Hi Torsten,
(mind.) einer meiner Rechner (mit aktueller Debian/testing) ist kontamiert wurden. Es wurde eine Ersatz-ssh und ein Paketsniffer installiert: /sbin/xc und /sbin/etcpd . Weiss jemand mehr darüber, z. B. ob es sich um ein bekanntes rootkit handelt und wonach ich vielleicht noch suchen sollte?
Es gibt ein Programm namens chkrootkit (unter http://www.chkrootkit.org/ ) welches die Frage nach dem Rootkit beantworten kann.
Dort wird unter Nummer 22 ein "x.c Worm" aufgeführt. Vielleicht ist es ja dieser. Die Funktionsweise ist in einem Word-Dokument (http://www.giac.org/practical/Suzy_Clarke_GCIH.doc) beschrieben. (oder im google Cache als HTML-Seite http://216.239.57.104/search?q=cache:j2eUmzuGQvoC:www.giac.org/practical/Suz... Bitte die Zeile wieder zusammensetzen)
Jens Weiße