On 08.05.06 19:40:22, Peter Velan wrote: > am 2006-05-08 19:08 schrieb Andreas Pakulat: > > On 08.05.06 18:46:41, Peter Velan wrote: > >> am 2006-05-08 17:37 schrieb Peter Velan: > >> > am 2006-05-08 16:56 schrieb Matthias Haegele: > >> >> Peter Velan schrieb: > >> >>> sshd[###]: fatal: daemon() failed: No such device > >> > > >> > Einen Verdacht habe ich inzwischen: Könnte "No such device" ein nicht > >> > vorhandenes /dev/null sein? Oder, die Rechte von /dev/null stimmen > >> > vielleicht nicht? > >> > >> Also auf einem anderen Linuxrechner habe ich das hier: > >> > >> > crw-rw-rw- 1 root root 1, 3 2006-03-10 17:11 /dev/null > > > > Jo, so sieht das gut aus > > > >> Auf der Kummerkiste das da: > >> > >> > -rw------- 1 root root 35 2006-02-09 16:00 /dev/nul > >> > lrwxrwxrwx 1 root root 21 2006-05-03 17:32 /dev/null -> > >> > ftp.0.200605031731.gz > >> > >> Also das sieht doch ziemlich komisch aus, oder? > > > > Ja, weisst du wer das war? Siehst du eine Chance das herauszufinden? > > Hmm, die File "ftp.0.200605031731.gz" müsste ein Übriggebliebenes von > "apt-get remove flexbackup" sein.
Sicher? Warum? > > Vllt. hat da ja jemand einen "Schabernack" mit dir getrieben (aka dein > > Server wurde gehackt). > > Glaub ich jetzt zwar nicht, aber falls doch, wie könnte ich noch weitere > Spuren finden? Such mal nach rootkit, es gibt AFAIK einige Programme die dein System daraufhin pruefen koennen. Auch die Logs deiner Serverdienste sollten Aufschluss geben koennen, _falls_ der Angreifer seine Spuren nicht komplett verwischt hat. Andreas -- You are not dead yet. But watch for further reports. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
