Mailinglist Archive: opensuse-de (2782 mails)
| < Previous | Next > |
Re: Hilfe!! Einbruch in mein System??
- From: Karl Sinn <news@xxxxxxxxxxxx>
- Date: Fri, 15 Apr 2005 11:03:58 +0200
- Message-id: <200504151103.59315.news@xxxxxxxxxxxx>
Hallo David,
Am Freitag, 15. April 2005 01:45 schrieb David Haller:
> >als ich heute Nachmittag an meinen Rechner ging, waren ein paar Programme
> > an, die ich nicht gestartet hatte.
>
> Welche?
Kann ich nicht genau sagen, war meine Freundin, und die hat alles weggeklickt.
Muss aber entweder der Konqueror oder Xine mit einem Porno gewesen sein.
Heute Morgen finde ich, folgendes in meiner /var/log/messages:
______________________________________________________________Apr 15 04:15:35
linux syslogd 1.4.1: restart.
Apr 15 04:42:24 linux -- MARK --
Apr 15 04:59:00 linux /USR/SBIN/CRON[13194]: (root) CMD ( rm
-f /var/spool/cron/lastrun/cron.hourly)
Apr 15 05:22:24 linux -- MARK --
Apr 15 05:42:24 linux -- MARK --
Apr 15 05:59:00 linux /USR/SBIN/CRON[13411]: (root) CMD ( rm
-f /var/spool/cron/lastrun/cron.hourly)
Apr 15 06:22:24 linux -- MARK --
Apr 15 06:42:24 linux -- MARK --
Apr 15 06:59:00 linux /USR/SBIN/CRON[13614]: (root) CMD ( rm
-f /var/spool/cron/lastrun/cron.hourly)
Apr 15 07:22:24 linux -- MARK --
Apr 15 07:42:24 linux -- MARK --
Apr 15 07:59:00 linux /USR/SBIN/CRON[13825]: (root) CMD ( rm
-f /var/spool/cron/lastrun/cron.hourly)
Apr 15 08:22:24 linux -- MARK --
Apr 15 08:42:24 linux -- MARK --
Apr 15 08:59:00 linux /USR/SBIN/CRON[14027]: (root) CMD ( rm
-f /var/spool/cron/lastrun/cron.hourly)
Apr 15 09:22:24 linux -- MARK --
Apr 15 09:42:24 linux -- MARK --
Apr 15 09:59:00 linux /USR/SBIN/CRON[14231]: (root) CMD ( rm
-f /var/spool/cron/lastrun/cron.hourly)
Apr 15 10:22:24 linux -- MARK --
Apr 15 10:42:24 linux -- MARK --
Apr 15 10:48:56 linux su: (to root) Karl on /dev/pts/6
Apr 15 10:48:56 linux su: pam_unix2: session started for user root, service su
Apr 15 10:51:57 linux su: pam_unix2: session finished for user root, service
su
Apr 15 10:52:03 linux su: (to root) Karl on /dev/pts/6
Apr 15 10:52:03 linux su: pam_unix2: session started for user root, service su
____________________________________________________________________
Kommentar:Ich bin um 1 Uhr ins Bett, und um 4 macht der Rechner einen
Restart???
Ist das Hinweis genug??
Ich hänge mal ein ps -A an, vielleicht ist da ein verdächtiger Prozess.
Einen Prozess habe ich schon gekillt, er hies krand... oder kgrand...,
irgenwie sowas.
