Re: sshd will nicht starten
On 08.05.06 19:40:22, Peter Velan wrote:
> am 2006-05-08 19:08 schrieb Andreas Pakulat:
> > On 08.05.06 18:46:41, Peter Velan wrote:
> >> am 2006-05-08 17:37 schrieb Peter Velan:
> >> > am 2006-05-08 16:56 schrieb Matthias Haegele:
> >> >> Peter Velan schrieb:
> >> >>> sshd[###]: fatal: daemon() failed: No such device
> >> >
> >> > Einen Verdacht habe ich inzwischen: Könnte "No such device" ein nicht
> >> > vorhandenes /dev/null sein? Oder, die Rechte von /dev/null stimmen
> >> > vielleicht nicht?
> >>
> >> Also auf einem anderen Linuxrechner habe ich das hier:
> >>
> >> > crw-rw-rw- 1 root root 1, 3 2006-03-10 17:11 /dev/null
> >
> > Jo, so sieht das gut aus
> >
> >> Auf der Kummerkiste das da:
> >>
> >> > -rw------- 1 root root 35 2006-02-09 16:00 /dev/nul
> >> > lrwxrwxrwx 1 root root 21 2006-05-03 17:32 /dev/null -> ftp.0.200605031731.gz
> >>
> >> Also das sieht doch ziemlich komisch aus, oder?
> >
> > Ja, weisst du wer das war? Siehst du eine Chance das herauszufinden?
>
> Hmm, die File "ftp.0.200605031731.gz" müsste ein Übriggebliebenes von
> "apt-get remove flexbackup" sein.
Sicher? Warum?
> > Vllt. hat da ja jemand einen "Schabernack" mit dir getrieben (aka dein
> > Server wurde gehackt).
>
> Glaub ich jetzt zwar nicht, aber falls doch, wie könnte ich noch weitere
> Spuren finden?
Such mal nach rootkit, es gibt AFAIK einige Programme die dein System
daraufhin pruefen koennen. Auch die Logs deiner Serverdienste sollten
Aufschluss geben koennen, _falls_ der Angreifer seine Spuren nicht
komplett verwischt hat.
Andreas
--
You are not dead yet. But watch for further reports.
Reply to: