[Debian]:/root/.rnd nach port scan
Hallo,
vor kurzem hat irgendwer/-was eine binär codierte Datei .rnd
im Verzeichnis /root angelegt:
# cd /root
# ls -la .rnd
drwxrwx--- 13 root root 2048 Mar 26 09:48 .
-rw------- 1 root root 1024 Mar 17 06:32 .rnd
Weiß jemand, welche Funktion diese Datei hat?
Bzw. wie ich feststellen kann, welches Programm diese Datei benutzt?
dpkg --search /root/.rnd war leider ebenso erfolglos wie meine
bisherige Suche auf Security-Webseiten.
Was mich stutzig macht: Am 17.3. hatte jemand die Ports meines
Systems gescannt. (Die IP des Angreifers ist mir bekannt.)
Der Portscan begann ca. 5 Minuten nach dem Beginn meiner nächt-
lichen PPP-Verbindung. Um 06:32 h war ich jedoch _nicht_ online.
In meinen Logs ist kein Hinweis auf ein _erfolgreiches_ Login
zu finden, und in den cron-tabs bzw. cron-/at-logs gibt es kein
Indiz, wodurch /root/.rnd angelegt worden sein könnte.
Bei einem Nachmittags-Call am 17.3. begann ein weiterer Portscan
desselben Angreifers _sofort_ nach dem Verbindungsaufbau.
PS: Haltet Ihr als Gegenmassnahme ein kurzfristiges ping -f mit
anschließendem Verbindungsabbruch für sinnvoll, um dem Angreifer
zu signalisieren, daß sein Portscan entdeckt wurde?
TIA, Frank
--
^/..\^ ^/..\^ Big brothers ^/..\^ ^/..\^
---m( 00 )m---m( 00 )m--- are watching you! ---m( 00 )m---m( 00 )m---
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder: 730
Reply to: