Hi, On Sun Sep 28 06:53PM, Mario Duve wrote: > Matthias Peick wrote: > > Mario Duve skribis: > > > >> Also, ein telnetd ist von mir nicht installiert. > >> Habe ich noch nie auf einem Linuxsystem gemacht. > >> > >> Telnet ist auch nicht von ausses erreichbar, da geblockt > >> in accesslist des Routers! > >> > >> Warum soll ich mir keine Sorgen machen? Wer weiss was da > >> noch versucht wurde. > > > > Wem geh�ren die Dateien? > > die geh�ren www-data
Ich habe den Thread nur �berflogen, aber da� ist schon bedenklich. Es k�nnte darauf hindeuten, da� ein potentzieller Einbrecher sich �ber einen Bug im WebServer Zugriff verschafft hat. Hast du einen Web Server laufen, zB Apache mit SSL? Wenn ja, in welcher Version (dpkg -l |grep apache)? Ansonsten bietet es sich an, mit 'netstat -anp' zu gucken, was f�r Dienste auf deinem Rechner laufen, evtl. mit einem portscan abgleichen, ob du der Ausgabe von netstat vertrauen kannst (wird oft durch eine trojanisierte Version ersetzt). mit 'ps auxww' kannst du gucken, ob gerade 'komische' Prozesse laufen. Gerne wird auch /sbin/ifconfig ersetzt, um zu verhindern, da� ifconfig dir sagt, ob deine Netzwerkkarte im promiscuous mode l�uft. Ein 'strings /sbin/ifconfig |grep PROMISC' gibt Auskunft. Nat�rlich ist, wie schon gesagt, die beste Methode, die Cheksums zu vergleichen, wenn du diese aber bisher noch nicht erstellt hast, hat es leider wenig Sinn. Anonsten, wie schon erw�hnt, den Rechner vom Netz trennen. Eigentlich bietet es sich an, m�glichst schnell ein Disk Image zu erstellen, f�r sp�tere forensische Untersuchungen, zB nach gel�schten Dateien suchen usw. Gru�, Andreas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
