Hi, On Sun Sep 28 06:53PM, Mario Duve wrote: > Matthias Peick wrote: > > Mario Duve skribis: > > > >> Also, ein telnetd ist von mir nicht installiert. > >> Habe ich noch nie auf einem Linuxsystem gemacht. > >> > >> Telnet ist auch nicht von ausses erreichbar, da geblockt > >> in accesslist des Routers! > >> > >> Warum soll ich mir keine Sorgen machen? Wer weiss was da > >> noch versucht wurde. > > > > Wem gehören die Dateien? > > die gehören www-data
Ich habe den Thread nur überflogen, aber daß ist schon bedenklich. Es könnte darauf hindeuten, daß ein potentzieller Einbrecher sich über einen Bug im WebServer Zugriff verschafft hat. Hast du einen Web Server laufen, zB Apache mit SSL? Wenn ja, in welcher Version (dpkg -l |grep apache)? Ansonsten bietet es sich an, mit 'netstat -anp' zu gucken, was für Dienste auf deinem Rechner laufen, evtl. mit einem portscan abgleichen, ob du der Ausgabe von netstat vertrauen kannst (wird oft durch eine trojanisierte Version ersetzt). mit 'ps auxww' kannst du gucken, ob gerade 'komische' Prozesse laufen. Gerne wird auch /sbin/ifconfig ersetzt, um zu verhindern, daß ifconfig dir sagt, ob deine Netzwerkkarte im promiscuous mode läuft. Ein 'strings /sbin/ifconfig |grep PROMISC' gibt Auskunft. Natürlich ist, wie schon gesagt, die beste Methode, die Cheksums zu vergleichen, wenn du diese aber bisher noch nicht erstellt hast, hat es leider wenig Sinn. Anonsten, wie schon erwähnt, den Rechner vom Netz trennen. Eigentlich bietet es sich an, möglichst schnell ein Disk Image zu erstellen, für spätere forensische Untersuchungen, zB nach gelöschten Dateien suchen usw. Gruß, Andreas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)