Re: Angriffsanalyse

Am Mon den 05 Mai 2003 um 11:14:09 +0200 schrieb Torsten Werner:

Hallo Leute,

(mind.) einer meiner Rechner (mit aktueller Debian/testing) ist kontamiert wurden. Es wurde eine Ersatz-ssh und ein Paketsniffer

Weist du über was der hineingekommen ist? Ich habe auch ein testing laufen.

installiert: /sbin/xc und /sbin/etcpd . Weiss jemand mehr darüber, z. B. ob es sich um ein bekanntes rootkit handelt und wonach ich vielleicht noch suchen sollte?

Du hast dir sicher schon ein image der Platte auf CD gebannt, das ist gut zum Analysieren was eigentlich passiert ist. Manche rutkits verstecken Dateien im /dev, ein strings über die binaries verrät vielleicht etwas über den Speicherort eventueller logs o.ä.

Tschau,

andre