On Tuesday 17 February 2004 23:14, Andreas Schmidt wrote: > Hallo, > > hab mich gerade auf dem anderen Rechner hier per ssh eingeloggt, wollte > dann User wechseln, und bekam als Antwort: > > [EMAIL PROTECTED]:~$ su > Illegal instruction
Wie schon von Sven Hartge erwaehnt, es riecht nach einem Rootkit. Jenachdem wie geschickt sich die Angreifer anstellen/angestellt haben (falls es denn welche sind) liefern vielleicht folgende Sachen nen paar Infos: - log files checken: wann fangen sie an? gibt es luecken (z.B. von 14:00-18:00 Uhr nix geloggt) - was sagt last? wann faengt es an? - bash history von root checken. - mal nach Verzeichnissen mit komischen Namen (wie z.B. ... (drei punkte), < leerzeichen> (find / -name "*\ "), usw.) suchen. - Aenderungszeiten von Systemprogrammen wie ls, find, netstat, ps, login, passwd ... angucken. - netstsat -taup Ausgabe untersuchen, gibt es komische Verbindungen? - chkrootkit installieren und laufen lassen. Diese Tips sind natuerlich mit nichten verlaesslich, falls das System wirklich kompromittiert ist, da dann ggf. Systemprogramme ausgetauscht wurden und einem irgendwas vorgaukeln oder schlimmer LKM-Rootkits am Werk sind, und schon auf Kernel Ebene Sachen versteckt werden. basti -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