Gruss
Karl
____________________________________________________
PID TTY TIME CMD
1 ? 00:00:04 init
2 ? 00:00:00 keventd
3 ? 00:00:00 kapmd
4 ? 00:00:00 ksoftirqd_CPU0
5 ? 00:00:08 kswapd
6 ? 00:00:00 bdflush
7 ? 00:00:01 kupdated
8 ? 00:00:01 kinoded
9 ? 00:00:00 mdrecoveryd
12 ? 00:00:02 kreiserfsd
373 ? 00:00:00 lvm-mpd
804 ? 00:00:00 eth0
856 ? 00:00:00 dhcpcd
938 ? 00:00:00 syslogd
941 ? 00:00:00 klogd
1000 ? 00:00:00 khubd
1129 ? 00:00:00 resmgrd
1172 ? 00:00:00 portmap
1257 ? 00:00:00 cannaserver
1343 ? 00:00:00 mysqld_safe
1376 ? 00:00:00 mysqld
1383 ? 00:00:00 smpppd
1391 ? 00:00:00 mysqld
1394 ? 00:00:00 mysqld
1395 ? 00:00:00 pure-ftpd
1551 ? 00:00:01 cupsd
1593 ? 00:00:00 hfaxd
1594 ? 00:00:00 faxq
1875 ? 00:00:00 cron
1878 ? 00:00:00 nscd
1879 ? 00:00:00 nscd
1880 ? 00:00:00 nscd
1881 ? 00:00:00 nscd
1882 ? 00:00:00 nscd
1883 ? 00:00:00 nscd
1884 ? 00:00:00 nscd
1885 ? 00:00:00 httpd2-prefork
1900 ? 00:00:00 httpd2-prefork
1901 ? 00:00:00 httpd2-prefork
1902 ? 00:00:00 httpd2-prefork
1903 ? 00:00:00 httpd2-prefork
1904 ? 00:00:00 httpd2-prefork
1977 ? 00:00:00 kdm
2028 ? 00:42:03 X
2029 ? 00:00:00 kdm
2031 tty1 00:00:00 mingetty
2032 tty2 00:00:00 mingetty
2033 tty3 00:00:00 mingetty
2034 tty4 00:00:00 mingetty
2035 tty5 00:00:00 mingetty
2036 tty6 00:00:00 mingetty
2042 ? 00:00:00 startkde
2090 ? 00:00:01 kdeinit
2093 ? 00:00:02 kdeinit
2095 ? 00:00:00 kdeinit
2098 ? 00:00:37 kdeinit
2103 ? 00:00:00 kdeinit
2104 ? 00:00:00 kdeinit
2105 ? 00:00:08 kdeinit
2106 ? 00:00:00 kdeinit
2110 ? 00:00:00 kdeinit
2116 ? 00:00:01 kdeinit
2122 ? 00:00:02 artsd
2123 ? 00:00:00 kwrapper
2125 ? 00:00:00 kdeinit
2126 ? 00:00:17 kdeinit
2128 ? 00:00:10 kdeinit
2130 ? 00:02:20 kdeinit
2135 ? 00:00:04 kdeinit
2137 ? 00:00:01 kamix
2140 ? 00:00:01 oooqs
2167 ? 00:00:01 kwalletmanager
2176 ? 00:00:00 kalarmd
2178 ? 00:20:04 kopete
2208 ? 00:00:00 kopete
2223 ? 00:00:01 kdeinit
2558 ? 02:33:42 amule
2559 ? 00:00:00 amule
2921 ? 00:05:44 kmail
6889 ? 00:00:00 ispell
8469 ? 00:00:00 httpd2-prefork
8738 ? 00:01:32 X
8739 ? 00:00:00 kdm
8752 ? 00:00:00 startkde
8797 ? 00:00:00 kdeinit
8800 ? 00:00:00 kdeinit
8802 ? 00:00:00 kdeinit
8805 ? 00:00:15 kdeinit
8809 ? 00:00:00 kdeinit
8810 ? 00:00:00 kdeinit
8811 ? 00:00:00 kdeinit
8812 ? 00:00:00 kdeinit
8820 ? 00:00:01 kdeinit
8822 ? 00:00:00 kdeinit
8823 ? 00:00:01 artsd
8824 ? 00:00:00 kwrapper
8826 ? 00:00:00 kdeinit
8827 ? 00:00:03 kdeinit
8829 ? 00:00:02 kdeinit
8831 ? 00:00:05 kdeinit
8832 ? 00:00:00 kdeinit
8835 ? 00:00:02 kdeinit
8839 ? 00:00:01 kinternet
8842 ? 00:00:00 kwalletmanager
8844 ? 00:00:01 korgac
8847 ? 00:13:52 kopete
8934 ? 00:00:00 kopete
8975 ? 00:00:13 kdeinit
9007 ? 00:00:00 ispell
9270 ? 00:00:29 akregator
9273 ? 00:00:00 kdeinit
12646 ? 00:00:05 soffice.bin
12666 ? 00:00:00 soffice.bin
12667 ? 00:00:00 soffice.bin
12668 ? 00:00:00 soffice.bin
12669 ? 00:00:00 soffice.bin
14410 ? 00:00:02 kdeinit
14411 pts/6 00:00:00 bash
14461 pts/6 00:00:00 su
14462 pts/6 00:00:00 bash
14481 ? 00:00:00 ispell
14483 ? 00:00:00 kdeinit
14484 ? 00:00:00 kdeinit
14485 ? 00:00:00 kdeinit
14486 ? 00:00:00 kdeinit
14488 ? 00:00:00 kdeinit
14492 ? 00:00:00 kdeinit
14493 ? 00:00:00 kdeinit
14494 ? 00:00:00 kdeinit
14535 ? 00:00:00 kdeinit
14536 ? 00:00:00 kdeinit
14537 ? 00:00:00 kdeinit
14538 ? 00:00:00 kdeinit
14539 ? 00:00:00 kdeinit
14540 ? 00:00:00 kdeinit
14541 ? 00:00:00 kdeinit
14542 ? 00:00:00 kdeinit
14587 ? 00:00:00 usb-storage-0
14588 ? 00:00:00 scsi_eh_1
14619 pts/6 00:00:00 ps
Am Freitag, 15. April 2005 01:45 schrieb David Haller:
> >als ich heute Nachmittag an meinen Rechner ging, waren ein paar Programme
> > an, die ich nicht gestartet hatte.
