Dr. Jürgen Vollmer schrieb:
Am Dienstag, 5. September 2006 10:21 schrieb Steffen Genkinger:
Dr. Jürgen Vollmer schrieb:
Hallo allerseits,
mit schöner Regelmässigkeit jäuft bei mir ein Prozess names john john - "John the Ripper" detects weak passwords like first names, common expressions etc. on your system. und blockiert mit 99% CPU Last das System. Wie werd' ich den dauerhaft los?
Danke und Bye Jürgen
Frage: warum läuft der und wer startet den?
ich habe bisher immer irgend ein SuSE-Überwachungsscript im Verdacht gehabt. (SuSE 10.0 und 10.1)
keine Ahnung. Ich habe da nur mal unter UNIX mit rumgespielt. John ist eigentlich was für Admins. Man füttert ihn mit einem passwd-file und das Programm legt dann los und versucht die Passwörter zu knacken. Man kann es sogar so konfigurieren, dass es direkt eine Mail an den User schickt und ihm mitteilt, er soll doch bitte ein sichereres Passwort verwenden. Aber Missbrauch ist natürlich nicht auszuschließen. Würde mich aber schon wundern, wenn Suse so ganz auf eigene Faust die Passwörter überprüft. Normalerweise macht doch nur Windoof ungefragt Dinge, die man nicht möchte.
Einbruchsversuch?
noch nicht dran gedacht. Nur wie feststellen?
Nun ja, falls Du es nicht selbst installiert hast und es im Yast Software Manager (oder sonstwo) nicht aufgeführt wird, so muss wohl irgendjemand die binary eingeschleust haben oder sich das Programm selbst compiliert haben. Da es keinerlei Abhängigkeiten hat, ist das einfach. Dann würde ich zumindest mal versuchen die Datei 'john' zu lokalisieren. Vielleicht kannst Du ja daraus Rückschlüsse ziehen, wer wo wann das Programm warum startet. Ich weiß ja jetzt auch nicht, ob Du ein Multiuser-System betreust oder nur deinen privaten Arbeitsplatz-Rechner. Ganz auf die leichte Schulter nehmen, würde ich es jedenfalls nicht. Gruß Steffen