am 2006-05-08 20:19 schrieb Andreas Pakulat: > On 08.05.06 19:40:22, Peter Velan wrote: >> am 2006-05-08 19:08 schrieb Andreas Pakulat: >> > On 08.05.06 18:46:41, Peter Velan wrote: >> >> Auf der Kummerkiste das da: >> >> >> >> > -rw------- 1 root root 35 2006-02-09 16:00 /dev/nul >> >> > lrwxrwxrwx 1 root root 21 2006-05-03 17:32 /dev/null -> >> >> > ftp.0.200605031731.gz >> >> >> >> Also das sieht doch ziemlich komisch aus, oder? >> > >> > Ja, weisst du wer das war? Siehst du eine Chance das herauszufinden? >> >> Hmm, die File "ftp.0.200605031731.gz" müsste ein Übriggebliebenes von >> "apt-get remove flexbackup" sein. > > Sicher?
Nein, was ist schon sicher? ;-) > Warum? Weil ich kurz vor dem Spinnen des 'courier' (bei mir als POP3/IMAP-Daemon im Einsatz, für SMTP ist 'exim4' zuständig) 'flexbackup' deinstalliert habe. Die File 'ftp.0.200605031731.gz' ist mit Sicherheit ein Übrigbleibsel aus einem 'flexbackup'-Testlauf, den ich am Freitag gefahren habe! >> > Vllt. hat da ja jemand einen "Schabernack" mit dir getrieben (aka dein >> > Server wurde gehackt). >> >> Glaub ich jetzt zwar nicht, aber falls doch, wie könnte ich noch weitere >> Spuren finden? > > Such mal nach rootkit, es gibt AFAIK einige Programme die dein System > daraufhin pruefen koennen. chkrootkit => nichts negatives rkhunter -c => nichts negatives ... und nein, ich fühle mich trotz der beiden unauffälligen Durchläufe der beiden Rootkit-Checker nicht so als wäre ich nun im Sicherheitsparadies gelandet. Ein gutes Stück Paranoia gehört wohl zum Betreiben eines Servers. > Auch die Logs deiner Serverdienste sollten > Aufschluss geben koennen, _falls_ der Angreifer seine Spuren nicht > komplett verwischt hat. Ich habe schon gleich zu Beginn ziemlich heftig in so ziemlich allen Logs gesucht um dem spinnerten 'courier' auf die Schliche zu kommen, konnte aber Auffälliges nicht entdecken. Dennoch werde ich nochmal die Logs durchsehen. Vielen Dank für die konstruktive Hilfe! Gruß Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
