/var/bobsdata - ein Crack?

To: debian-user-german <debian-user-german@lists.debian.org>
Subject: /var/bobsdata - ein Crack?
From: Andreas von Heydwolff <pirmin2@gmx.net>
Date: Tue, 22 Jul 2003 18:55:44 +0200
Message-id: <3F1D6C90.6060905@gmx.net>

Habe auf meiner aktuellen SID Maschine (Kabelmodem) unlängst einVerzeichnis /var/bobsdata entdeckt, das ich im Leben nicht angelegthabe. Inhalte sind eine Datei "admin.pwd" mit einem String wie$1$WmspYkT9$POV... sowie sub-Verzeichnisse current/process, darinDateien cmdloop und check_loop


Crontab hatte:

0-59/5 * * * * root /var/bobsdata/current/process/check_loop

Sieht mir natürlich nach einem Crack aus, aber in der Regel sitzt dieMaschine hinter einer gehärteten firewall auf stable-Basis und auch aufder Maschine selbst läuft i.d.R. die Firewall. Allerdings zeigt dieFirewal manchmal trin00 und subseven-Pakete, die als DST die interneNetzwerkadresse haben.

Tiger läuft nicht regelmäßig, hat aber für ein Dutzend oder mehrSystemdateien falsche md5chksums gefunden ("nicht Debian 2.0.35 oderhöher" oder so ähnlich). Allerdings habe ich dieselben Meldungen auchnach einem apt-get clean und --reinstall der betreffenden Paketebekommen. Chkrootkit ist nicht beunruhigt.


Logins um die Zeit des Anlegens des Verzeichnisses sind unauffällig.

Habe länger herumgegooglet und nichts zu diesem speziellen Fallgefunden. Kennt jemand solche Symptome?


Gruß aus Wien

Andreas v. Heydwolff

Reply to:

Follow-Ups:
- Re: /var/bobsdata - ein Crack?
  - From: Philipp Meier <meier@meisterbohne.de>

Prev by Date: Re: Komisches ps aux
Next by Date: Re: KDE-dateien durch apt-get entfernt
Previous by thread: Re: KDE-dateien durch apt-get entfernt
Next by thread: Re: /var/bobsdata - ein Crack?
Index(es):
- Date
- Thread