-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Wolfgang Geisendörfer schrieb:
Thomas Moritz schrieb:
Am Mittwoch, 21. November 2007 13:29:20 schrieb Michael Herrmann:
Hallo Michael,
ich habe hier ein sehr seltsames Verhalten des Yast-Firewall Moduls. Da ich mich in letzter Zeit immer wieder über plötzliches Rattern meiner Festplatte gewundert habe, das dann ein paar Sekunden lang ging. Nach etwas Suche und Auf-der-Lauer-liegen habe ich dann festgestellt, dass wohl ein vnc-Zugriff auf meinen Rechner stattgefunden hat.
Interessanterweise habe ich dann anschließend in meine Firewall gesehen und festgestellt, dass folgende Dienste freigeschalten waren:
SSH IPP-Broadcast NFS-Client NFS-Server
Deine Angaben nuetzen hier nicht viel in Bezug auf "Rechner gahackt"! Schau doch bitte mal ins Logfile der Firewall:
/var/log/firewall
und suche dort nach Auffaelligkeiten. Weiterhin koenntest Du mit
last
nachschauen, wer sich zu welcher Zeit auf Deiner Kiste rumgetrieben hat. Ich wuerde das Rattern Deiner Festplatte auf beagle & Co. oder auf Updatedb schieben. Wenns wieder mal rattert, schau mal mit ps ax
was gerade so laeuft und sollte die CPU auch mehr als ueblich schindern, dann schau mit top, was gerade rennt.
und wenn da so ein böses rootkit installiert wurde zeigen diese Tools natürlich alles nur nicht den Feind
mfg
Wolfgang Geisendörfer
MfG Th. Moritz
da kann man ja auch gegen wirken z.B. mit rkhunter um nach solchen rootkits zu suchen Gruß Robert -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org iD8DBQFHRECjlYuM4ozDZ7URAsBAAJ9vztticVoQP2HHF9SWlDfR2MPKcACgibmD dPzx04w7JTs6x+DeL6ojdnw= =S9yy -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org