>
> Welche?
Kann ich nicht genau sagen, war meine Freundin, und die hat alles weggeklickt.
Muss aber entweder der Konqueror oder Xine mit einem Porno gewesen sein.
Heute Morgen finde ich, folgendes in meiner /var/log/messages:
______________________________________________________________Apr 15 04:15:35
linux syslogd 1.4.1: restart.
Apr 15 04:42:24 linux -- MARK --
Apr 15 04:59:00 linux /USR/SBIN/CRON[13194]: (root) CMD ( rm
-f /var/spool/cron/lastrun/cron.hourly)
Apr 15 05:22:24 linux -- MARK --
Apr 15 05:42:24 linux -- MARK --
Apr 15 05:59:00 linux /USR/SBIN/CRON[13411]: (root) CMD ( rm
-f /var/spool/cron/lastrun/cron.hourly)
Apr 15 06:22:24 linux -- MARK --
Apr 15 06:42:24 linux -- MARK --
Apr 15 06:59:00 linux /USR/SBIN/CRON[13614]: (root) CMD ( rm
-f /var/spool/cron/lastrun/cron.hourly)
Apr 15 07:22:24 linux -- MARK --
Apr 15 07:42:24 linux -- MARK --
Apr 15 07:59:00 linux /USR/SBIN/CRON[13825]: (root) CMD ( rm
-f /var/spool/cron/lastrun/cron.hourly)
Apr 15 08:22:24 linux -- MARK --
Apr 15 08:42:24 linux -- MARK --
Apr 15 08:59:00 linux /USR/SBIN/CRON[14027]: (root) CMD ( rm
-f /var/spool/cron/lastrun/cron.hourly)
Apr 15 09:22:24 linux -- MARK --
Apr 15 09:42:24 linux -- MARK --
Apr 15 09:59:00 linux /USR/SBIN/CRON[14231]: (root) CMD ( rm
-f /var/spool/cron/lastrun/cron.hourly)
Apr 15 10:22:24 linux -- MARK --
Apr 15 10:42:24 linux -- MARK --
Apr 15 10:48:56 linux su: (to root) Karl on /dev/pts/6
Apr 15 10:48:56 linux su: pam_unix2: session started for user root, service su
Apr 15 10:51:57 linux su: pam_unix2: session finished for user root, service
su
Apr 15 10:52:03 linux su: (to root) Karl on /dev/pts/6
Apr 15 10:52:03 linux su: pam_unix2: session started for user root, service su
____________________________________________________________________
Kommentar:Ich bin um 1 Uhr ins Bett, und um 4 macht der Rechner einen
Restart???
Ist das Hinweis genug??
Ich hänge mal ein ps -A an, vielleicht ist da ein verdächtiger Prozess.
Einen Prozess habe ich schon gekillt, er hies krand... oder kgrand...,
irgenwie sowas.
Gruss
Karl
____________________________________________________
PID TTY TIME CMD
1 ? 00:00:04 init
2 ? 00:00:00 keventd
3 ? 00:00:00 kapmd
4 ? 00:00:00 ksoftirqd_CPU0
5 ? 00:00:08 kswapd
6 ? 00:00:00 bdflush
7 ? 00:00:01 kupdated
8 ? 00:00:01 kinoded
9 ? 00:00:00 mdrecoveryd
12 ? 00:00:02 kreiserfsd
373 ? 00:00:00 lvm-mpd
804 ? 00:00:00 eth0
856 ? 00:00:00 dhcpcd
938 ? 00:00:00 syslogd
941 ? 00:00:00 klogd
1000 ? 00:00:00 khubd
1129 ? 00:00:00 resmgrd
1172 ? 00:00:00 portmap
1257 ? 00:00:00 cannaserver
1343 ? 00:00:00 mysqld_safe
1376 ? 00:00:00 mysqld
1383 ? 00:00:00 smpppd
1391 ? 00:00:00 mysqld
1394 ? 00:00:00 mysqld
1395 ? 00:00:00 pure-ftpd
1551 ? 00:00:01 cupsd
1593 ? 00:00:00 hfaxd
1594 ? 00:00:00 faxq
1875 ? 00:00:00 cron
