Hallo Liste, Danke f�r die Antworten. Ich hoffe immer noch, das ich mit einem reinstall und st�rkerem h�rten des Systems um die neuinstallation rumkomme und da ich von einem Backup die Daten holen m�sste, w�ren zumidest Teile des rootkits wieder auf dem System... Au�erdem ist das System ein aktver Webserver im Internet (Kein Verbindung zum hiesigen LAN). Wichtiger w�re mir daher das Einfallstor so zuverl�ssig wie m�glich zu identifizieren und zu schlie�en.
Anbei noch ein paar Erkenntnise meinerseits in den letzten Tagen: 2005/5/23, Andreas Rabus <[EMAIL PROTECTED]>: > Au�erdem waren noch zwei Log S�uberungs Skripte dabei. Diese Skripte haben ihre arbeit gr�ndlich gemacht... Ich fand nix in den Logs. Aus der betroffenene Zeit fehlten nahzu alle Logeintr�ge. Ich kann nicht mal rausfinden wie das Teil auf meinen Rechner gekommen ist. tct findet auch nix brauchbares... > chkrootkit hat was von "t0rn" gemurmelt, aber sonst nix... das Skript hat sich an /lib/libproc.a gest�rt, das in libproc-dev ist, was man manchmal braucht um aus Dateien unter /procschlau zu werden. t0rn v8 ist also ein Fehlalarm. > Habe dann alle aufgelistete Dateien einfach gel�scht bzw. durch > Originale ersetzt. Und den Rechner neu gestartet und die Kennw�rter ge�ndert. Man kann der Ausgabe der Programme wie ps und netstat jetzt wohl wieder trauen. Aber wenn der Sniffer noch aktiv ist hilft das nix.... Obwohl ich annehme die Verbindung zum Hacker erst mal unterbrochen ist. Der IRC Server mit dem sich mein Rechner verbunden hat ist auch erst mal unsch�dlich gemacht worden. > Kennt jemand das Teil und wei� was das ist, wie man das sicher los > wird (am besten ohne alles platt zu machen...) ? Es scheint also ein Eigenbau zu sein... Und der SOCKS Proxy mocks wurde wohl von Hand �bersetzt, was hei�t mindestens ein Mensch hat sich per ssh (alias /sbin/ttymon mit conf in /lib/libsh u.�.) auf meinem Rechner eingeloggt. (Es war ain auth key dabie auf den namen [EMAIL PROTECTED] ) Das Teil scheint allerdings schon l�nger unterwegs zu sein: Mein Rechner hat sich per IRC an einen anderen bereits gehackten Rechner gemeldet, der offensichtlich als "Sammler" diente. Wenn sich noch ein Opfer findet w�re ich an einem Kenntniss Austausch durch aus interessiert. Andreas
