Am 2005-05-23 19:45:00, schrieb Andreas Rabus:
> Hallo Liste,
>
> heute fande ich folgende Meldungen in meiner eMail von meinem Woody Web Server:
> added:/usr/lib/libsh/utilz/mocks-0.0.2
> added:/usr/lib/libsh/utilz/mocks-0.0.2/src
> added:/usr/lib/libsh/utilz/mocks-0.0.2/src/child.c
> added:/usr/lib/libsh/utilz/mocks-0.0.2/src/child.h
> added:/usr/lib/libsh/utilz/mocks-0.0.2/src/error.c
> added:/usr/lib/libsh/utilz/mocks-0.0.2/src/error.h
> added:/usr/lib/libsh/utilz/mocks-0.0.2/src/misc.c
> added:/usr/lib/libsh/utilz/mocks-0.0.2/src/misc.h
> added:/usr/lib/libsh/utilz/mocks-0.0.2/src/socksd.c
> added:/usr/lib/libsh/utilz/mocks-0.0.2/src/socksd.h
> added:/usr/lib/libsh/utilz/mocks-0.0.2/src/up_proxy.c
> added:/usr/lib/libsh/utilz/mocks-0.0.2/src/up_proxy.h
Ähm, Du haste nen compiler auf dem Server ?
Dann machste es dem Einbrecher aber supereinfach...
> chkrootkit hat was von "t0rn" gemurmelt, aber sonst nix...
^^^^
Versuch es mal mit Cristal-GOOGLER :-)
> Habe dann alle aufgelistete Dateien einfach gelöscht bzw. durch
> Originale ersetzt.
???
> Kennt jemand das Teil und weiß was das ist, wie man das sicher los
> wird (am besten ohne alles platt zu machen...) ?
Vergiß es! Wenn Du nicht weist, wie er reingekommen ist,
kannste NUR neu installieren, mach aber vorher von der
Festplatte ein dd-Image zum analysieren.
> Andreas
Greetings
Michelle
--
Linux-User #280138 with the Linux Counter, http://counter.li.org/
Michelle Konzack Apt. 917 ICQ #328449886
50, rue de Soultz MSM LinuxMichi
0033/3/88452356 67100 Strasbourg/France IRC #Debian (irc.icq.com)
Attachment:
signature.pgp
Description: Digital signature