Rainer schrieb:
Am 04.03.2013 um 16:07 schrieb "Lentes, Bernd"
: es ist für mich vor allem wichtig, wie derjenige reingekommen ist.
Das ist sicherlich eine gute Idee.
Ich habe dazu folgende Idee: ich starte die Maschine neu, dann ist der Eindringling erst mal weg. Sofort nach dem Neustart sniffe ich den gesamten Verkehr von/zu der IP mit. Dann müsste ich in den ersten Paketen, wenn die Verbindung zustande kommt, mehr rauskriegen. Sofern sie nicht binär kodiert sind. Außerdem möchte ich versuchen, event-gesteuert (http://www.linux-magazin.de/Ausgaben/2007/02/Event-gesteuert/ %28language%29/ger-DE) raus zu bekommen, wann diese cataline.jar auftaucht und diese dann kopieren, in der Hoffnung, daß mir der Inhalt dieser Datei weiterhilft.
Ich würde zuallererst ein Image von der Platte ziehen. Dann einen Sniffer laufen lassen, aber an einem Mirrorport direkt am Switch oder einen Hub (falls es sowas noch gibt) dazwischenschalten. Also auf einer anderen Maschine sniffen.
Image ist eine gute Idee. Der betroffene Rechner ist eine VM, ich sniffe am host.
Was haltet Ihr davon ?
Der Ansatz ist sicherlich richtig. Lies mal (falls noch nicht getan) Clifford Stoll, Das Kuckucksei. Das motiviert :-)
Kenn ich. Super spannendes Buch, komm mir im Moment vor wie der Autor. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org