homedir>/.nvclock an.

 *UTgamer wrote:*   

> c) Dieser Ordner war direkt mit einem Punkt am Anfang versehen im Rootverzeichnis /

 

Wenn beim Booten cpufreqd gestartet wird, wird im Falle der Abhängigkeit garantiert auch nvclock gestartet. Warum dabei der Ordner im /-Verzeichnis gelandet ist, kann viele Ursachen haben. Ich kann mir gut vorstellen, dass während des Bootens das Homedir noch keine Rolle spielt und deshalb / gewählt wird. Nur so kann ich mir vorstellen, dass es bei mir eine /.bash_history gibt. Ich hatte mal den Bootvorgang abgebrochen und bin auf die Konsole geswitcht.

 *UTgamer wrote:*   

> A) Wohne ich in NRW, in welchem LKA und BKA freihe Hand haben

 

Da steigen die gleichmal bei rund 14 Millionen Menschen (77% von 18 Millionen Einwohnern) einfach so in die Bude ein und installieren angepasst nen Trojaner. Tolle Argumentation ...

 *UTgamer wrote:*   

> rkhunter hat behauptet das die openssh genauso wie kdepim auf eine elf defekte libidl-0.6.6 zugreifen würden. 

 

Da schauen wir mal, was libIDL denn ist: Interface Definition Language (IDL) parsing library -> http://webster.fh-hagenberg.at/staff/jheinzel/PRG5/Docs/CORBA-IDL.pdf

Hat also was mit Datenaustausch zu tun. Wenn diese nun defekt ist, was nützt das einem, der Trojaner einpflanzt?

Naja und was sagt dir, wenn es überhaupt ein Trojaner war, dass es der Bundestrojaner war?

---

Ich möchte Beweise von deinen Behauptungen sehen, so glaub ich dir kein Wort.

----------

## xraver

 *UTgamer wrote:*   

> Soweit mag das ja ok sein das wenn ein Homeverzeichniss nicht gesetzt ist das es in / landen könnte, aber wo kam der Punkt . dann her?

 

IMHO sind die meisten Konfigurationsdateien versteckt.

//edit

Hab dir zuliebe mal nvclock installiert.

```
ls -la ~/.nvclock/

-rw-r--r--  1 root root 65535 24. Sep 22:45 bios0.rom

-rw-r--r--  1 root root   410 24. Sep 22:46 config

```

----------

## UTgamer

Sorry, alle restlichen Beweise sind Anfang August hops gegangen, und damit bleibt es eben unglaubwürdig, am besten hätte ich das Thema hier auch nicht mehr angesprochen, aber der beschrieben Fehler war so gleich zu meinem da hat es mich einfach gepackt gehabt. 

War mein Fehler und löscht den Thread am besten, ich kann es jetzt nicht mehr beweisen. Am Anfang war ich einfach stolz wie Oskar mit ein paar Tips hier und da weiter zu machen und mich mehr in die Materie damit einzuarbeiten. Ich wollte das Ding einfach nur weg haben. Nach und nach wurde mir erst klar was das überhaupt war, aber da war es für Beweise schon zu spät, ich ging ja auch zuerst nur von einem einfachen Bug aus.

Ich hatte mich mittlerweile mit sovielen in hunderten an Beiträgen im anderen Forum darüber debatiert das ich genau diesen Beitrag jetzt nicht mehr finde, es wurde auch soviel über Politik geredet das die anderen Mitteilungen darunter schon verschwanden. Ich möchte nicht mitteilen wer ich im anderen Forum bin.

Was meints du wo zum Beispiel diese Zusammenstellung herkommt, jeder trug eben zur Vervollständigung bei einige waren auch die Initiatoren der Seiten:

 *Quote:*   

> Rechtliches: - die Internetseite des Oberstaatsanwaltes von Hannover:
> 
> http://www.cyberfahnder.de/nav/them/erm/ondusu01.htm
> 
> oder http://www.hrr-strafrecht.de/hrr/archiv/07-04/index.php?sz=8
> ...

 

So ohne weiteres werde ich dir sie nicht aus dem Ärmel schütteln, wobei opensky ein Hauptinformant für mich war.

----------

## UTgamer

 *xraver wrote:*   

> 
> 
> //edit
> 
> Hab dir zuliebe mal nvclock installiert.
> ...

 

Habe ich nachträglich auch probiert, aber bei mir erstellte er das dann zum ersten mal installierte Paket mit dem Ordner in /root/nvclock

Evtl. auch weil der anderer Ordner bereits belegt war, oder warum hat das dann neue nvclock den Ordner nach /root geschoben? Meine anderen Benutzer auf dem Rechner hatten diesen Ordner überhaupt nicht.

