ich habe auf meinem Server mittels "chkrootkit" etwas gefunden:
...was nciht unbedingt was heissen muss!
Da ich auf dem ersten Server (Web, Mail, Firewall) nach dem Angriff keine root-Rechte mehr hatte, geh ich mal davon aus, dass an der Meldung von chkrootkit was dran war :-(( Jetzt ist aber der Fileserver dahinter genauso betroffen. Aber dort habe ich bislang noch root-Rechte. Und das soll auch so bleiben !
Searching for Suckit rootkit ... Warning: /sbin/init INFECTED
Dazu kann ich nichts sagen.
Checking `lkm'... You have 1 process hidden for readdir command You have 1 process hidden for ps command Warning: Possible LKM Trojan installed
...das habe ich in letzter Zeit so oft in der Debian-Mailingliste gelesen, daß es schon fast eine FAQ ist: Fehlalarm in der letzten Version von chkrootkit, Debian hat (gestern?) eine neue Version rausgegeben.
Werde ich mal prüfen...
Das soll jetzt natürlich nicht bedeuten, daß du ihn dir nicht eingefangen haben kannst!
Und vor allem: WIE KANN ICH MICH IN ZUKUNFT VOR SOWAS SCHÜTZEN ?
Windows verwenden, darauf laufen die Linux-rootkits nicht. :-))
Genau. Windows 3.11 Workstation... Und an all die anderen: die Tipps mit den IDS mittels Checksumme werde ich mir mal ansehen. Und eine Firewall ist NATÜRLICH installiert gewesen. Wollte damit nur sagen, dass diese nichts hilft, da zumindest Suckit irgendeinen offenen Port nutzt. Naja, werde jetzt erst mal die /sbin/init wieder herstellen. Und dann mal weitersehen... Gruß, Philip