[LUGA] Mit freundlicher Unterstützung von:
Linux New Media AG

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [luga] "top" = "3" ???



Quoting Reiner Rusch <reiner.rusch@ctrl-de.de>:

> Hallo,
> 
> ich habe auf einmal einen Prozess "3" im top.
> D.h. command soll "3" sein.
> 
> Ich habe meine Platte rauf und runter druchsucht, aber kein Programm "3"
> gefunden.
> Nun habe ich festgestellt, daß das "top" selbst ist!
> 
> Daraufhin habe ich mir mal angesehen, wann top (/usr/bin/top) das letzte
> Mal
> verändert wurde. Glücklicherweise lange her, also kein Einbruch (Hack).

lass dich davon nicht taeuschen! ein
touch -d '2 years ago' /usr/bin/top
reicht schon.
falls du ssh-1.2.xx verwendest, dann ist diese maschine mit sehr grosser
wahrscheinlichkeit gehacked worden.
es scheint, dass einige bots unterwegs sind, die rechner auf diese versionen
vom ssh scannen. mach mal von einer anderen maschine aus ein
nmap -sS <ip-adresse|name>
auf diesen rechner. wenn dca ploetzlich ein offener 6667 port aufscheint, obwohl
kein irc-server rennt, dann ist auch folgendes veraendert worden:
/etc/rc.d/rc?.d/S50inet # kein link mehr sondern ein shellscript.
/dev/rd/epona # ist ein verzeichnis mit einigen dateien, unter anderem dem \
server der dann auf port 6667 horcht
/bin/ps # ist ein shellscript und keine elf-datei mehr
/usr/bin/pstree # ebenfalls eine veraenderte datei
...
und einige weitere die ich nicht mehr auswendig weiss :(
wie bereits beschrieben wurde: rpm -V is your friend :)
allerdings nur fuer den fall, dass du den paketmanager ueberhaupt hast(eh kloa)

hth,
didi

> 
> Wie kann es sein, daß das Programm sich selbst plötzlich nicht mehr
> kennt?
> 
> Danke!
> 
> Reiner
> 
> 
> 
> --
> R.Rusch
> Tel.: +491908672659 # Fax: +4989244326419
> mailto:reiner.rusch@ctrl-de.de # http://www.w3research.com
> Public-PGP-Key: http://rusch.dyndns.org/pgp
> 



powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
September 2010