Hallo,
On Do April 24 2003 16:33, Frank Wenzke wrote:
- Die Netzwerkkarte versuchte alle IP Adressen im Subnetz an sich zu
binden - Entsprechend kam es immer wieder zu Netzkonflikten mit den restlichen Rechnern im Netz
- in beiden Subnetzen arbeitet ein DHCP Server, der jedoch nur für die
nicht Linux Rechner die Adressen verteilt
Du sagst "vesuchte". Was hast Du denn getan, um diese Versuche zu unterbinden?
Das hört sich für mich ziemlich nach Tools wie Gobbler an: (http://www.networkpenetration.com/downloads.html). Diese Tools holen alle IPs vom legitimen DHCP Server ab, um später dann selbst und mit den gewünschten Modifikationen (default router, dns, etc.) weiter zu verteilen.
achja beide Rechner hängen natürlich permanent mit einer offizellen IP Adresse im Internet.
- Wann war das letzte apt-get update/upgrade bzw. Yast Online Update? - Läuft Samba? Für die ganze Welt etwa? -> letztens mehrere Root Exploits. - Läuft SSH? -> etwas länger her mehrere Root Exploits - Läuft Sendmail? -> vor kurzem Root Exploits - andere remote Exploits sind seit dem Kernel-Bug ebenfalls auch Root Exploits
Du solltest Dir Deine Systeme und die Logs auf jeden Fall mal genauer anschauen. 'chkrootkit' könnte auch helfen, um eventuelle Änderungen an Logs bzw. die Installation eines Rootkits zu erkennen.
Kann jemand anderes dieses Verhalten auf weiteren Maschinen bestätigen?
Meine machen es nicht. ;-)
Grüße, Christian