Re: bindshell und chkrootkit

To: debian-user-german@lists.debian.org
Subject: Re: bindshell und chkrootkit
From: Richard Mittendorfer <delist@gmx.net>
Date: Wed, 22 Jun 2005 23:45:25 +0200
Message-id: <[🔎] 20050622234525.3d5a9795.delist@gmx.net>
In-reply-to: <[🔎] 42B9B427.20001@holl.co.at>
References: <[🔎] 42B9ACDB.2030906@holl.co.at> <[🔎] courier.42B9B075.000013DF@mail.die-welt.net> <[🔎] 42B9B427.20001@holl.co.at>

Also sprach Gerald Holl <gerald@holl.co.at> (Wed, 22 Jun 2005 20:55:35
+0200):
> Evgeni Golov wrote:
> >>Entweder ist der Bug noch immer vorhanden oder ich hab wirklich
> >einen >Trojaner. Die MAC der externen NIC meines Servers (3Com 905C)
> >hat sich >in ein paar Minuten gleich vier mal verändert, das macht
> >micht >stutzig.
> > 
> > Allerdings ändert der statd nicht die MAC deiner NIC, was ich sehr
> > verwunderlich finde.
> 
> Ich vermute daß jemand in meinem Netzwerk versucht hat, meine IP
> einzustellen. Das würde das Verhalten erklären.

wer sollte sowas wofuer tun? und wieso wuerde das aendern der ip die mac
beeinflussen??

> ...
> Hm, wie soll ich rausfinden ob das wirklich der rpc.statd war?

md5sums, debsums, backup, integrit, bsign, groesse, erstellungsdatum,
funktion, tripwire,... 

> 
> cheers,
> Gerald

sl ritch

Reply to:

Follow-Ups:
- Re: bindshell und chkrootkit
  - From: Gerald Holl <gerald@holl.co.at>

References:
- bindshell und chkrootkit
  - From: Gerald Holl <gerald@holl.co.at>
- Re: bindshell und chkrootkit
  - From: Evgeni Golov <sargentd@die-welt.net>
- Re: bindshell und chkrootkit
  - From: Gerald Holl <gerald@holl.co.at>

Prev by Date: Re: sata libata-Treiber
Next by Date: Tool zum protokollieren von DSL-Einwahlen / Traffikprotokollierung
Previous by thread: Re: bindshell und chkrootkit
Next by thread: Re: bindshell und chkrootkit
Index(es):
- Date
- Thread