Frank Röske wrote:
Moin,
Erstelle wie oben bereits erwähnt eine CD mit folgenden Befehlen:
ein SuSE-Life System oder z.B. Knoppix sollte funktionieren. Ich hatte in einem ähnlichen Fall einfach meinen Rechner platt gemacht und alle Daten neu aufgespielt (bis auf die User-Verzeichnisse).
Das ist eine Super Idee! Boote mit einer Knoppix oder Suse-Life-CD und mounte Dein Root - Filesystem z.B. uner /mnt/installed-sys/ und rufe dann chkrootkit mit dem folgenden Parameter auf: ./chkrootkit -r /mnt/installed-sys dann übernimmt chkrootkit den obigen Pfad als Rootsystem. Und noch eine Korrektur zu meiner Aussage gestern: Wenn man die binaries aus einer sauberen Quelle benutzen möchte, dann ist das der Parameter -p /pfad/zu/binaries und nicht wie geschildert -r. Da der Hacker (wenn es denn einer war) IMHO eher in die Kategorie ScriptKiddie einzuordnen ist (welcher ernsthafte Hacker ändert User-Passwörter ??) könnte auch die Suche mit rpm auf Spuren eines Einbruchs hindeuten. Mit rpm -verify PAKETNAME können die Paket auf Änderungen seit der Installation überprüft werden. Alternativ dazu kann man mit rpm -verify -all sich die Veränderungen bei allen Paketen ansehen. Konfigurationsdateien werden wohl fast überall auftauchen, aber wenn mal Binaries als verändert erscheinen, dann sollte man einen zweiten Blick riskieren ;-) So long Sascha
bis denn ... /Frank/