Wie gesagt, das war bereits im April (openldap) /Mai (/.nvclock) und wirklich niemand kannte diesen Ordner zu dieser Zeit. Nichtmal hier im engl. Teil des Forums.

https://forums.gentoo.org/viewtopic-p-4079619.html#4079619

[Edit]

Zitat aus dem alten Thread vom Mai:

 *Jupiter1TX wrote:*   

> I have nvclock installed and set to start on login. So it automatically created
> 
> the ~/.nvclock folder and a config file with my settings.

 

A) hatte er es bewußt installiert, b) ist die Tilde davor und meine home directories waren auch sonst alle ok. cpufreqd hatte zu dieser Zeit wohl keine Abhängigkeit von nvclock. Kann es auch garnicht da die Anwendung sonst mit coolbits aus dem nVidia-Paket kollidiert, weil in beiden unterschiedliche Einstellungen abgelegt sein werden.

----------

## misterjack

Soll ich ernsthaft mich nochmal zitieren?

----------

## xraver

 *UTgamer wrote:*   

> 
> 
> Habe ich nachträglich auch probiert, aber bei mir erstellte er das dann zum ersten mal installierte Paket mit dem Ordner in /root/nvclock
> 
> Evtl. auch weil der anderer Ordner bereits belegt war, oder warum hat das dann neue nvclock den Ordner nach /root geschoben?
> ...

 

Ist doch richtig. Wenn du nvclock als root startest dann laden die Configs in /root/ ...wenn als $USER dann eben im /home/$USER/

Warum es in / lag kann mehere Ursachen haben die andere Mitglieder schon versucht haben auszuzeigen.

 *UTgamer wrote:*   

> ...löscht den Thread am besten, ich kann es jetzt nicht mehr beweisen.

 

Naja, Closed würde vielleicht reichen.

Wenn SIE wirklich was von dir wollen dann werden SIE wieder kommen. Dann hast du Beweise und ein freundlicher Mod wird den Thread sicherlich dann wieder öffnen.

Ich finde es auf jedenfall gut das du dir überhaupt Gedanken gemacht hast - wenn vielleicht auch etwas vorschnell.

Aber sollte es so sein wie du Beschreibst - dann muss die Sache ans Licht gebracht werden.

----------

## sschlueter

Ohje   :Rolling Eyes: 

Ich bin auch dafür, diesen Thread mindestens zu schließen.

----------

## xraver

Naja, löschen währe übertrieben. Genauso wie er keine Beweise hat das es so war, können wir auch nicht Beweisen das es nicht so war.

Mod´s - HELP

----------

## UTgamer

PS: Es gibt hier noch einen Thread im Forum den ich gerade suche, wo jemandem bei Abwesenheit der Rechner über den Power-Button runtergefahren wurde, werde den Link gleich wenn ich ihn gefunden habe auch noch anführen, er kann auch nichts beweisen.

Hier ist er:

https://forums.gentoo.org/viewtopic-t-570484.html

Dies hier fand auch im gleichen Zeitraum wie bei mir statt:

http://bundestrojaner.blogspot.com/2007/07/ergebnis-einer-strafanzeige.html

Mod´s - HELP (schließen)

----------

## misterjack

Wieso sollten DIE den dann nicht wieder hochfahren um kein Anschein erwecken zu lassen, dass SIE da waren?

Zu deiner Sache:

Naja mit ein bisschen Einbildung hat man für vieles ne Erklärung (wie für defekte Partitionen, defekte Dateien oder ganz regulären Dateien   :Laughing:  )

Edith sagt: http://de.gentoo-wiki.com/DM-Crypt - Da werden sie viel Spaß haben einen Trojaner zu installieren.

----------

## UTgamer

 *misterjack wrote:*   

> ...
> 
> Edith sagt: http://de.gentoo-wiki.com/DM-Crypt - Da werden sie viel Spaß haben einen Trojaner zu installieren.

 

Danke, paßt haargenau auf meine Geschwindigkeitseinbußen die ich bei CPU Vollauslastung bei meinem Spiel hatte, sowie zur unlesbaren Grubpartition. Ich werde morgen wieder einen neuen Kernel bauen mit den durch diesen Artikel neu gewonnen Erkenntnisse.  :Wink: 

----------

## misterjack

 *UTgamer wrote:*   

> paßt haargenau [...] zur unlesbaren Grubpartition

 

ähm, eine verschlüsselte Grub-Partition hätte deinen Rechner "unbootbar" gemacht. Grub kann sicherlich keine verschlüsselten Partitionen lesen, wie kommst du dadrauf, dass es haargenau passen soll?

