[...]
Ok. Soweit sieht das ja alles gar nicht schlecht aus, aber hast Du auch die System-Binaries von einer 'sauberen' Quelle benutzt?
Mal angenommen, dass Dein Host gehackt worden ist und es wurde bereits ein Rootkit installiert wäre es u.U. denkbar, (bzw. wahrscheinlich) dass chkrootkit die Infektion gar nicht mitbekommt.
Die Zeile
PROMISC mode detected in one of these interfaces: sit0 eth0 ppp0
bedeutet, dass Deine Netzwerkinterfaces sich im PROMISC Mode befinden (Die Netzwerkkarte fühlt sich dann für alle Pakete die an Ihr vorbeikommen 'verantwortlich' und ermöglicht das mitloggen dieser Pakete). Dies könnte auf einen Netzwerksniffer hindeuten. Wenn Du also nicht selbst bewusst irgendwelche Software wie z.B. Ethereal oder Tcpdump (Ich *glaube* mal, das beide Programme diesen Modus unterstützen/voraussetzen) einsetzt, dann wäre das ein Iniz dafür, dass jemand Interesse an Deinem Host gefunden hat.
Ich hab nessus und snort installiert. Ausserdem ist auch scanlogd installiert, aber ich weis leider nicht genau, wie ich von dem Meldungen krieg, ob ich gescannt wurde....
Nessus ist ein Security -Audit Tool & Snort ein Network Intrusion Detection System. Sicherlich können beide Programme auch nach einem Einbruch hilfreiche Informationen bieten, aber Sie dienen eher der Prävention bzw. der aktiven Erkennung von Angriffen. Auch der Scanlogd dient zum erkennen von Portscans - jemand, der ein System bereits infiltriert hat ist meistens schon über den Status des Informationssammelns hinaus ;-)
Das ausspähen Deines Netzwerkverkehrs ermöglicht es dem Eindringling z.B. die i.d.R. unverschlüsselt übermittelten POP3-Kennwörter auszuspähen oder z.B. die oft nur MIME64 encodierten Webkennwörter, usw.
Bevor mein Passwort verändert war, hatte ich DES. Mittlerweile hab ich auf MD5 umgestellt.
Wenn ich Dich richtig verstehe meinst Du wohl, mit welchem Algorithmus die Kennwörter der Benutzerdatenbank werden. Ich meinte jedoch, dass der Angreifer - wenn er Deinen Netzwerk- verkehr abhören kann - all die Dinge abhören kann, die Du bei Deiner Kommunikation mit dem Internet erzeugst. U.A. auch Die Emails, die Du ggf. unverschlüsselt über das Internet versendest (z.B. auch die Beiträge die Du hier in der Newsgroup postest, wenn Du Sie von diesem System aus verschickst oder über einen Hub mit diesem System verbunden bist) oder Kennwörter die nicht über https:// verschickt werden oder POP3 Kennwörter usw. Wenn Du mal sehen möchtest, was alles so unverschlüsselt übers Netz geht, dann empfehle ich Dir die Installation von Ethereal (www.ethereal.com), das ist sehr aufschlussreich.
Wann waren die ersten Anzeichen / Anomalien zu sehen?
Plötzlich öffnete sich mal k3b, ohne das ich daran was machte. Kurz vor dem öffnen suchte eines meiner CD-ROM's eine CD (welche nicht im Laufwerk war). Der sicherste Beweis dürfte dann wohl das geänderte Passwort sein.
Wenn jmd. Dein System gehackt hat, war er in jedem Fall nicht besonders clever, wie Harald in seinem Posting schon beschrieben hat, ist es ziemlich blöd die Aufmerksamkeit so auf sich zu ziehen. Kannst Du ausschliessen, dass sich nicht jmd. einen Scherz erlaubt hat?
Wie war die Firewall konfiguriert?
Hier ein Auszug:
[...]
Wie war denn das System ans Internet angebunden? Per Ethernet/DSL-Router oder mit einer ISDN-Karte, Modem?
Welche Ports waren offen?
Laut nmap ist kein Port offen. Auf der SuSE 9.0 fand nmap noch keinen offenen Port! Unter SSuE 8.2 waren immer ipp, smtp, X11 offen
Hast Du Die Möglchkeit Deinen Host von ausserhalb zu Scannen?
Unter http://check.lfd.niedersachsen.de/start.php hab ich's mal probiert. Ergebnis (65534 überprüfte Ports bei aktivierter Firewall) : Bei Port 58000 und noch irgendwas hängte sich das ganze auf. Bis dorthin war aber nichts gefunden worden.
Ergebnis(mit aktivierter Firewall) eines Online-Scans von www.anti-trojan.de:
Scan complete! 356 ports scanned 0 open ports found
Was sagt netstat?
Wurden neue User angelegt?
Sind die Gruppen "at" und "games" bei SuSE 9.0 standartmässig angelegt?
AFAIK, schon.
Wann hat sich zuletzt jmd. erfolgreich eingeloggt ( # last )
Da werden nur root und fahnenju erwähnt.
Hätte mich gewundert, wenn ein 'Hacker' der das Rootpasswort ändert einen extra User anlegt ;-)
Erstelle wie oben bereits erwähnt eine CD mit folgenden Befehlen: awk, cut, echo, egrep, find, head, id, ls, netstat, ps, sed, strings, uname und übergib den Pfad der CD beim Aufruf von chkrootkit: ./chkrootkit -r /mnt/cdrom/bin (wenn sich die Files im Directory /bin auf der CD befinden)
Wie erstelle ich so eine CD?
Frank hatte in seinem Posting eine bessere Idee: Starte das SuSE-Live System oder lade Dir die Knoppix Distribution runter (war neulich auch in der Ct auf CD dabei). Installiere chkrootkit dann auf dem Livesystem und mounte dann Dein root-System. Starte dann chkrootkit auf die folgende Art: ./chkrootkit -r /pfad/zu/mountpoint chkrootkit nimmt dann diesen Pfad als Root und überprüft das Filesystem unter zuhilfenahme der "sicheren" Dateien.
Sascha
Danke schon mal für Deine Hilfe! Jürgen