Roland Poppenreiter schrieb am 05.11.2002 um 11:29:19 +0100: Hallo Roland,
ich habe hier ein paar seltsame Einträge bei:
samba:~ # last -i X******* ****X******* 108.97.0.0 Wed May 14 20:20 still logged in X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 20:20 (00:00) X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 20:20 (00:00) X******* ****X******* 0.0.0.0 Wed Nov 26 12:48 - 20:20 (-195+-17:-2 X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 12:48 (195+17:27) X******* ****X******* 88.198.4.8 Sun Apr 7 02:37 - 20:20 (20856+16:43 X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 02:37 (-20856+-16: X******* ****X******* 0.0.0.0 Wed Nov 26 12:48 - 20:20 (-195+-17:-2
wtmp begins Wed Jun 12 10:16:00 2002
samba:~ # date Mon Nov 4 00:39:01 CET 2002
endeckt, die mich etwas beunruhigen ....hat sowas schon jemand gesehen?
Beim Logfiles durchchecken und bei einem chkrootkit-check ist nichts rausgekommen, habe dann ein paar md5 checksummen verglichen und die stimmten mit den Originalen überein ...., firewall-log ebenfalls nichts auffälliges .... obwohl die IP?s (s.o.) bei meiner firewall gesperrt sind.
hat jemand eine Idee von woher die kommen? - was ich dagegen unternehmen kann... wo ich suchen soll?
wo das herkommt, weiss ich auch noch nicht so genau, aber sowas habe ich auch schon mal bei mir gehabt. Allerdings haben die Rechner keinen Internetzugang. Es sind alle in einem 192.168. Netzwerk ohne Verbindung nach aussen, an die auch nur ich und 3 weitere Leute drankommen, die einen Schlüssel haben. Ich kann also mal ausschliessen, das auf die Rechner irgendwie von aussen und von mir Unbekannten zugegriffen wurde. Interessant ist auch, das sich die Dateien nach einem Logout und einem erneuten Login unterscheiden (abgesehen von dem zusätztlichen Eintrag) michael@blob1:~> last -i ****`*** `*******`*** 232.182.4.8 Sun Apr 7 01:31 gone - no logout ****`*** `*******`*** 232.182.4.8 Sun Apr 7 01:31 - 01:31 (00:00) ****`*** `*******`*** 0.0.0.0 Thu Jan 1 01:00 - 01:31 (1557+00:31) ****`*** `*******`*** 232.182.4.8 Sun Apr 7 01:31 - 01:00 (-1557+00:-3 ... wtmp begins Sun Apr 7 01:31:36 1974 michael@HOTSPOT1:~> nach dem logout/login: michael@blob1:~> last -i michael pts/1 0.0.0.0 Thu Nov 14 15:53 still logged in michael pts/1 0.0.0.0 Thu Nov 14 15:51 - 15:53 (00:01) ****`*** `*******`*** 232.182.4.8 Sun Apr 7 01:31 gone - no logout root pts/2 0.0.0.0 Thu Nov 14 10:16 - 10:24 (00:08) ... und die Daten stimmen jetzt sogar, mal abgesehen von der Zeile mit den *. Es wurde schon mal über ReiserFS spekuliert, aber die Rechner hier laufen alle unter ext3. Bis denne, Michael -- ---------------------------------------------------------- Michael Schulz, Institut f. Geophysik, Universität Münster Corrensstr. 24, 48149 Münster Tel.: 0251-8333938, e-mail: michael@earth.uni-muenster.de