* On Tue, 05 Nov 2002 at 11:29 +0100, Roland Poppenreiter wrote:
tach,
ich habe hier ein paar seltsame Einträge bei:
samba:~ # last -i X******* ****X******* 108.97.0.0 Wed May 14 20:20 still logged in X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 20:20 (00:00) X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 20:20 (00:00) X******* ****X******* 0.0.0.0 Wed Nov 26 12:48 - 20:20 (-195+-17:-2 X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 12:48 (195+17:27) X******* ****X******* 88.198.4.8 Sun Apr 7 02:37 - 20:20 (20856+16:43 X******* ****X******* 108.97.0.0 Wed May 14 20:20 - 02:37 (-20856+-16: X******* ****X******* 0.0.0.0 Wed Nov 26 12:48 - 20:20 (-195+-17:-2
wtmp begins Wed Jun 12 10:16:00 2002
samba:~ # date Mon Nov 4 00:39:01 CET 2002
endeckt, die mich etwas beunruhigen ....hat sowas schon jemand gesehen?
Beim Logfiles durchchecken und bei einem chkrootkit-check ist nichts rausgekommen, habe dann ein paar md5 checksummen verglichen und die stimmten mit den Originalen überein ...., firewall-log ebenfalls nichts auffälliges .... obwohl die IP´s (s.o.) bei meiner firewall gesperrt sind.
hat jemand eine Idee von woher die kommen? - was ich dagegen unternehmen kann... wo ich suchen soll?
grüsse, roland
Weiss denn hier wirklich niemand was dazu ....? Mittlerweile steht ein neuer Firewall-Rechner mit neuer Firewall und einer Debian Version dort ... habe aber leider noch keine Zeit gefunden den anderen Rechner durchzuchecken ... grüsse roland