Mailinglist Archive: opensuse-de (1905 mails)
| < Previous | Next > |
Backdoor eingefangen
- From: Ralf Schneider <ml@xxxxxxxxxxxxxxxxxxxxxxxxx>
- Date: Fri, 18 Jan 2008 10:29:34 +0100
- Message-id: <200801181029.34638.ml@xxxxxxxxxxxxxxxxxxxxxxxxx>
Hallo zusammen,
so wie es aussieht, habe ich mir auf meinem Root-Server eine Backdoor
eingefangen (r0nin). Hierbei werden Dateien (zwei tgz-Files, ein Perl-Skript,
das Executable r0nin und ein telnet-Programm) nach /tmp und /var/tmp kopiert.
Außerdem läuft ein Prozess r0nin unter dem Benutzer sdb.
Meine Fragen:
- Auf welchem Weg kann man sich sowas einfangen? Gibt es in irgendwelchen
Programm Schwachstellen, die das ermöglichen?
- Wie werden ich das wieder los? Einfach nur die Dateien löschen und den
Prozess killen hilft nichts. Spätestens nach einem Tag ist alles wieder da.
Viele Grüße,
Ralf.
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
so wie es aussieht, habe ich mir auf meinem Root-Server eine Backdoor
eingefangen (r0nin). Hierbei werden Dateien (zwei tgz-Files, ein Perl-Skript,
das Executable r0nin und ein telnet-Programm) nach /tmp und /var/tmp kopiert.
Außerdem läuft ein Prozess r0nin unter dem Benutzer sdb.
Meine Fragen:
- Auf welchem Weg kann man sich sowas einfangen? Gibt es in irgendwelchen
Programm Schwachstellen, die das ermöglichen?
- Wie werden ich das wieder los? Einfach nur die Dateien löschen und den
Prozess killen hilft nichts. Spätestens nach einem Tag ist alles wieder da.
Viele Grüße,
Ralf.
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
| < Previous | Next > |