----------

## Anarcho

 *UTgamer wrote:*   

>  *misterjack wrote:*   ...
> 
> Edith sagt: http://de.gentoo-wiki.com/DM-Crypt - Da werden sie viel Spaß haben einen Trojaner zu installieren. 
> 
> Danke, paßt haargenau auf meine Geschwindigkeitseinbußen die ich bei CPU Vollauslastung bei meinem Spiel hatte, sowie zur unlesbaren Grubpartition. Ich werde morgen wieder einen neuen Kernel bauen mit den durch diesen Artikel neu gewonnen Erkenntnisse. 

 

Dann hast du wohl den unüblichen Weg beschritten und UT auf der /boot Partition installiert   :Twisted Evil: 

Denn die CPU wird durch DM-Crypt nur belastet wenn dort auch Lese-/Schreibzugriffe stattfinden...

----------

## UTgamer

Nein, da denkt ihr beiden aber nicht weit genug.

In fast jedem System wird ein 8 MB großer Überhangblock auf den Festplatten reserviert. 8MB reichen aus um eine VM zu starten die dann erst den Kernel startet. Mit den Möglichkeiten an VMs habt ihr es aber auch nicht. Wenn Grub also erst die VM und diese den Kernel startet ist wirklich alles weitere langsamer. 

Die VM muß sich nicht mal im Überhangblock befinden, sie könnte sich sogar selbst in Grub befinden. Damit ist sichergestellt das man auf Grub oder die Grubpartition selbst nicht den vollen Zugriff bekommt. Alle weiteren Systeme die man installiert sind damit auch direktinfiziert, starte ich also von einem fremden Medium das installierte System habe ich Grub und die Einheit System getrennt, ich könnte beide sauber untersuchen. Bei diesem Versuch hat sich aber Grub selbst vernichtet.

Rootkit verschiebt Windows in virtuelle Maschine

Wer sagt den das Intels VT-x (Vanderpool) nur mit Windows läuft?

Laut http://wiki.xensource.com/xenwiki/IntelVT braucht man für Intels Lösung zumindest einen Intel Chipsatz. Aber auch die AMD Boards haben seit Jahren eine Chip-TCP-Lösung aufm Board, und auch dort gibt es Virtualisierungen. Ja wie von dir angesprochen liefert selbst seit Kernel 2.6.20 Linux die Möglichkeiten sich selbst zu Verschlüsseln auch direkt mit. Es trat bei mir auch zuerst mit einem 2.6.20 Kernel auf, der 2.6.19ner den ich noch drauf hatte der wurde erst einige Zeit später langsamer.

https://forums.gentoo.org/viewtopic-p-4079619.html#4079619

 *UTgamer wrote:*   

> It looks like kernel 2.6.19 did work fine without, but kernel 2.6.20 did not at all accept to work together with nvidia-kernel without this folder.

 

Ich bleibe dabei, Grub selbst war der Schlüssel für die Behörden und die von mir selbst nicht aktivierten/installierten MTAs (qmail, ...) sowie nvclock und openldap bildeten die andere Einheit.

Aber Beweisen kann ich es jetzt nicht mehr. Weil ich die Lösung des Problem anging wie einen normalen Bug > das Ding mußte weg. Hätte ich direkt voll erkannt das da mehr hintersteckt als ein Bug hätte ich auch anders gehandelt. Ich hätte diekt eine Mail, die sicher nie angekommen wäre an den CCC gesendet.

Rundum-Sorglos-Pakete zur Mail-Überwachung

Abhörverpflichtungen verunsichern Webmail-Anbieter [Update]

Google droht mit Schließung von Mail-Dienst in Deutschland

Die Notiz dazu, bin bei Netcologne und die überwachen sogar die DNS-Server, dann werden sie die E-Mails auch schon überwachen. Einige DNS-Adressen sind nämlich bei Benutzung von deren DNS-Servern garnicht ansurfbar.  :Wink:   Wie nur z.B. allein diese Adresse: http://www.chkrootkit.org/

----------

## psyqil

 *UTgamer wrote:*   

> Die Notiz dazu, bin bei Netcologne und die überwachen sogar die DNS-Server, dann werden sie die E-Mails auch schon überwachen. Einige DNS-Adressen sind nämlich bei Benutzung von deren DNS-Servern garnicht ansurfbar.   Wie nur z.B. allein diese Adresse: http://www.chkrootkit.org/

 Notiz von mir: Bin auch bei Netcologne und habe gerade http://www.chkrootkit.org/ "angesurft". Da gibt's sogar http://debian.netcologne.de/debian/pool/main/c/chkrootkit/

----------

## UTgamer

Ich brauchte bei Benutzung derer DNS-Server 4 Minuten um diese http://www.chkrootkit.org/ Adresse aufzulösen. Habe ich auch schon hier im Forum stehen, darum habe ich mir ja auch längst einen DNS-Proxy zugelegt (pdnsd), der selbst nicht mehr zu Netcologne verbindet. 4 Minuten kommt einer Sperrung gleich.

