carnil
13.09.04, 13:31
Hallo zusammen
Ich habe hier ein "merkwürdiges Problem" das mich ein bisschen unsicher stimmt.
Zusammenfassung des Problems: Wenn ich im Mozilla auf eine Seite gehe, und diese heruntergeladen wird, zeigt mir torsmo, gkrellm gleichzeitig ein grosser upload an (manchmal sogar bis zu 14kb/s).
Nachdem ich das bemerkt hatte, habe ich natürlich soffort zunächst mal den Rechner vom Netzt genommen. Wir sind hier hinter einer Hardwarefirewall. Wie schon beschrieben, wenn ich hier im Forum z.B. auf suche gehen, und dann anfängt herunterzuladen ... habe ich gleichzeitig immer auch ein (für mich sieht's so aus) doch recht hoher upload.
Nachdem ich also den Rechner vom Netz genommen habe, habe ich natürlich so wie's sich in meinen Augen gehört, heruntergefahren und von knoppix gebootet und chkrootkit laufen lassen.
Ich versuche jetzt mal das so detailiert wie möglich zu schildern denn vielleicht sieht dann jemand einen Überlegungsfehler, denn ich vielleicht gemacht habe.
Vorneweg muss gesagt werden ich finde (er findet) kein rootkit, was ja eigentlich erleichternd wäre, jedoch könnte ich ja was falsch gemacht haben, deshalb mal hier eine so asufühliche wie ichs hinkriege:
Die Partitionierung sieht folgendermassen aus:
/dev/hda1 / ext3 defaults,errors=remount-ro 0 1
/dev/hda9 /home xfs defaults 0 2
/dev/hda7 /opt xfs defaults 0 2
/dev/hda5 /tmp xfs defaults 0 2
/dev/hda2 /usr xfs defaults 0 2
/dev/hda6 /var xfs defaults 0 2
Also habe ich unter knoppix folgendes gemacht:
mount -o ro /dev/hda1 /mnt/hda1
mount -o ro /dev/hda2 /mnt/hda1/usr
mount -o ro /dev/hda5 /mnt/hda1/tmp
mount -o ro /dev/hda6 /mnt/hda1/var
mount -o ro /dev/hda7 /mnt/hda1/opt
cd /mnt/hda1
chrootkit -r /mnt/hda1
Ich weiss nicht ob ich jetzt da etwas falsch gemacht habe, aber er findet nicht. Also wenn ich also alles richtig gemacht hätte, dann wäre ich einerseits erleichter, dasseventuell doch nichts da ist, andererseits befürchte ich dass es vielleicht noch schlimmer ist ... :(
Als nächstes habe ich also debian wieder gebootet, und ethereal laufen lassen. Jedoch komme ich da jetzt nicht mehr wirklich weiter, ich verstehe jetzt im Moment überhaupt nichts mehr. Deshalb habe ich mal einen Ausschnitt des scans (im libpcap-format) als Anahng angefügt, vielleicht sieht dann ja jemand irgendetwas.
Ich danke alle, die bis hierher gelesen haben und sich die Mühe gemacht haben meinen Text zu verstehen, muss gestehen bin momentan gerade ein bisschen verweirrt deswegen.
Wenn es noch mehr Infos braucht, werde ich diese natürlich im Rahmen meiner Möglichkeiten natürlich soffort nachliefern.
Anhänge (kann ich nicht hochladen, deshalb hier auf den webspace)
gelöscht
gelöscht
gelöscht
Wegen absoluter Dummheit eines Ignoranten Users Anhänge nicht mehr verfügbar ...
Ist zum slapen sowas.
MfG carnil
Ich habe hier ein "merkwürdiges Problem" das mich ein bisschen unsicher stimmt.
Zusammenfassung des Problems: Wenn ich im Mozilla auf eine Seite gehe, und diese heruntergeladen wird, zeigt mir torsmo, gkrellm gleichzeitig ein grosser upload an (manchmal sogar bis zu 14kb/s).
Nachdem ich das bemerkt hatte, habe ich natürlich soffort zunächst mal den Rechner vom Netzt genommen. Wir sind hier hinter einer Hardwarefirewall. Wie schon beschrieben, wenn ich hier im Forum z.B. auf suche gehen, und dann anfängt herunterzuladen ... habe ich gleichzeitig immer auch ein (für mich sieht's so aus) doch recht hoher upload.
Nachdem ich also den Rechner vom Netz genommen habe, habe ich natürlich so wie's sich in meinen Augen gehört, heruntergefahren und von knoppix gebootet und chkrootkit laufen lassen.
Ich versuche jetzt mal das so detailiert wie möglich zu schildern denn vielleicht sieht dann jemand einen Überlegungsfehler, denn ich vielleicht gemacht habe.
Vorneweg muss gesagt werden ich finde (er findet) kein rootkit, was ja eigentlich erleichternd wäre, jedoch könnte ich ja was falsch gemacht haben, deshalb mal hier eine so asufühliche wie ichs hinkriege:
Die Partitionierung sieht folgendermassen aus:
/dev/hda1 / ext3 defaults,errors=remount-ro 0 1
/dev/hda9 /home xfs defaults 0 2
/dev/hda7 /opt xfs defaults 0 2
/dev/hda5 /tmp xfs defaults 0 2
/dev/hda2 /usr xfs defaults 0 2
/dev/hda6 /var xfs defaults 0 2
Also habe ich unter knoppix folgendes gemacht:
mount -o ro /dev/hda1 /mnt/hda1
mount -o ro /dev/hda2 /mnt/hda1/usr
mount -o ro /dev/hda5 /mnt/hda1/tmp
mount -o ro /dev/hda6 /mnt/hda1/var
mount -o ro /dev/hda7 /mnt/hda1/opt
cd /mnt/hda1
chrootkit -r /mnt/hda1
Ich weiss nicht ob ich jetzt da etwas falsch gemacht habe, aber er findet nicht. Also wenn ich also alles richtig gemacht hätte, dann wäre ich einerseits erleichter, dasseventuell doch nichts da ist, andererseits befürchte ich dass es vielleicht noch schlimmer ist ... :(
Als nächstes habe ich also debian wieder gebootet, und ethereal laufen lassen. Jedoch komme ich da jetzt nicht mehr wirklich weiter, ich verstehe jetzt im Moment überhaupt nichts mehr. Deshalb habe ich mal einen Ausschnitt des scans (im libpcap-format) als Anahng angefügt, vielleicht sieht dann ja jemand irgendetwas.
Ich danke alle, die bis hierher gelesen haben und sich die Mühe gemacht haben meinen Text zu verstehen, muss gestehen bin momentan gerade ein bisschen verweirrt deswegen.
Wenn es noch mehr Infos braucht, werde ich diese natürlich im Rahmen meiner Möglichkeiten natürlich soffort nachliefern.
Anhänge (kann ich nicht hochladen, deshalb hier auf den webspace)
gelöscht
gelöscht
gelöscht
Wegen absoluter Dummheit eines Ignoranten Users Anhänge nicht mehr verfügbar ...
Ist zum slapen sowas.
MfG carnil