Mailinglist Archive: opensuse-de (5887 mails)
| < Previous | Next > |
Re: rootkit?
- From: Adalbert Michelic <adalbert+list@xxxxxxxx>
- Date: Sun, 23 Jun 2002 20:22:17 +0200
- Message-id: <20020623182217.GB8211@xxxxxxxxxxxxx>
* On Sun, 23 Jun 2002 at 20:13 +0200, Andreas Meyer wrote:
> Ich hatte eben ein Erlebnis, bei dem es mir eiskalt über den
> Rücken gelaufen ist.
> Ich gucke per Zufall nach /tmp und sehe eine Datei in der Größe
> von ca. 2,8MB mit Namen ungefähr wie yssSeYa oder so.
Sind evtl. merkwürdige Netzwerkverbindungen offen?
netstat -anp
/var/log/messages schnellstmöglich wegsichern, evtl. lässt was
finden.
> Ich schau mir den Inhalt an und soweit ich sehen konnten,
> waren darin alle wichtigen Systeminformationen abgelegt. Von
> Samba.conf bis wtemp usw.
>
> Ich schließe das file und will es in mein Home-Verzeichnis
> kopieren und just in dem Augenblick war es verschwunden.
>
> Was war das? Ich habe schon ein 'find / -mtime -2 -print'
> aber nichts außergewöhnliches gefunden, außer daß unter
> /dev ein paar Dateien als verändert angezeigt wurden.
Und - welche sind das?
> So ein Mist, was war das für eine Datei?
Rettungssystem starten und mal folgendes probieren:
find / -name ...
find /dev -type f
Nach Möglichkeit sollten beide nichts finden. Zusätzlich könntest Du
noch chkrootkit anwenden - siehe freshmeat.
--
Adalbert
PGP welcome, request public key: mailto:adalbert+key@xxxxxxxx
> Ich hatte eben ein Erlebnis, bei dem es mir eiskalt über den
> Rücken gelaufen ist.
> Ich gucke per Zufall nach /tmp und sehe eine Datei in der Größe
> von ca. 2,8MB mit Namen ungefähr wie yssSeYa oder so.
Sind evtl. merkwürdige Netzwerkverbindungen offen?
netstat -anp
/var/log/messages schnellstmöglich wegsichern, evtl. lässt was
finden.
> Ich schau mir den Inhalt an und soweit ich sehen konnten,
> waren darin alle wichtigen Systeminformationen abgelegt. Von
> Samba.conf bis wtemp usw.
>
> Ich schließe das file und will es in mein Home-Verzeichnis
> kopieren und just in dem Augenblick war es verschwunden.
>
> Was war das? Ich habe schon ein 'find / -mtime -2 -print'
> aber nichts außergewöhnliches gefunden, außer daß unter
> /dev ein paar Dateien als verändert angezeigt wurden.
Und - welche sind das?
> So ein Mist, was war das für eine Datei?
Rettungssystem starten und mal folgendes probieren:
find / -name ...
find /dev -type f
Nach Möglichkeit sollten beide nichts finden. Zusätzlich könntest Du
noch chkrootkit anwenden - siehe freshmeat.
--
Adalbert
PGP welcome, request public key: mailto:adalbert+key@xxxxxxxx
| < Previous | Next > |