Re: Einbruch?
Am Dienstag, den 05.04.2005, 11:02 +0200 schrieb Werner Gast:
> Hallo,
>
> ich kann seit heute meinen Sarge-Internet-Router nicht mehr updaten.
> Angeblich ist das Verzeichnis /var/cache/apt nur lesbar. Tatsaechlich
> kann ich (root) schon in /var nichts mehr schreiben.
> ls -lcs sagt:
> 4 drwxr-xr-x 14 root root 4096 2005-04-01 21:52 var
>
> /var ist eine eigene Partition in /etc/fstab steht:
> /dev/hda2 /var ext3 defaults 0 2
>
> touch /var/test -> Kann /var/test nicht beruehren: Das Dateisystem ist
> nur lesbar
>
> Zu denken gib mir, dass ich in der auth.log eine ganze Reihe von ssh
> Angriffen stehen habe:
> Apr. 3 11:38:37 localhost sshd [nnnnn]: Illegal user linux
> from ::ffff:210.204.129.5
>
> Chkrootkit gibt nichts her.
>
> Wie mache ich /var wieder beschreibbar? Und wie finde ich heraus, ob das
> System kompromittiert wurde?
>
> Schoene Gruesse aus der Lueneburger Heide
>
>
>
Hallo,
erstmal nachsehen ob es nicht wirklich ro gemountet ist.
Wenn eine Platte ein Dateisystemfehler hat kann es gut sein das diese
zwar rw angezeigt wird aber den noch nicht beschreibbar ist.
Am besten mal einen Check laufen lassen und dann rw remounten.
Was die Meldungen angeht das hat wohl jeder Millionenfach in den Logs.
Diese Art kannst du getrost überlesen.
http://www.rootkit.nl/ <-- auch mal den hier Probieren, ist meiner
Meinung besser.
Grüße vom Bodensee
Florian Pollini
Reply to:
- Follow-Ups:
- Re: Einbruch?
- From: Guido Königstein <guido@test.cst.uni-duesseldorf.de>
- References:
- Einbruch?
- From: Werner Gast <hausknecht@heidefewo.de>