Sie loggen anscheinend mit wer wann wohin surft.

----------

## Erdie

BTW: Bei mir liegt immer wieder ein /.nvclock Verzeichnis unter root. Ich habe eine Perl script am laufen, welches mittels nvclock die Lüfterdrehzal dynamisch regelt. Bin ich auch infiziert? Möchtet Ihr den Inhalt des /.nvclock haben?

-Erdie

P.S. Um es klarzustellen, ich halte die Existens von /.nvclock nicht für den Beweis eines Trojaners.

----------

## UTgamer

Erdi kann ja sein, ich hatte diesen Ordner und seinen Inhalt bloß mit eingezogen weil ich dieses Tool nie selbst installiert hatte, es stand auch als ich nachschaute auf [N] in Portage, und ich bezweifle das cpufreqd nvclock einfach mitinstalliert. [Edit] Es würde nämlich mit nVidias coolbit-Einstellungen kollidieren.

----------

## misterjack

 *UTgamer wrote:*   

> es stand auch als ich nachschaute auf [N] in Portage, und ich bezweifle das cpufreqd nvclock einfach mitinstalliert. [Edit] Es würde nämlich mit nVidias coolbit-Einstellungen kollidieren.

 

Ich hatte es dir schonmal gesagt, schau dir das verdammte ebuild an! Es wurde definitiv mit installiert, wenn USE="nvidia" gesetzt war. Ich würde dir mal einen Kurs in "wie baue ich Paranoia ab" zu Herzen legen, denn irgendwie scheinst du alles, was dir nicht koscher vorkommt, den Bundestrojaner/Logging/whatever zuzuschreiben, anstatt richtig nachzuforschen. Als ob 4min Zeit beim Auflösen durch Logging zustandekommt.   :Laughing: 

Übrigends macht hier nvclock absolut keine Probleme  :Smile: 

----------

## UTgamer

misterjack, 

a) nvclock war im Mai für AMD64 als noch hoch unstable eingestuft, ohne ein ~amd64 hätte es nicht installiert werden dürfen. Selbst der Entwickler hat auf seiner Webseite es als zu ersten Tests für AMD64 angegeben gehabt und vor einem produktiven Einsatz gewarnt.

b) darum stand es in Portage auch noch als [N] neu, noch nicht installiert.

Das hattest du nicht mitbedacht

Situation heute:

```
emerge nvclock -pv

These are the packages that would be merged, in order:

Calculating dependencies -

!!! All ebuilds that could satisfy "nvclock" have been masked.

!!! One of the following masked packages is required to complete your request:

- media-video/nvclock-0.7-r1 (masked by: missing keyword)

- media-video/nvclock-0.7-r2 (masked by: missing keyword)

- media-video/nvclock-0.8_beta2 (masked by: ~amd64 keyword)

For more information, see MASKED PACKAGES section in the emerge man page or

refer to the Gentoo Handbook.
```

Was soll ich da nachschauen, ohne das ich es von Hand auf stable setze?

Baut der cpufreqd Maintainer etwa Mist?

[Edit]

```
emerge cpufreqd -pv

These are the packages that would be merged, in order:

Calculating dependencies... done!

[ebuild  N    ] sys-power/cpufreqd-2.1.1  USE="apm lm_sensors nvidia -acpi -nforce2 -pmu" 0 kB
```

Da steht nichts von nvclock, oder wie erklärst du das?

----------

## misterjack

[ ] Du hast dir das ebuild angeschaut.

----------

## UTgamer

Dann muß ich es mir die Pekete jetzt erstmal runterladen.

----------

## misterjack

Wozu herunterladen? less /usr/portage/sys-power/cpufreqd/cpufreqd-2.1.1.ebuild

Ich mein, du willst uns hier auftischen, dass du nen Bundestrojaner hattest, bist aber unfähig herauszufinden, warum und wie nvclock auf deinen Rechner gekommen ist?

