Die interessante Frage ist auch was hat er auf Deinem Rechner gewollt ? Welche Dateien angeschaut ? Was kann an deinen Daten interessant sein ? Wenn er als ftp-user angemeldet war, hatte er dann irgendwelche Rechte in deinem home - vereichniss/datenlagern ? Sind atimes/mtimes von Dateien auf einem Datum was definitiv nicht von Dir sein kann sondern auf der Zeit des Einbruchs liegt ? Kann Dir vieleicht das Logfile des Routers/Gateway/NAT zu Deinem Rechner weiterhelfen ?
Felix
On Monday 05 May 2003 11:14, Torsten Werner wrote:
Hallo Leute,
(mind.) einer meiner Rechner (mit aktueller Debian/testing) ist kontamiert wurden. Es wurde eine Ersatz-ssh und ein Paketsniffer installiert: /sbin/xc und /sbin/etcpd . Weiss jemand mehr darüber, z. B. ob es sich um ein bekanntes rootkit handelt und wonach ich vielleicht noch suchen sollte?
Danke, Torsten