* On Sun, 23 Jun 2002 at 20:13 +0200, Andreas Meyer wrote:
Ich hatte eben ein Erlebnis, bei dem es mir eiskalt über den Rücken gelaufen ist. Ich gucke per Zufall nach /tmp und sehe eine Datei in der Größe von ca. 2,8MB mit Namen ungefähr wie yssSeYa oder so.
Sind evtl. merkwürdige Netzwerkverbindungen offen? netstat -anp /var/log/messages schnellstmöglich wegsichern, evtl. lässt was finden.
Ich schau mir den Inhalt an und soweit ich sehen konnten, waren darin alle wichtigen Systeminformationen abgelegt. Von Samba.conf bis wtemp usw.
Ich schließe das file und will es in mein Home-Verzeichnis kopieren und just in dem Augenblick war es verschwunden.
Was war das? Ich habe schon ein 'find / -mtime -2 -print' aber nichts außergewöhnliches gefunden, außer daß unter /dev ein paar Dateien als verändert angezeigt wurden.
Und - welche sind das?
So ein Mist, was war das für eine Datei?
Rettungssystem starten und mal folgendes probieren: find / -name ... find /dev -type f Nach Möglichkeit sollten beide nichts finden. Zusätzlich könntest Du noch chkrootkit anwenden - siehe freshmeat. -- Adalbert PGP welcome, request public key: mailto:adalbert+key@lopez.at