----------

## UTgamer

```
src_compile() {

   local config

   if use nvidia; then

      cd "${WORKDIR}"/nvclock${NVCLOCK_VERSION}

      econf \

         --disable-gtk \

         --disable-qt \

         --disable-nvcontrol \

         || die "econf nvclock failed"

      emake -j1 || die "emake nvclock failed"

      config="--enable-nvclock=${WORKDIR}/nvclock${NVCLOCK_VERSION}"

   fi
```

Sieht so aus als wenn das ebuild hier für AMD64 Müll baut und Funktionen installiert die als hoch unstable gelten. Aber dies sollte immer noch nicht erklären warum der Rechner um rund 30% bei Vollauslastung langsamer wurde, was nämlich zeitgleich auch auftrat.

Ich habe das Ebuild eben mal kurz angestartet, und ja es macht diesen Müll:

```
Emerging (1 of 1) sys-power/cpufreqd-2.1.1 to /

 * cpufreqd-2.1.1.tar.bz2 RMD160 ;-) ...                                                                          [ ok ]

 * cpufreqd-2.1.1.tar.bz2 SHA1 ;-) ...                                                                            [ ok ]

 * cpufreqd-2.1.1.tar.bz2 SHA256 ;-) ...                                                                          [ ok ]

 * cpufreqd-2.1.1.tar.bz2 size ;-) ...                                                                            [ ok ]

 * nvclock0.8b.tar.gz RMD160 ;-) ...                                                                              [ ok ]

 * nvclock0.8b.tar.gz SHA1 ;-) ...                                                                                [ ok ]

 * nvclock0.8b.tar.gz SHA256 ;-) ...                                                                              [ ok ]

 * nvclock0.8b.tar.gz size ;-) ...                                                                                [ ok ]

...
```

Das erklärt aber nicht die anderen Fehler, und diesen Scheiß kann ich dann adakta legen. Mich würde interressieren warum der Maintainer ein AMD64 System damit wohl unstable macht.

[Edit] Der Fehler trat dann zufällig zur falschen Zeit am falschen Ort auf.

Frage: Installiert das Ebuild auf nicht AMD64 denn auch noch das reguläre Paket nvclock mit?

[Edit2]

Im changelog taucht Christian Heim auf also ein Deutscher, der nicht zufällig fürs BKA arbeitet?

Ist nur eine retorische Frage die ich mir gerade selbst stelle.

----------

## xraver

Oh OH, gestern Abend als ich ins Bett ging dachte ich das der Thread morgens geschlossen ist und das Thema erst weiter geführt wird wenn es Fakten gibt. UTgamer, ich habe bis jetzt noch keine Technischen Details gelesen, keine Beweise gesehen. Gestern wolltest du sogar den Beleidigten spielen und heute lese ich was von "Verschlüsselten Grub Partitionen", Virtuellen Maschienen.

Hast du dir einen Hammer Trip geschmissen?????

Warum gerade Grub? Nicht jeder verwendet Grub oder eine eigene Grup Partition. Special-Attack extra für dich  :Question:   :Question:   :Question: 

Jemand gibt dir den Tip da du dein Zeugs verschlüsseln sollst - jetzt waren SIE es die bei dir was verschlüsselt haben  :Question:   :Question:   :Question: 

Bloß weill eine nette Informatikerin es geschaft hat Windows unbemerkt in eine VM zu verschieben heisst es doch noch lange nicht das SIE es auch können. Und wenn, würde mich interessieren wie SIE deinen Kernel dann den HW Zugriff weiter gewähren konnten, sogar 3D-Support - du sagtest ja selber das du gespielt hast.

Dann gibt es noch Backups die du Angeblich loeschen musstest - auch hier ist der Grund nicht ersichtlich und den Forumsbeitrag wolltest auch net raus rücken.

Du hast mit Forensikern gesprochen? Wieso koenne die dir nicht weiter helfen????

Naja, das ist mein Letzter Beitrag zu dem Thema. Aber ich werde das Thema noch weiter verfolgen - denn mittlerweile ist es nur noch lächerlich.

Und selbst wenn die Administration mit liest - auch SIE werden sich das lachen nicht verkneifen koennen.

Mach mal ne Woche Urlaub, setzte dann dein System neu auf und das nächste mal - wenn SIE denn wieder kommen - beweise uns das wir uns lächerlich gemacht haben.

Ich hoffe du endest nicht so wie der UT Player auf Youtube.

Schoenen Tag noch.

----------

## UTgamer

Es könnte mir noch bitte jemand diese Frage beantworten:

Trägt die cpufreqd-Installation auf nicht AMD64 Systemen nvclock als installiert ein?

