/var/bobsdata - ein Crack?
Habe auf meiner aktuellen SID Maschine (Kabelmodem) unlängst ein
Verzeichnis /var/bobsdata entdeckt, das ich im Leben nicht angelegt
habe. Inhalte sind eine Datei "admin.pwd" mit einem String wie
$1$WmspYkT9$POV... sowie sub-Verzeichnisse current/process, darin
Dateien cmdloop und check_loop
Crontab hatte:
0-59/5 * * * * root /var/bobsdata/current/process/check_loop
Sieht mir natürlich nach einem Crack aus, aber in der Regel sitzt die
Maschine hinter einer gehärteten firewall auf stable-Basis und auch auf
der Maschine selbst läuft i.d.R. die Firewall. Allerdings zeigt die
Firewal manchmal trin00 und subseven-Pakete, die als DST die interne
Netzwerkadresse haben.
Tiger läuft nicht regelmäßig, hat aber für ein Dutzend oder mehr
Systemdateien falsche md5chksums gefunden ("nicht Debian 2.0.35 oder
höher" oder so ähnlich). Allerdings habe ich dieselben Meldungen auch
nach einem apt-get clean und --reinstall der betreffenden Pakete
bekommen. Chkrootkit ist nicht beunruhigt.
Logins um die Zeit des Anlegens des Verzeichnisses sind unauffällig.
Habe länger herumgegooglet und nichts zu diesem speziellen Fall
gefunden. Kennt jemand solche Symptome?
Gruß aus Wien
Andreas v. Heydwolff
Reply to: