Hi, 18.01.2008 10:29, Ralf Schneider wrote:
Hallo zusammen,
so wie es aussieht, habe ich mir auf meinem Root-Server eine Backdoor eingefangen (r0nin). Hierbei werden Dateien (zwei tgz-Files, ein Perl-Skript, das Executable r0nin und ein telnet-Programm) nach /tmp und /var/tmp kopiert. Außerdem läuft ein Prozess r0nin unter dem Benutzer sdb.
Meine Fragen: - Auf welchem Weg kann man sich sowas einfangen? Gibt es in irgendwelchen Programm Schwachstellen, die das ermöglichen?
Ja. Wenn es nun jemanden gäbe der dir genau sagen kann welche Schwachstellen in welchen Programmen sind wäre das eine sehr gefragte Person...
- Wie werden ich das wieder los? Einfach nur die Dateien löschen und den Prozess killen hilft nichts. Spätestens nach einem Tag ist alles wieder da.
dd if=/dev/zero of/dev/sda warten Backup einspielen vorher sicherstellen dass das Rootkit nicht schon im Backup ist, ggf. nur Daten daraus zurückspielen, und den Rest des Systems neu aufsetzen. Im übrigen gibt es bei meinem alten Freund Google einge Hinweise zu r0nin. Aber da würde ich an deiner STelle erst weiterlesen nachdem dein Rechner vom Netz ist... Arno
Viele Grüße, Ralf.
-- Arno Lehmann IT-Service Lehmann www.its-lehmann.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org