Hallo !
Ich hatte heute einen Angriff mit popper und jener "Mensch" hat mir
geholfen mein home-Verzeichnis aufzuraeumen, indem er es mit allen
usern drin geloescht hat.
Das interressante ist, das er eine IP genommen hat, die unserem Chef der
DVZ gehoert und auf seinem Rechner laeuft 98. Also gehe ich davon aus,
das er mit seiner IP von einem anderen Rechner diesen Angriff gemacht
hat.
Die einzigen Eintragungen in der /var/log/messages sind :
Mar 4 11:45:53 pc2080 popper[10465]: connect from 193.175.112.33
Mar 4 11:45:53 pc2080 wu.ftpd[10464]: connect from 193.175.112.33
Mar 4 11:45:53 pc2080 popper[10465]: error: cannot execute
/usr/sbin/popper: No such file or directory
Obwohl popper bei mir installiert ist, hat er es geschafft auf meinen
Rechner zu kommen, mit meinem Namen. Hab ich per last gelesen. Auf den
Console 8.
Ich habe die neuesten Patches von Suse am Anfang der Woche installiert.
Trotz Firewall (ipfadm) hat er dies geschafft.
WIE ???
Er hat mir 300 Mb geloescht. Und (fast) alle Spuren verwischt.
Ich bin ohne Ende sauer, da extrem wichtige Dateien dabei waren. Das
letzte Backup habe ich zwar erst gestern gemacht, aber trotzalledem ist
der Arbeitsaufwand extrem.
Habt ihr Ideen ?
Gibt es Tools die sich bemerkbar machen, wenn ein popper-angriff kommt
und evt. die eth0 dicht macht, fuer einige Zeit ?
Stefan Lindecke
--
Um aus der Liste ausgetragen zu werden, eine Mail an [EMAIL PROTECTED]
schicken, mit dem Text: unsubscribe suse-linux
