Re: Har min Debian-server hackats?

To: Pelle Nilsson <pellenilsson@fastmail.fm>
Cc: debian-user-swedish@lists.debian.org
Subject: Re: Har min Debian-server hackats?
From: Martin Bagge / brother <martin@bagge.nu>
Date: Wed, 9 Jun 2010 16:07:53 +0200 (CEST)
Message-id: <[🔎] alpine.DEB.2.00.1006091605160.1109@salyut.bsnet.se>
In-reply-to: <[🔎] 1276090077.3972.40.camel@gandalf.homeunix.net>
References: <[🔎] 1276090077.3972.40.camel@gandalf.homeunix.net>

On Wed, 9 Jun 2010, Pelle Nilsson wrote:

Det främsta tipset från google-träffarna är att köra en "rootkit
hunter", så jag provade att installera rkhunter (från
http://www.rootkit.nl/ ) på servern och köra denna. Den upptäckte inte
någon rootkit, men gav en hel del andra varningar. Vissa, kanske alla,
av dessa varningar tror jag beror på att rkhunter inte vet tillräckligt
mycket om hur Debian-disten är uppbyggd, finns det någon rootkit hunter
som är mer Debian-kunnig?


rootkithunter finns i apt -> http://packages.debian.org/etch/rkhunter
dubbla med chkrootkit -> http://packages.debian.org/etch/chkrootkit

finns säkert några såna verktyg till men de två kommer jag på spontant.

En annan misstänkt grej i auth.log är dessa rader som återkommer ibland:

Jun  6 06:25:09 bilbo su[30649]: Successful su for nobody by root
Jun  6 06:25:09 bilbo su[30649]: + ??? root:nobody
Jun  6 06:25:09 bilbo su[30649]: (pam_unix) session opened for user
nobody by (uid=0)
Jun  6 06:25:09 bilbo su[30649]: (pam_unix) session closed for user
nobody


bör vara cron.

--
/brother
http://martin.bagge.nu
Bruce Schneier can log into any computer just by staring down the prompt.

Reply to:

References:
- Har min Debian-server hackats?
  - From: Pelle Nilsson <pellenilsson@fastmail.fm>

Prev by Date: Har min Debian-server hackats?
Next by Date: Re: Har min Debian-server hackats?
Previous by thread: Har min Debian-server hackats?
Next by thread: Re: Har min Debian-server hackats?
Index(es):
- Date
- Thread