Re: bindshell und chkrootkit
Also sprach Gerald Holl <gerald@holl.co.at> (Wed, 22 Jun 2005 20:55:35
+0200):
> Evgeni Golov wrote:
> >>Entweder ist der Bug noch immer vorhanden oder ich hab wirklich
> >einen >Trojaner. Die MAC der externen NIC meines Servers (3Com 905C)
> >hat sich >in ein paar Minuten gleich vier mal verändert, das macht
> >micht >stutzig.
> >
> > Allerdings ändert der statd nicht die MAC deiner NIC, was ich sehr
> > verwunderlich finde.
>
> Ich vermute daß jemand in meinem Netzwerk versucht hat, meine IP
> einzustellen. Das würde das Verhalten erklären.
wer sollte sowas wofuer tun? und wieso wuerde das aendern der ip die mac
beeinflussen??
> ...
> Hm, wie soll ich rausfinden ob das wirklich der rpc.statd war?
md5sums, debsums, backup, integrit, bsign, groesse, erstellungsdatum,
funktion, tripwire,...
>
> cheers,
> Gerald
sl ritch
Reply to: