Portscan?
Lutz Donnerhacke
lutz at iks-jena.de
Mon Jan 7 11:27:23 CET 2002
* Johannes Vieweg wrote:
>Es sieht so aus, als hätte der Angreifer kein Glück
>gehabt, ich komme zumindestens auf den Server drauf
>und habe auch root-Zugriff. Auch das passwd-File ist
>unberührt geblieben, hab also noch mal Schwein gehabt.
Das sind sehr schwache Indizien. Das Root-Kit, daß man mir auf
lobeda.jena.thur.de gespielt hat (und dann wegen Plattenplatzmangel verreckte)
trägt nichts in passwd ein, sondern tauscht ps, netstat, ifconfig, sshd,
inetd etc. pp.
Mit etwas Glück kann man mit der Filename-Completion unter
/usr/man/man1/".. " oder /usr/bin/".. " etwas finden. Evtl. zeigt auf lsof
und pstree noch was an.
--
tlug Mailingliste
Archiv: http://www.tlug.de/archiv/
http://schwarz.thueday.de/mailman/listinfo/tlug_allgemein