1878 ? 00:00:00 nscd
1879 ? 00:00:00 nscd
1880 ? 00:00:00 nscd
1881 ? 00:00:00 nscd
1882 ? 00:00:00 nscd
1883 ? 00:00:00 nscd
1884 ? 00:00:00 nscd
1885 ? 00:00:00 httpd2-prefork
1900 ? 00:00:00 httpd2-prefork
1901 ? 00:00:00 httpd2-prefork
1902 ? 00:00:00 httpd2-prefork
1903 ? 00:00:00 httpd2-prefork
1904 ? 00:00:00 httpd2-prefork
1977 ? 00:00:00 kdm
2028 ? 00:42:03 X
2029 ? 00:00:00 kdm
2031 tty1 00:00:00 mingetty
2032 tty2 00:00:00 mingetty
2033 tty3 00:00:00 mingetty
2034 tty4 00:00:00 mingetty
2035 tty5 00:00:00 mingetty
2036 tty6 00:00:00 mingetty
2042 ? 00:00:00 startkde
2090 ? 00:00:01 kdeinit
2093 ? 00:00:02 kdeinit
2095 ? 00:00:00 kdeinit
2098 ? 00:00:37 kdeinit
2103 ? 00:00:00 kdeinit
2104 ? 00:00:00 kdeinit
2105 ? 00:00:08 kdeinit
2106 ? 00:00:00 kdeinit
2110 ? 00:00:00 kdeinit
2116 ? 00:00:01 kdeinit
2122 ? 00:00:02 artsd
2123 ? 00:00:00 kwrapper
2125 ? 00:00:00 kdeinit
2126 ? 00:00:17 kdeinit
2128 ? 00:00:10 kdeinit
2130 ? 00:02:20 kdeinit
2135 ? 00:00:04 kdeinit
2137 ? 00:00:01 kamix
2140 ? 00:00:01 oooqs
2167 ? 00:00:01 kwalletmanager
2176 ? 00:00:00 kalarmd
2178 ? 00:20:04 kopete
2208 ? 00:00:00 kopete
2223 ? 00:00:01 kdeinit
2558 ? 02:33:42 amule
2559 ? 00:00:00 amule
2921 ? 00:05:44 kmail
6889 ? 00:00:00 ispell
8469 ? 00:00:00 httpd2-prefork
8738 ? 00:01:32 X
8739 ? 00:00:00 kdm
8752 ? 00:00:00 startkde
8797 ? 00:00:00 kdeinit
8800 ? 00:00:00 kdeinit
8802 ? 00:00:00 kdeinit
8805 ? 00:00:15 kdeinit
8809 ? 00:00:00 kdeinit
8810 ? 00:00:00 kdeinit
8811 ? 00:00:00 kdeinit
8812 ? 00:00:00 kdeinit
8820 ? 00:00:01 kdeinit
8822 ? 00:00:00 kdeinit
8823 ? 00:00:01 artsd
8824 ? 00:00:00 kwrapper
8826 ? 00:00:00 kdeinit
8827 ? 00:00:03 kdeinit
8829 ? 00:00:02 kdeinit
8831 ? 00:00:05 kdeinit
8832 ? 00:00:00 kdeinit
8835 ? 00:00:02 kdeinit
8839 ? 00:00:01 kinternet
8842 ? 00:00:00 kwalletmanager
8844 ? 00:00:01 korgac
8847 ? 00:13:52 kopete
8934 ? 00:00:00 kopete
8975 ? 00:00:13 kdeinit
9007 ? 00:00:00 ispell
9270 ? 00:00:29 akregator
9273 ? 00:00:00 kdeinit
12646 ? 00:00:05 soffice.bin
12666 ? 00:00:00 soffice.bin
12667 ? 00:00:00 soffice.bin
12668 ? 00:00:00 soffice.bin
12669 ? 00:00:00 soffice.bin
14410 ? 00:00:02 kdeinit
14411 pts/6 00:00:00 bash
14461 pts/6 00:00:00 su
14462 pts/6 00:00:00 bash
14481 ? 00:00:00 ispell
14483 ? 00:00:00 kdeinit
14484 ? 00:00:00 kdeinit
14485 ? 00:00:00 kdeinit
14486 ? 00:00:00 kdeinit
14488 ? 00:00:00 kdeinit
14492 ? 00:00:00 kdeinit
14493 ? 00:00:00 kdeinit
14494 ? 00:00:00 kdeinit
14535 ? 00:00:00 kdeinit
14536 ? 00:00:00 kdeinit
14537 ? 00:00:00 kdeinit
14538 ? 00:00:00 kdeinit
14539 ? 00:00:00 kdeinit
14540 ? 00:00:00 kdeinit
14541 ? 00:00:00 kdeinit
14542 ? 00:00:00 kdeinit
14587 ? 00:00:00 usb-storage-0
14588 ? 00:00:00 scsi_eh_1
14619 pts/6 00:00:00 ps
| < Previous | Next > |