Jürgen Fahnenschreiber wrote:
Hallo!
Von seccheck erhielt ich u. a. folgende Meldungen:
* Changes (+: new entries, -: removed entries): + appletalk + ax25 + fat
* Changes (+: new entries, -: removed entries): + ipx + isa-pnp
appletalk, ax25, ipx und isa-pnp sind aber bei mir nicht installiert! Warum kommen dann Meldungen, die mit diesem Programm zusammenhängen? Komischerweise war mein User-Password auch verändert, als ich mich vorhin einloggen wollte. Da ich es als root in yast änderte, konnte ich feststellen, das das Passwort plötzlich zwei Stellen weniger hatte. Welche Dateien sollte ich sichern, um ggf. den Hacker ausfindig zu machen? Welche Dateie sollte ich kontrollieren? Das root -Passwort werde ich vorsichtshalber mal alle zwei Tage (offline) ändern.
Jürgen
Zunächst mal: Don't Panic! - Wenn der PC kein wichtiger Server ist würde ich ihn zunächst mal vom Netz nehmen und im Single-User-Mode booten. Dadurch verliert der "Hacker" (wenn es denn einer war) seinen Einfluss auf das System. - Jetzt kann eine Analyse der vorhandenen Daten erfolgen: Hier bietet sich z.B. das Coroner's Toolkit an: http://www.porcupine.org/forensics/tct.html oder, um Rootkits aufzufspüren kann man auf Chkrootkit zurückgreifen: http://www.chkrootkit.org/ Wichtig bei zweiterem Tool ist, dass "saubere" Binaries von den wichtigsten Programmen wie ls, ifconfig usw. vorliegen, da chkrootkit darauf zurückgreift. Was es mit den Meldungen von seccheck auf sich hat weiss ich leider auch nicht, aber dass Dein User Passwort sich verändert hat scheint schonmal nichts gutes zu bedeuten. Wie ist Dein PC denn Konfiguriert? Welche Dienste laufen auf ihm? Wie ist er Netzwerktechnisch angebunden (Firewall, Art der Netzwerkanbindung). Gruß Sascha