Joerg Rossdeutscher wrote:
Moin,
[...]
Ich weiss nciht, was mit den erweiterten Attributen einiger Filesysteme geht - was aber einige Rootkits tun, ist Programme wie ls, top, ps, find,... durch eigene Versionen zu ersetzen, die bestimmte Prozesse oder Dateien nicht anzeigen. Daher ist es wichtig, ein infiziertes System immer mit einem anderen System zu untersuchen, z.B. Knoppix. chkrootkit wäre dann keine sichere Sache, aber ein guter Anfang.
Korrekt :-) Hab wie geschrieben ein Image von der Platte. Das hab ich in einem anderen System - da hab ich hoffentlich (!) "saubere" Befehle ;-)
Ach so: Was willst du noch mit dem System?
Hach ... ich bin so verdammt neugierig :-)))
Wenn du wissen willst, wie jemand reingekommen ist - OK.
Genau das ist mein Ziel. Will wissen wie rein und was er für Dateien abgelegt hat. Ich weiß, er hat wohl neue Ordner im /home angelegt. Denn wenn ich ein "du --max-depth=1" mache, dann gibt es eine Differenz zwischen den einzelnen Byte der Ordner und der gesamt Summe, die "du" am Ende ausspuckt. Immerhin ~ 1Gig ... da muß doch irgendwas rumliegen :-)
Wenn du mit dem Gedanken spielst, es zu retten - vergiss es. Kopier dir die wichtigen Konfigs raus und Tschüß.
Jup. Auch da stimme ich zu :-)) Viele Grüße Tol