Es sieht so aus als wenn es dies nicht macht, kann es ja auch garnicht da es teils unstable ist.

----------

## xraver

 *UTgamer wrote:*   

> Es könnte mir noch bitte jemand diese Frage beantworten:
> 
> Trägt die cpufreqd-Installation auf nicht AMD64 Systemen nvclock als installiert ein?
> 
> Es sieht so aus als wenn es dies nicht macht, kann es ja auch garnicht da es teils unstable ist.

 

```
[ebuild   R   ] media-video/nvclock-0.8_beta2
```

Und was mir noch einfällt. Wenn ich dein Sys in einer VM laufen habe, warum soll ich dann nvclock noch manipulieren?

----------

## UTgamer

Danke, trägt es nämlich bei mir nicht ein.  :Wink: 

----------

## STiGMaTa_ch

 *UTgamer wrote:*   

> Ich brauchte bei Benutzung derer DNS-Server 4 Minuten um diese http://www.chkrootkit.org/ Adresse aufzulösen. Habe ich auch schon hier im Forum stehen, darum habe ich mir ja auch längst einen DNS-Proxy zugelegt (pdnsd), der selbst nicht mehr zu Netcologne verbindet. 4 Minuten kommt einer Sperrung gleich.
> 
> Sie loggen anscheinend mit wer wann wohin surft.

 

 :Mr. Green:   :Mr. Green:   :Mr. Green:   :Mr. Green: 

Hach, ist der Thread toll. Ist das hier eigentlich eine Abspaltung aus irgend einem Windows Forum? Bisher kenne ich diese Inhaltslosen Theorien nur aus solchen Foren...

UTgamer. Nur weil es angeblich 4 Minuten dauert bis die Website kommt heisst das noch lange nicht, dass dein Rechner so lange zum auflösen braucht. Wenn du mal einen traceroute auf die Seite machen würdest, dann würdest du sehen, dass nach edge-09-teb2.us.njiix.net der Flaschenhals kommt.

Aber hopparla   :Shocked: 

njiix.net ist in New York beheimatet  :Shocked:   :Shocked:  bist du dir wirklich sicher, dass dein Rechner NUR von den Deutschen Behörden beobachtet/attackiert wurde und nicht vom NSA oder NCIS  :Wink:  Vielleicht waren da aber auch die Forensiker von CSI am Werk. Die zeigen im Fernsehen immer wieder wie gut die das drauf haben....

STiGMaTa

----------

## xraver

Ich koennte jeden Tag von Problemen mit meiner Verbindung berichten. Besonders Abends von 17-21Uhr. Erhöhter Ping und manchmal Adressen die nach einer weile oder gar nicht aufgelöst werden. Bei mir ist das Problem bei Primakom (meinem Provider) zu suchen.

Bei Freunden die den gleichen Provider benutzen gibt es das gleiche Problem. Anstatt gleich das schlimmste zu denken haben wir das Primakom Forum besucht und konnten erfahren das wir nicht die einzigen sind.

Fazit: Verbindungsprobleme koennen auch am Provider oder irgendwelchen Routern liegen.

----------

## UTgamer

Ja das heist es nicht unbedingt. Der Browser zeigt in der Statusleiste die Resolve-Zeiten und auch die Connect-Zeiten an. Allein der Resolvevorgang dauert über Netcologne 4 Minuten und über andere DNS-Server rund 15 Sekunden. Das Connect dauert dann nur rund wieder 15-30 Sekunden.

Noch schlimmer sah es aus als ich Seiten in Südkorea ansurfen wollte, alles ausserhalb der Seiten von Seoul und des Flughafen dort ließ sich 0 niente nichts auflösen. Südkorea ist das mit Internet best ausgebaute Land der Welt. Jaja ich darf mir meine nächsten Urlaubsziele nicht mehr vorher im Internet ansehen.

Bisher schaute ich mir immer meine letzten Urlaubsziele vorher im Internet an. Neuseeeland, Singapour, Australien und Kanada waren meine letzten Ziele und deren Internetseiten waren zuverlässig. Meine nächste Reise wll ich mir auch wieder vorher aussuchen, und das wären entweder Brasilien oder Südkorea. Brasilen ist arschlangsam zu bekommen, Südkorea dagegen 0 niente nichts, wie soll ich mich da vorher informieren?

Diese eine Seite von chkroot.org wird in Südamerika gehostet und diente mir gleichfalls als Beispiel, da ich auch deren Tool installiert habe.

