Re: bindshell und chkrootkit
Richard Mittendorfer wrote:
> Also sprach Gerald Holl <gerald@holl.co.at> (Wed, 22 Jun 2005 20:55:35
> +0200):
>
>>Evgeni Golov wrote:
>>
>>>>Entweder ist der Bug noch immer vorhanden oder ich hab wirklich
>>>
>>>einen >Trojaner. Die MAC der externen NIC meines Servers (3Com 905C)
>>>hat sich >in ein paar Minuten gleich vier mal verändert, das macht
>>>micht >stutzig.
>>>
>>>Allerdings ändert der statd nicht die MAC deiner NIC, was ich sehr
>>>verwunderlich finde.
>>
>>Ich vermute daß jemand in meinem Netzwerk versucht hat, meine IP
>>einzustellen. Das würde das Verhalten erklären.
>
>
> wer sollte sowas wofuer tun? und wieso wuerde das aendern der ip die mac
> beeinflussen??
Sorry, hab vergessen das zu erklären:
Ein Kollege hat arpwatch laufen, und er machte mich darauf aufmerksam,
daß sich meine MAC binnen ein paar Minuten vier mal geändert hat.
Daraufhin kam ich zu dem Schluß, daß jemand versuchte, meine IP an
seinem Rechner festzulegen. Und eben seine MAC dem arpwatchd auffiel.
Es kommt leider des öfteren vor, daß jemand eine falsche IP einstellt.
>>Hm, wie soll ich rausfinden ob das wirklich der rpc.statd war?
>
>
> md5sums, debsums, backup, integrit, bsign, groesse, erstellungsdatum,
> funktion, tripwire,...
Danke. Schaut so aus als ob das File noch im Originalzustand ist :)
Gerald
--
http://holl.co.at
Reply to: