On Sun Sep 28 07:33PM, Mario Duve wrote:
[gehackter Rechner?]
> Also, im moment sieht es so aus. Nach einem Standtortwechsel des betroffenen
> PC,
> f�hrt dieser nich mehr hoch.
>
> request_module[ppp0]: fork failed, errno 1
>
> STRG+c gehts weiter bis modprobe: Can't locate module ppp0
> STRG+c gehts weiter bis zum start von Postfix, danach geht es nicht
> mehr weiter, auch ein wechsel auf eine andere Console ist nicht mehr
> m�glich.
>
> Habe Postfix jetzt aus den runlevels gel�scht, habe nun wieder ein promt.
> wie k�nnte ich jetzt weiter verfahren?
Naja, wie in meiner vorigen Mail beschrieben. Welche Dienste laufen auf
dem Rechner? Auf welchen Ports wird gelauscht? Gibt es Auff�lligkeiten
in /bin, /usr/bin usw. (zB auff�llige Timestamps) ? Laufen ungew�hnliche
Prozesse? Was ich vorhin noch vergessen hatte, hast du die besagten
Dateien aus /tmp noch? was sagt 'file telnet{d,d.1,d.2}'? Wenn es
binaries sein sollten, lass mal 'strings dr�ber laufen, das gibt einem
oft einen ersten Anhaltspunkt, um was f�r binaries es sich handelt.
Wenn du eine Standard Woody Installation hast kannst du die md5sums
evtl. mit denen von der CD vergleichen.
Hast du dir mal die logfiles in /var/log genauer angeguckt? Ungef�hrer
Einbruchszeitpunkt k�nnte in etwa der sein, als die besagten Dateien in
/tmp/ angelegt wurden.
Findet 'chkrootkit' etwas?
Es w�re schon sinnvoll, rauszufinden _wie_ der Rechner gehackt wurde,
denn sonst hast du auch nach einer Neuinstallation evtl. das gleiche
Sicherheitsloch im System. Da die Dateien www-data geh�ren, liegt es
- wie gesagt - nahe, da� sich �ber den WebServer Zugriff verschafft
wurde. �ltere Versionen von OpenSSL hatten Sicherheitsl�cher, deshalb
meine Frage nach den installierten Versionen.
Zu den oben genannten Fehlermeldungen kann ich leider nicht viel sagen.
gru�,
andreas
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