[Edit] Jegliche Seiten aus China dagegen gehen ohne irgendwelche Probleme dagegen im Sekundentakt sowohl auszulösen als auch zu verbinden, Die vom Nachbarland überhaupt nicht.

----------

## xraver

 *UTgamer wrote:*   

> Südkorea ist das mit Internet best ausgebaute Land der Welt.

 

Wusste ich noch gar nicht. Ich dachte es währ immer der Osten unseres Landes  :Wink: .

Ne, mal im Ernst. Woher hast du diese Info? Kann das jemand bestätigen?

//edit

Du wirst auch genug Seiten finden womit du anonym surfen kannst. Schonmal angestestet?

http://anonymouse.org/anonwww_de.html

----------

## UTgamer

http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/92386&words=Seoul&T=seoul

Ich wollte dies mal ausprobieren, und mich auch in diesen Regionen umsehen. Aber nichts ist zu bekommen, nicht mal die Taxiunternehmerseiten die ich beim Flughafen fand sind aufzurufen. Mich informieren über Routen und Preise, Hotels, etc. Ich komme nicht durch. Wenn ich mir dagegen Shanghai ansehe geht alles flop flop ohne Problem.

----------

## manuels

Nagut, dann fehlinterpretierst du das ganze.

Ich nutze auch cpufreqd und bei mir existiert ebenfalls ein /.nvclock-Verzeichnis.

Aber dieses Verzeichnis wird von cpufreqd erstellt:

```
# lsof /.nvclock/*

COMMAND   PID USER  FD   TYPE DEVICE  SIZE NODE NAME

cpufreqd 5472 root mem    REG 254,10 65535 4100 /.nvclock/bios0.rom

```

Das /.nvclock-Verzeichnis ist also ein ganz normales Verzeichnis, auch wenn es eingentlich nicht nach / gehört - hätten die Leute von cpufreqd schöner machen können.

EDIT: Sorry, hab die 3. Seite des Threads übersehen

Trotzdem bleibt folgendes:

Ich sehe hier immer noch nicht warum du ein Rootkit drauf gehabt haben solltest.

EDIT2: Das nvclock-ebuild ist bei mir auch nicht installiert. Es liegt nämlich "im cpufreqd-ebuild drin":

```
# ls /var/tmp/portage/sys-power/cpufreqd-2.1.1/work

cpufreqd-2.1.1  nvclock0.8b
```

(Was nebenbei gesagt sehr unschön ist)

----------

## xraver

 *UTgamer wrote:*   

> http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/92386&words=Seoul&T=seoul
> 
> 

 

Heist für mich nur das die einen schnellen Zugang haben. Aber das "best ausgebaute Land der Welt" ist es für mich trotzdem nicht. Dazu gehört noch ein wenig mehr. Und was sind 15Millionen Haushalte im Vergleich zu anderen Ländern?

Leider kenn ich keine Seiten die aus diesem Land stammen. Kannst du mir ein par Links geben? Versteh die Sprache zwar eh nicht, aber wenn ich z.B http://www.seoul.go.kr/ aufrufe ......hm, er läd immer noch währen ich diesen Beitrag schreibe.

http://www.snlib.or.kr braucht auch sehr lange.

Naja, eh alles OT.

----------

## misterjack

 *UTgamer wrote:*   

> Im changelog taucht Christian Heim auf also ein Deutscher, der nicht zufällig fürs BKA arbeitet?
> 
> Ist nur eine retorische Frage die ich mir gerade selbst stelle.

 

http://www.gentoo.org/news/de/gwn/20070806-newsletter.xml

Endlich haste mal es geschafft, hinter dem /.nvclock-Problem zu kommen. Seit wann sitzt du daran? April/Mai? Wie war das noch mal mit dem Bundestrojaner? Hochgradiges Geschwätz

----------

## UTgamer

Naja woher diese Einträge in z.B. der /etc/gshadow kamen kannst du mir dann auch erklären?

qmail:!::

postfix:!::

postdrop:!::

Viel mehr habe ich nicht mehr übrig.

Auf den Neuinstallationen sind diese und andere Einträge nicht mehr.

Ich habe keines davon installiert gehabt, und in der /etc/group konnte ich die neuen MTA Gruppen wöchentlich austragen. Sowie die Fehler von revdep-rebuild und openldap wie sie Martux gerade auch hat.

