[LUGA] Mit freundlicher Unterstützung von:
WSR

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [luga] "top" = "3" ???



> lass dich davon nicht taeuschen! ein
> touch -d '2 years ago' /usr/bin/top
> reicht schon.
> falls du ssh-1.2.xx verwendest, dann ist diese maschine mit sehr grosser
> wahrscheinlichkeit gehacked worden.
> es scheint, dass einige bots unterwegs sind, die rechner auf diese
> versionen
> vom ssh scannen. mach mal von einer anderen maschine aus ein
> nmap -sS <ip-adresse|name>
> auf diesen rechner. wenn dca ploetzlich ein offener 6667 port aufscheint,
> obwohl
> kein irc-server rennt, dann ist auch folgendes veraendert worden:
> /etc/rc.d/rc?.d/S50inet # kein link mehr sondern ein shellscript.
> /dev/rd/epona # ist ein verzeichnis mit einigen dateien, unter anderem dem
> \
> server der dann auf port 6667 horcht
> /bin/ps # ist ein shellscript und keine elf-datei mehr
> /usr/bin/pstree # ebenfalls eine veraenderte datei
> ...
> und einige weitere die ich nicht mehr auswendig weiss :(
> wie bereits beschrieben wurde: rpm -V is your friend :)
> allerdings nur fuer den fall, dass du den paketmanager ueberhaupt hast(eh
> kloa)


Port 6667 ist nicht auf, ich gehe auch nicht mit ssh, sondern local mit
telnet auf den Rechner
rpm -V xxxx geht nicht, kommt folgender Fehler

/usr/lib/rpm/rpmv: error in loading shared libraries: libbz2.so.1: cannot
open shared object file: No such file or directory

ich bin dann mal mittels "stat <datei>" auf /bin/ps bzw. /bin/rpm gegangen:

/bin/ps:
Access: Mon Jan 14 20:47:44 2002(00000.00:08:34)
Modify: Sun Sep 26 19:19:10 1999(00841.02:37:08)
Change: Mon Jan 14 14:12:33 2002(00000.06:43:45)

/bin/rpm:
Access: Mon Jan 14 20:54:57 2002(00000.00:01:50)
Modify: Tue Mar 13 15:09:38 2001(00307.05:47:09)
Change: Mon Jan 14 14:15:15 2002(00000.06:41:32)


Die "Change"-Zeit macht mir etwas Sorgen....

Und jetzt?



--
R.Rusch
Tel.: +491908672659 # Fax: +4989244326419
mailto:reiner.rusch@ctrl-de.de # http://www.w3research.com
Public-PGP-Key: http://rusch.dyndns.org/pgp



powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
September 2010