Hallo, das Problem wurde bereits angedeutet: Wie weit kannst Du last, log-Dateien etc. trauen, wenn Du das Gefühl hast, Dein rechner wurde kompromittiert ? Auf jeden Fall nicht genug. In der IX 7/07 war ein Artikel und eine CD zu Incident Response Tools. Die CD findest Du auch hier: http://computer-forensik.org/tools/ix/ Mit dieser CD startest Du auf dem laufenden System eine statisch gelinkte shell, und hast div. Werkzeuge wie last, w, netstat ... zur Verfügung, die alle statisch gelinkt sind. Ausserdem startest Du diese von der CD, d.h. sie sind definitiv sauber. Auf der CD ist auch noch eine sehr interessante readme.txt, führ Dir die bitte zu Gemüte. Dieses Vorgehen würde ich Dir sehr empfehlen, ich nutze die CD immer, wenn ich ein ungutes Gefühl haben (das sich bisher aber nie bestätigt hat, toi toi toi). Viel Spaß Bernd -- Bernd Lentes staatl. geprüfter Techniker Systemadministration Institut für Entwicklungsgenetik GSF Raum 35/1008f Ingolstädter Landstraße 1 85764 München-Neuherberg mailto:bernd.lentes@gsf.de phoneto:089/3187-1241 faxto:089/3187-3826 http://www.gsf.de/idg
-----Original Message----- From: Dr. Jürgen Vollmer [mailto:Juergen.Vollmer@informatik-vollmer.de] Sent: Wednesday, November 21, 2007 3:30 PM To: opensuse-de@opensuse.org Subject: Re: Rechner gehackt?
Thomas Moritz schrieb:
Am Mittwoch, 21. November 2007 13:29:20 schrieb Michael Herrmann:
Hallo Michael,
ich habe hier ein sehr seltsames Verhalten des Yast-Firewall Moduls. Da ich mich in letzter Zeit immer wieder über
Am Mittwoch, 21. November 2007 15:39:50 schrieb Wolfgang Geisendörfer: plötzliches
Rattern meiner Festplatte gewundert habe, das dann ein paar Sekunden lang ging. Nach etwas Suche und Auf-der-Lauer-liegen habe ich dann festgestellt, dass wohl ein vnc-Zugriff auf meinen Rechner stattgefunden hat.
Interessanterweise habe ich dann anschließend in meine Firewall gesehen und festgestellt, dass folgende Dienste freigeschalten waren:
SSH IPP-Broadcast NFS-Client NFS-Server
Deine Angaben nuetzen hier nicht viel in Bezug auf "Rechner gahackt"! Schau doch bitte mal ins Logfile der Firewall:
/var/log/firewall
und suche dort nach Auffaelligkeiten. Weiterhin koenntest Du mit
last
nachschauen, wer sich zu welcher Zeit auf Deiner Kiste rumgetrieben hat. Ich wuerde das Rattern Deiner Festplatte auf beagle & Co. oder auf Updatedb schieben. Wenns wieder mal rattert, schau mal mit
ps ax
was gerade so laeuft und sollte die CPU auch mehr als ueblich schindern, dann schau mit top, was gerade rennt.
und wenn da so ein böses rootkit installiert wurde zeigen diese Tools natürlich alles nur nicht den Feind
lass doch mal ckrootkit laufen:
Bye Jürgen
-- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org