Einbruch?

To: debian-user-german@lists.debian.org
Subject: Einbruch?
From: Werner Gast <hausknecht@heidefewo.de>
Date: Tue, 05 Apr 2005 11:02:16 +0200
Message-id: <[🔎] 1112691736.5070.21.camel@schorsch.daddelyu.shrub>

Hallo, 

ich kann seit heute meinen Sarge-Internet-Router nicht mehr updaten.
Angeblich ist das Verzeichnis /var/cache/apt nur lesbar. Tatsaechlich
kann ich (root) schon in /var nichts mehr schreiben. 
ls -lcs sagt:
	4 drwxr-xr-x 14 root root  4096 2005-04-01 21:52 var

/var ist eine eigene Partition in /etc/fstab steht:
	/dev/hda2	/var	ext3	defaults	0 2

touch /var/test -> Kann /var/test nicht beruehren: Das Dateisystem ist
nur lesbar

Zu denken gib mir, dass ich in der auth.log eine ganze Reihe von ssh
Angriffen stehen habe:
Apr. 3 11:38:37 localhost sshd [nnnnn]: Illegal user linux
from ::ffff:210.204.129.5

Chkrootkit gibt nichts her. 

Wie mache ich /var wieder beschreibbar? Und wie finde ich heraus, ob das
System kompromittiert wurde?

Schoene Gruesse aus der Lueneburger Heide

Reply to:

Follow-Ups:
- Re: Einbruch?
  - From: Peter Weiss <Peter.Weiss@ConSol.de>
- Re: Einbruch?
  - From: Florian Pollini <webmaster@vadp.com>
- Re: Einbruch?
  - From: Marc Deichmann <marc.deichmann@gmx.net>
- Re: Einbruch?
  - From: Christoph Wegscheider <wegi@despammed.com>

Prev by Date: [OT] Freeradius + WPA + XP-Client
Next by Date: Re: Einbruch?
Previous by thread: Re: [OT] Freeradius + WPA + XP-Client
Next by thread: Re: Einbruch?
Index(es):
- Date
- Thread