Hallo allerseits, mit schöner Regelmässigkeit jäuft bei mir ein Prozess names john john - "John the Ripper" detects weak passwords like first names, common expressions etc. on your system. und blockiert mit 99% CPU Last das System. Wie werd' ich den dauerhaft los? Danke und Bye Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer
Dr. Jürgen Vollmer schrieb:
Hallo allerseits,
mit schöner Regelmässigkeit jäuft bei mir ein Prozess names john john - "John the Ripper" detects weak passwords like first names, common expressions etc. on your system. und blockiert mit 99% CPU Last das System. Wie werd' ich den dauerhaft los?
Danke und Bye Jürgen
Frage: warum läuft der und wer startet den? Einbruchsversuch? Denn wie die Beschreibung schon sagt, versucht john die Passwörter deines passwd-files zu knacken. Und der Prozess ist Resourcen intensiv und kann bei guten Passwörtern theoretisch Monate dauern bzw. ganz erfolglos bleiben. Bist du dir also sicher, dass da niemand Fremdes dahinter steckt? Ansonsten kannst Du john doch einfach deinstallieren und dann müsstest Du doch Ruhe haben. Viele Grüße Steffen
Am Dienstag, 5. September 2006 10:21 schrieb Steffen Genkinger:
Dr. Jürgen Vollmer schrieb:
Hallo allerseits,
mit schöner Regelmässigkeit jäuft bei mir ein Prozess names john john - "John the Ripper" detects weak passwords like first names, common expressions etc. on your system. und blockiert mit 99% CPU Last das System. Wie werd' ich den dauerhaft los?
Danke und Bye Jürgen
Frage: warum läuft der und wer startet den?
ich habe bisher immer irgend ein SuSE-Überwachungsscript im Verdacht gehabt. (SuSE 10.0 und 10.1)
Einbruchsversuch?
noch nicht dran gedacht. Nur wie feststellen?
Denn wie die Beschreibung schon sagt, versucht john die Passwörter deines passwd-files zu knacken. Und der Prozess ist Resourcen intensiv und kann bei guten Passwörtern theoretisch Monate dauern bzw. ganz erfolglos bleiben. Bist du dir also sicher, dass da niemand Fremdes dahinter steckt? Ansonsten kannst Du john doch einfach deinstallieren und dann müsstest Du doch Ruhe haben.
ich würd' aber schon gerne wissen woher das kommt. Bye Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer
Dr. Jürgen Vollmer schrieb:
Am Dienstag, 5. September 2006 10:21 schrieb Steffen Genkinger:
Dr. Jürgen Vollmer schrieb:
Hallo allerseits,
mit schöner Regelmässigkeit jäuft bei mir ein Prozess names john john - "John the Ripper" detects weak passwords like first names, common expressions etc. on your system. und blockiert mit 99% CPU Last das System. Wie werd' ich den dauerhaft los?
Danke und Bye Jürgen
Frage: warum läuft der und wer startet den?
ich habe bisher immer irgend ein SuSE-Überwachungsscript im Verdacht gehabt. (SuSE 10.0 und 10.1)
keine Ahnung. Ich habe da nur mal unter UNIX mit rumgespielt. John ist eigentlich was für Admins. Man füttert ihn mit einem passwd-file und das Programm legt dann los und versucht die Passwörter zu knacken. Man kann es sogar so konfigurieren, dass es direkt eine Mail an den User schickt und ihm mitteilt, er soll doch bitte ein sichereres Passwort verwenden. Aber Missbrauch ist natürlich nicht auszuschließen. Würde mich aber schon wundern, wenn Suse so ganz auf eigene Faust die Passwörter überprüft. Normalerweise macht doch nur Windoof ungefragt Dinge, die man nicht möchte.
Einbruchsversuch?
noch nicht dran gedacht. Nur wie feststellen?
Nun ja, falls Du es nicht selbst installiert hast und es im Yast Software Manager (oder sonstwo) nicht aufgeführt wird, so muss wohl irgendjemand die binary eingeschleust haben oder sich das Programm selbst compiliert haben. Da es keinerlei Abhängigkeiten hat, ist das einfach. Dann würde ich zumindest mal versuchen die Datei 'john' zu lokalisieren. Vielleicht kannst Du ja daraus Rückschlüsse ziehen, wer wo wann das Programm warum startet. Ich weiß ja jetzt auch nicht, ob Du ein Multiuser-System betreust oder nur deinen privaten Arbeitsplatz-Rechner. Ganz auf die leichte Schulter nehmen, würde ich es jedenfalls nicht. Gruß Steffen
Dr. Jürgen Vollmer schrieb:
Hallo allerseits,
mit schöner Regelmässigkeit jäuft bei mir ein Prozess names john john - "John the Ripper" detects weak passwords like first names, common expressions etc. on your system. und blockiert mit 99% CPU Last das System. Wie werd' ich den dauerhaft los?
