/etc/passwd ploetzlich verschwunden -> rootkit ?

To: debian-user-german@lists.debian.org
Subject: /etc/passwd ploetzlich verschwunden -> rootkit ?
From: Thorsten Buss <mlisten@drstone.homeip.net>
Date: Mon, 24 Jan 2005 13:31:09 +0100
Message-id: <[🔎] 1106569869.4794.26.camel@localhost.localdomain>

Hallo..

Ich hab nen Debian root-server mit ner Stable im Internet (mit
Backports, ssh, Apache2, Mysql4, Qmail, vpopmail, cvsServer).

Jetzt kam ich am Freitag auf einmal nicht mehr auf meinen Server drauf.
Apache lief noch, ping ging, nur nichts mehr mit Usern (ssh, ftp,
mail..) Nachdem ein reset nichts half hat mein Support die fehlende
passwd entdeckt, und sie wieder hergestellt.

Sehr seltsam... Aber nachdem ich ihn den Logfiles nicht gefunden hatte
und auch chkrootkit nichts gefunden hat hab ich das rootPW geaendert
(sicherheitshalber) und gehofft es bleibt dabei.

Heute morgen gleiche geschichte. Genau um 1:05 heute Nacht haben die
Fehler in den Logiles angefangen..

Es fehlt wieder die /etc/passwd, und auch alle versteckten Dateien und
verzeichnisse im /root verzeichnis.

Sonst hab ich nichts gefunden, weder in irgendwelchen Logfiles, noch bei
vergleichen mit Backups...


Auch google konnte mit bei /etc/passwd AND geloescht nichts ausspucken.



Ich hoffe ihr koennt mir einen Anhaltspunkt geben wo ich suchen kann,
oder wisst vielleicht sogar was das sein kann.


Danke.

:thorsten

PS: Server ist auf dem aktuellsten Stand, und security wird eingespielt.

Reply to:

Follow-Ups:
- Re: /etc/passwd ploetzlich verschwunden -> rootkit ?
  - From: Timo Eckert <eckert@ipexmedia.com>
- Re: /etc/passwd ploetzlich verschwunden -> rootkit ?
  - From: Gerhard Gaußling <ggrubbish@web.de>

Prev by Date: Loggen von Verbindungsaufbau
Next by Date: Re: DVD abspielen schlägt fehl
Previous by thread: Re: Loggen von Verbindungsaufbau
Next by thread: Re: /etc/passwd ploetzlich verschwunden -> rootkit ?
Index(es):
- Date
- Thread