Ralf Schneider schrieb:
Hallo zusammen,
so wie es aussieht, habe ich mir auf meinem Root-Server eine Backdoor eingefangen (r0nin). Hierbei werden Dateien (zwei tgz-Files, ein Perl-Skript, das Executable r0nin und ein telnet-Programm) nach /tmp und /var/tmp kopiert. Außerdem läuft ein Prozess r0nin unter dem Benutzer sdb.
Meine Fragen: - Auf welchem Weg kann man sich sowas einfangen? Gibt es in irgendwelchen Programm Schwachstellen, die das ermöglichen? - Wie werden ich das wieder los? Einfach nur die Dateien löschen und den Prozess killen hilft nichts. Spätestens nach einem Tag ist alles wieder da.
1) Rechner vom Netz nehmen 2) Per Boot CD ein Image für die Analyse machen 3) Rechner komplett formatieren und komplett neu aufsetzten Keine Übernahme von Dateien aus dem Altsystem die du nicht 100%ig prüfen kannst. Wie das passieren kann: Ohne weitere Infos zum System kann dir da keiner eine Auskunft geben. -- i.A. Ralf Prengel Customer Care Manager Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49231 97575- 904 Fax +49231 97575- 905 EMail ralf.prengel@comline.de www.comline.de Vorstand Stephan Schilling,Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org