SuSE 8.2, alle Updates gemacht Zuerst fiel mir auf, dass keine /var/log/messages existiert. Als ich den syslogd restarten wollte kam eine Meldung von einem Programm iroffer [1] In /dev/net gibt es ein Verzeichnis ... (also 3 punkte) in diesem sind die Verzeichnisse ibico kent personal work In kent die Dateien: ls netstat ps pstree socklist syslog.conf top ibico personal /work sind leer [2] In /usr/share gibts die Datei ... mit dem Inhalt: cd /dev/net/.../personal/iroffer chown lp.lp .* * ./kjournald -u lp a.c -b cd / exit Diese Dateien lassen sich nicht löschen! Also das Fragezeichen im Subject hätte ich mir wohl sparen können ;) Der Server wurde offensichtlich gehackt, vermutlich am 11.8.05 um 23:11. Ich konnte bisher keinerlei Hinweise auf iroffer und Linux finden Unter Windows scheint das bekannt zu sein. Ich muss also den Server neu installieren. Die Frage ist, wie wurde der Server gehackt? Der einzige nach Aussen offene port ist ssh, der einzige erlaubte user ist unprivilegiert und ist mittels keyfile abgesichert. Das Passwort ist nicht trivial ;) Die Neuinstallation werde ich wohl nutzen um auf SuSE 9.1 umzusteigen. Die Frage ist welche Teile der Konfiguration sind gehackt? Es läuft postfix, dhcp, bind9, samba-2.2.8.a, squid, apache, ssh, yp, postgres, xinetd, mysql und die sonstigen Standarddienste Wo finde ich Informationen dazu? [1] Ich habe via find nach iroffer gesucht und es gelöscht. Daher hab ich die genaue Meldung nicht mehr. [2] In diesen Verzeichnissen waren auch Dateien die ich aber gelöscht habe. Danke und Gruss Bernd