Drucken

Bitte loggen sie sich ein oder registrieren sie sich.
1 Stunde 1 Tag 1 Woche 1 Monat Immer
Einloggen mit Benutzername, Passwort und Sitzungslänge

[jucker]

1) In netstat sehe ich IRC Verbindungen zu irgendetwas .undernet.nl.

2) netstat -p sagt das kommt von bash als root.

3) lsof meint, /usr/src/info/.ICE-unix dort sei bash gestartet worden

4) dort ist folgendes zu finden:

.
./run
./r
./r/rtsay.e
./r/rversions.e
./r/rnicks.e
./r/raway.e
./r/rpickup.e
./r/rsignoff.e
./r/rkicks.e
./r/rinsult.e
./r/rsay.e
./bash
./m.help
./xh
./inst
./autorun
./start
./vhosts
./m.set
./85.31.186.8.user
./85.31.186.8.user2
./85.31.186.8.user3
./mech.dir
./cron.d
./update
./m.pid
./LinkEvents
./m.ses
./Ademoncra.seen
./m.lev
./Jumboor.seen
./Polonetz.seen
./joint.seen
./controller.seen


5) crontab -e zeigt diesen Eintrag:
* * * * * /usr/src/info/.ICE-unix/update >/dev/null 2>&1


Die Kiste wurde gehackt und ich habe keinen Schimmer von wo und wie.

Weiss jemand wie man das ermittelt ?

In der Zwischenzeit habe ich die Files mal gespeichert (dann gelöscht) und crontab angepasst.

[cs]

Was hast du denn als Dienste laufen?

Ansonsten boote erst mal in den rescue mode, dann kannst du dir in ruhe anguckn was verändert wurde.

[system_27]

starte den Server im rescure-modus. Mach eine Datensicherung, versuche herauszufinden wie Sie rein gekommen sind und setz den Server neu auf.