Einbruch?
Hallo,
ich kann seit heute meinen Sarge-Internet-Router nicht mehr updaten.
Angeblich ist das Verzeichnis /var/cache/apt nur lesbar. Tatsaechlich
kann ich (root) schon in /var nichts mehr schreiben.
ls -lcs sagt:
4 drwxr-xr-x 14 root root 4096 2005-04-01 21:52 var
/var ist eine eigene Partition in /etc/fstab steht:
/dev/hda2 /var ext3 defaults 0 2
touch /var/test -> Kann /var/test nicht beruehren: Das Dateisystem ist
nur lesbar
Zu denken gib mir, dass ich in der auth.log eine ganze Reihe von ssh
Angriffen stehen habe:
Apr. 3 11:38:37 localhost sshd [nnnnn]: Illegal user linux
from ::ffff:210.204.129.5
Chkrootkit gibt nichts her.
Wie mache ich /var wieder beschreibbar? Und wie finde ich heraus, ob das
System kompromittiert wurde?
Schoene Gruesse aus der Lueneburger Heide
Reply to: