Re: [Debian]:/root/.rnd nach port scan
Frank Schlueter wrote:
> # cd /root
> # ls -la .rnd
> drwxrwx--- 13 root root 2048 Mar 26 09:48 .
> -rw------- 1 root root 1024 Mar 17 06:32 .rnd
>
> Weiß jemand, welche Funktion diese Datei hat?
> Bzw. wie ich feststellen kann, welches Programm diese Datei benutzt?
>
> Bei einem Nachmittags-Call am 17.3. begann ein weiterer Portscan
> desselben Angreifers _sofort_ nach dem Verbindungsaufbau.
Die .rnd-Datei hat wahrscheinlich nichts mit dem Portscan zu
tun. Wenn ein Angreifer schon eine Datei mit root-Rechten schreiben
kann, braucht er keinen Portscan mehr. Von einem "Gegenangriff"
per flooding halte ich nichts, damit aergerst Du Dich primaer selbst.
Wenn es gehaeuft auftritt, hilft eher eine Mail an den dortigen
Provider.
Auf einem Debian-System klingt 6:32 sehr nach cron (daily/weekly/
monthly). Kaemme mal die cron-Jobs durch, ob dort irgendein
File .rnd angelegt wird und wozu er gut ist.
Viele Gruesse
Volker
--
---------------------------------------------------------------------
Volker Ossenkopf KOSMA (Kölner Observatorium für submm-Astronomie)
Tel.: 0221 4703485 1. Physikalisches Institut der
Fax.: 0221 4705162 Universität zu Köln
E-Mail: ossk@zeus.ph1.uni-koeln.de
---------------------------------------------------------------------
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder: 732
Reply to: