Re: bin ich offen fü r angriffe?

To: debian-user-german@lists.debian.org
Subject: Re: bin ich offen fü r angriffe?
From: mats <matthias.wolpers@freenet.de>
Date: Mon, 13 Sep 2004 07:00:14 +0200
Message-id: <[🔎] 4145295d$0$24800$9b622d9e@news.freenet.de>
References: <[🔎] 414451d6$0$13087$9b622d9e@news.freenet.de> <[🔎] 20040912204647.GA8529@musicman.proxy501.no-ip.com>

Dieter Franzke wrote:

> Hi,
> 
> * mats <matthias.wolpers@freenet.de> [040912 15:40]:
>> Hallo,
>> ich sitze seit freitag abend (mit kurzen unterbrechungen) an dieser kiste
>> und bastele an der prsönlichen config (sarge a la linux magazin dvd).
>> 
>> zuletzt habe ich amule eingebaut und in betrieb genommen, davor mid der
>> kmid-config herumgefummelt (siehe weitere diskussion hier in der liste).
>> den grössten teil der zeit waren andere pcs in meinem home-lan aktiv und
>> via linneighborhood share-aktiv.
>> 
>> und etwa (tut mir leid, so ganz genau kann ich es nicht mehr sagen) seit
>> dem dieser halbesel hier läuft, tauchen sporadisch merkwürdige size 0
>> dateien in meinem homedir auf, die heissen dann
>> (some-none-printable).(nix) oder auch bittewarten.txt
>> owner bin jedesmal ich, aber so tranig bin ich dann doch nicht, dass ich
>> solche files erfinde und es dann gleich wieder vergesse
>> 
>> ausser jetzt doch noch tripwire installieren (jaja, super idee hinterher,
>> ich weiss...), diese size=0-teile wegschmeissen und routerlogs lesen (um
>> verdächtige absender im router zu blocken) fällt mir akut nicht viel ein,
>> was ich machen könnte.
>> 
>> Aber so kann's ja nicht bleiben:
>> * es kommt schon mal vor, dass ich eine win-maschine reboote, ohne vorher
>> die shares in linneighborhood ordentlich abzumelden. das sollte aber
>> keine komische dateien erzeugen, oder? jedenfalls nicht in meinem
>> homedir? * wie kann ich feststellen, was ausser den size-0-files noch ggf
>> verändert wurde?
>> * wo würde ein root kit liegen, wenn jemand meine mühle gekapert hat, und
>> wie kriege ich das drexxding dann wieder weg? ich meine gibts was
>> schnelleres als alles neu installieren und diesmal den TW vor dem ersten
>> netzkontakt scharf machen?
>> 
>> danke und (müden) gruss,
>> 
> 
> da du nicht sicher sein kannst:
> 
> nimm die Kiste vom Netz und mach ne saubere Neuinstallation.
> Bevor du die Kiste dann ins Netz haengst machste dir am besten ein Image
> von deinen Partitionen (partimage, zB mit ner Knoppix) und sicherst die
> weg.
> 
> DAnn kannste im Krisenfall ein fach deine Images wieder zurueckspielen.
> 
> Tripwire und Konsorten installiert man BEVOR man eine Kiste ins Netz
> haengt. Aber das hast ja auch schon gemerkt....
> 
> kannst ja probehalber mal chckrootkit drueberlaufen lassen.

habe ich gemacht: ein Teil namens lkm ist auffällig geworden (3 processes
hidden for readdir bzw ps command, possible trojan installed)

wer ist lkm und wie lege ich das tot?

gruss, mats
> 
> Firewall?
> Offene Ports?
> 
> ciao
> 
> dieter

Reply to:

Follow-Ups:
- Re: bin ich offen fü r angriffe?
  - From: mats <matthias.wolpers@freenet.de>

References:
- bin ich offen für angriffe?
  - From: mats <matthias.wolpers@freenet.de>
- Re: bin ich offen für angriffe?
  - From: Dieter Franzke <lists@eyenovation.de>

Prev by Date: Re: Procmail+Perl
Next by Date: Re: Procmail+Perl
Previous by thread: Re: bin ich offen für angriffe?
Next by thread: Re: bin ich offen fü r angriffe?
Index(es):
- Date
- Thread