Sollte natürlich an die Liste und nicht nur an Andre gehen...
Am 05. Mai 2003 schrieb Andre Schulze:
Weist du über was der hineingekommen ist?
Ich vermute über anonymous ftp, wobei das natürlich abgeschaltet war. Einige Dateien haben aber den user ftp (uid 104). Es sind auch ein paar ftp-Einträge in den Logdateien zu finden. Leider sind die Logdateien weitgehend gereinigt wurden. Am meisten ärgert mich, dass man dieses 'Reinigungsskript' schlicht dadurch ausser Kraft gesetzt hätte, wenn die Logdateien nicht in /var/log/ lägen. Mittlerweile habe ich sowohl ftpd deinstalliert als auch den ftp user gelöscht.
Du hast dir sicher schon ein image der Platte auf CD gebannt, das ist gut zum Analysieren was eigentlich passiert ist.
Für 83 GB hätte zu viele CD-Rohlinge gebraucht. Unter http://www.twerner42.de/rootkit.tar.bz2 habe ich mal alles abgelegt, was ich Quarantäne geschickt habe. Einiges habe ich durch ein entschiedenes 'apt-get --reinstall install ...' verloren. Die o. g. Datei ist natürlich nicht für Angriffe gedacht, sondern zur post mortem Analyse.
Manche rutkits verstecken Dateien im /dev, ein strings über die binaries verrät vielleicht etwas über den Speicherort eventueller logs o.ä.
Ja /dev/, /tmp/kit, /lost+found/.../, /usr/include/ waren z. B. dabei.
Torsten