Deinstallieren aber wenn du das Teil nicht gestartet hast so hast du gnaz andere Probleme. Will sagen du hast dein System nicht mehr unter alleiniger Kontrolle.
Hallo, Am Dienstag, 5. September 2006 11:11 schrieb Ralf Prengel:
Dr. Jürgen Vollmer schrieb:
Hallo allerseits,
mit schöner Regelmässigkeit jäuft bei mir ein Prozess names john john - "John the Ripper" detects weak passwords like first names, common expressions etc. on your system. und blockiert mit 99% CPU Last das System. Wie werd' ich den dauerhaft los?
Ich würde ihn einfach deinstallieren. Ist seccheck installiert?
Deinstallieren aber wenn du das Teil nicht gestartet hast so hast du gnaz andere Probleme. Will sagen du hast dein System nicht mehr unter alleiniger Kontrolle.
Also diese Vermutung halte ich für sehr gewagt. Welcher Hacker sollte denn john starten? Erstens braucht er dafür schon einen Login, und zweitens könnte er einfach die shadow ziehen und john "zu Hause" laufen lassen, wo es eben nicht auffällt. Bei meiner letzten Suse (9.3 iirc) lief john auch "automatisch". Es war ein Mehrbenutzersystem und checkte ob die User auch anständige Passwörter verwenden. Das Sytem lief ca 24 h mit 100% CPU-Last. HTH Andreas
Andreas Hergesell schrieb:
Also diese Vermutung halte ich für sehr gewagt. Welcher Hacker sollte denn john starten? Erstens braucht er dafür schon einen Login, und zweitens könnte er einfach die shadow ziehen und john "zu Hause" laufen lassen, wo es eben nicht auffällt.
Ich dachte eher an einen internen user der sich nicht zu benehmen weiß aber wenn er es nicht wissentlich installiert hat muß er klären woher das Teil kommt. Gruß
Hallo, Am Dienstag, 5. September 2006 10:11 schrieb Dr. Jürgen Vollmer:
mit schöner Regelmässigkeit jäuft bei mir ein Prozess names john john - "John the Ripper" detects weak passwords like first names, common expressions etc. on your system. und blockiert mit 99% CPU Last das System. Wie werd' ich den dauerhaft los?
also YaST sagt zu john folgendes:
john - Detects Weak Passwords
John the Ripper is a fast password cracker (password security auditing tool).
Its primary purpose is to detect weak Unix passwords, but a number of other
hash types are supported as well.
Authors:
Solar Designer
Dr. Jürgen Vollmer schrieb:
Hallo allerseits,
mit schöner Regelmässigkeit jäuft bei mir ein Prozess names john john - "John the Ripper" detects weak passwords like first names, common expressions etc. on your system. und blockiert mit 99% CPU Last das System. Wie werd' ich den dauerhaft los?
Danke und Bye Jürgen Hallo,
wenn der Prozess wieder läuft, schau mal mit ps nach wer der vater ist. Vielleicht lässt sich daran schon etwas erkennen. Hast du mal die cronjobs überprüft? /etc/crontab /etc/cron.daily|hourly|monthly|weekly bzw. die user crontabs. Gruss Lars -- http://www.lhits.eu http://blog.linuri.de
Am Dienstag, 5. September 2006 10:11 schrieb Dr. Jürgen Vollmer:
Hallo allerseits,
mit schöner Regelmässigkeit jäuft bei mir ein Prozess names john john - "John the Ripper" detects weak passwords like first names, common expressions etc. on your system. und blockiert mit 99% CPU Last das System. Wie werd' ich den dauerhaft los?
Der "Bösewicht" ist doch SuSE, die starten john via /usr/lib/secchk/security-monthly.sh ob ich john installiert habe, oder ob das der Default ist kann ich leider nicht sagen. Aber wenn das Executable fehlt, dann wird's auch im Script nicht gestartet. Der Tip mit seccheck hat mich auf den richtigen Weg gebracht. Danke. Einbrecher waren nicht am Werk (und der Hinweis, daß ein Eindringling das ja auch @home machen würde klingt sehr vernünftig!) Bye Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer
participants (6)
-
Andreas Hergesell
-
Dr. Jürgen Vollmer
-
LHartung
-
Ralf Prengel
-
Sascha Blum
-
Steffen Genkinger