Dieter Franzke wrote: > Hi, > > * mats <[EMAIL PROTECTED]> [040912 15:40]: >> Hallo, >> ich sitze seit freitag abend (mit kurzen unterbrechungen) an dieser kiste >> und bastele an der prs�nlichen config (sarge a la linux magazin dvd). >> >> zuletzt habe ich amule eingebaut und in betrieb genommen, davor mid der >> kmid-config herumgefummelt (siehe weitere diskussion hier in der liste). >> den gr�ssten teil der zeit waren andere pcs in meinem home-lan aktiv und >> via linneighborhood share-aktiv. >> >> und etwa (tut mir leid, so ganz genau kann ich es nicht mehr sagen) seit >> dem dieser halbesel hier l�uft, tauchen sporadisch merkw�rdige size 0 >> dateien in meinem homedir auf, die heissen dann >> (some-none-printable).(nix) oder auch bittewarten.txt >> owner bin jedesmal ich, aber so tranig bin ich dann doch nicht, dass ich >> solche files erfinde und es dann gleich wieder vergesse >> >> ausser jetzt doch noch tripwire installieren (jaja, super idee hinterher, >> ich weiss...), diese size=0-teile wegschmeissen und routerlogs lesen (um >> verd�chtige absender im router zu blocken) f�llt mir akut nicht viel ein, >> was ich machen k�nnte. >> >> Aber so kann's ja nicht bleiben: >> * es kommt schon mal vor, dass ich eine win-maschine reboote, ohne vorher >> die shares in linneighborhood ordentlich abzumelden. das sollte aber >> keine komische dateien erzeugen, oder? jedenfalls nicht in meinem >> homedir? * wie kann ich feststellen, was ausser den size-0-files noch ggf >> ver�ndert wurde? >> * wo w�rde ein root kit liegen, wenn jemand meine m�hle gekapert hat, und >> wie kriege ich das drexxding dann wieder weg? ich meine gibts was >> schnelleres als alles neu installieren und diesmal den TW vor dem ersten >> netzkontakt scharf machen? >> >> danke und (m�den) gruss, >> > > da du nicht sicher sein kannst: > > nimm die Kiste vom Netz und mach ne saubere Neuinstallation. > Bevor du die Kiste dann ins Netz haengst machste dir am besten ein Image > von deinen Partitionen (partimage, zB mit ner Knoppix) und sicherst die > weg. > > DAnn kannste im Krisenfall ein fach deine Images wieder zurueckspielen. > > Tripwire und Konsorten installiert man BEVOR man eine Kiste ins Netz > haengt. Aber das hast ja auch schon gemerkt.... > > kannst ja probehalber mal chckrootkit drueberlaufen lassen.
habe ich gemacht: ein Teil namens lkm ist auff�llig geworden (3 processes hidden for readdir bzw ps command, possible trojan installed) wer ist lkm und wie lege ich das tot? gruss, mats > > Firewall? > Offene Ports? > > ciao > > dieter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