[Edit]

PS: Ein älteres Backup vom 2. Rechner ist noch lauffähig vorhanden, allerdings mitlerweile ohne die Gruppeneinträge. Auf dem anderen Rechner war nie ein 2.6.20er Kernel installiert, die letzte Version war ein 2.6.19ner.  :Wink: 

Das 2. System steht noch zu Untersuchungen bereit, da ich dort selbst auch weiter machen wollte, ich kann es jederzeit wieder hochfahren, der Rechner hat ja nur 5 Festplatten eingebaut, ist ebenfalls ein Gentoo.  :Smile: 

Ich komme später wieder ins Forum und freu mich über neue interressante Untersuchungsvorschläge.

----------

## misterjack

 *UTgamer wrote:*   

> Sowie die Fehler von revdep-rebuild und openldap wie sie Martux gerade auch hat.

 

Ja, den hat Martux ebenfalls lösen können...

Aber eine Frage bleibt: Dass du einen Trojaner/kompromitiertes System hattest, ist nicht auszuschließen, aber warum soll es der Bundestrojaner gewesen sein?

----------

## musv

 *xraver wrote:*   

> 
> 
> Heißt für mich nur, dass die einen schnellen Zugang haben. Aber das "best ausgebaute Land der Welt" ist es für mich trotzdem nicht. Dazu gehört noch ein wenig mehr. Und was sind 15Millionen Haushalte im Vergleich zu anderen Ländern?
> 
> 

 

Ich hab mal 4 Monate in Südkorea gelebt. Es ist meiner Erfahrung nach das am besten ausgebaute Land der Welt, was Breitbandinternetanbindungen betrifft. Im Ballungsgebiet um Seoul leben ca. 22 Mio. Einwohner. Das ist etwa die Hälfte der Gesamtbevölkerung in Südkorea. Seoul ist ist zu 100% mit Breitbandanschlüssen ausgestattet. Ich hatte damals ca. 2 Wochen in Seoul in einer einfachen Jugendherberge verbracht, die von einem älteren Typ (ca. 60 Jahre) und seiner Mutter betrieben wurde. Die hatten da Wlan-Breitbandanschluß. 

 *xraver wrote:*   

> Leider kenn ich keine Seiten, die aus diesem Land stammen. Kannst du mir ein par Links geben? Versteh die Sprache zwar eh nicht, aber wenn ich z.B http://www.seoul.go.kr/ aufrufe ......hm, er läd immer noch währen ich diesen Beitrag schreibe.
> 
> http://www.snlib.or.kr braucht auch sehr lange.
> 
> 

 

Deswegen müssen die Verbindungen dort nicht langsam sein. Das liegt wohl eher an der Anzahl der zwischengeschalteten Verbindungspunkte und der Entfernung. Daher werden Seiten aus Brasilien wahrscheinlich genauso schnell geladen werden, obwohl technisch zwischen beiden Welten auch selbige Welten liegen. Benutz einfach mal traceroute, dann findest du ganz leicht raus, an welcher Stelle die Verbindung hängt. In Südkorea selbst dauert es auch seine Zeit, bis du deutsche Seiten geladen hast. Btw. nordkoreanische Seiten kann man von Südkorea aus nicht aufrufen.  :Smile: 

Hinzu kommt, daß Koreaner stark M$-verseucht sind. D.h. dort ist ALLES auf IgittExplorer-6 optimiert. Weiterhin setzen die extrem gerne Flash und so'n Mist ein. Mir ist bisher noch keine einzige koreanische Seite untergekommen, die schnell, funktional und informativ programmiert / gestaltet war. In der Hinsicht ist Brasilien sogar weiter entwickelt.  :Smile: 

UTgamer:

Was wolltest du eigentlich mit den Südkorea- und Brasilientests bezwecken?

Wolltest du da hinfahren, um dort das Internet zu testen, oder wolltest du nur von hier aus die Ladezeit messen? Das hat nämlich in beiden Fällen keinen Sinn.

----------

## think4urs11

Schluß mit lustig  :Wink: 

abgesehen davon das der Thread inzwischen nicht mehr viel mit dem ursprünglichen Thema zu tun hatte bzw. diverses unsplittbar zusammengemixt wurde - was als Grund für einen Lock alleine schon genügen würde - finden sich reichlich ähm *räusper* 'nicht zwingend in Zusammenhang mit einer Behörde bringbaren' Effekte die (wahrscheinlich)(?) alle wesentlich grundgesetz-konformere Begründungen haben wenn man ihnen denn nachginge.

Z.b. ist eine lahme DNS-Auflösung genau das - lahm. Dies in Richtung bessere Überwachung zu schieben ist eher eine gewagte These.

Hoffen wir mal das wenigstens Christian Spaß versteht, ihn in BKA-Nähe zu rücken ist ja beinahe schon rufschädigend.

--- this is were paranoia ends for today ---

----------

