PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SSH connection - Trojaner?



PeterOaul
03.06.07, 20:07
Hi,

beim einloggen auf einem Server einer kleinen Softwarefirma fuer die ich nebenher arbeite passierte folgendes:

Using username "kaiser".
kaiser@87.106.63.230's password:
Last login: Sun Jun 3 15:52:14 2007 from manni.inf.shef.ac.uk
Kennwort:
Entschuldigung.
[kaiser@s15333846 ~]$

Erklaerung:
Ich habe mich mit meinem Benutzernamen und Passwort angemeldet und sties dann auf die Meldung "Kennwort:". Was immer ich auch eingebe, es folgt danach die Zeile "Entschuldigung" (Ich hab's nicht mit meinem echten Kennwort versucht. ;-)

Mit sieht das nach Trojaner aus. Das Ganze scheint aber nicht besonders intelligent gemacht. Weiss jemand genau was hier los ist? Wie heisst das Ding und wie wird man es los?

Gruss,
Mark

marce
03.06.07, 21:20
(1) editiere lieber die IP raus
(2) Informiere den Admin, darüber - wenn er was davon weiss, ok, ansonsten weiss er nun, dass er ein Problem hat...

PeterOaul
03.06.07, 21:42
zu (1): Die IP in obiger Mail ist nicht die wirkliche IP
zu (2): Habe ich getan. Der hat dummerweise auch nicht viel mehr Ahnung als ich. (Ich weiss, das sollte so nicht sein. Ich kann aber nix dran aendern. Und auf dem Server soll auch sensibeler Code von mir. (Den ich bis jetzt wegen genanntem Problem nicht hochgeladen habe))

Koennte das irgendetwas anderes sein ausser ein Trojaner?

stefan-tiger
03.06.07, 22:27
...
Koennte das irgendetwas anderes sein ausser ein Trojaner?

Im einfachsten Fall eine simple Welcome-Message entweder von/für

- SSH-Login
- globale Shell
- Benutzer Shell

also sowas wie /etc/motd oder eine .bashrc

PeterOaul
03.06.07, 22:35
> Im einfachsten Fall eine simple Welcome-Message entweder von/für
>
> - SSH-Login
> - globale Shell
> - Benutzer Shell

Eine Wecome-Message die nach einem "Kennwort" fragt?

eule
03.06.07, 22:47
zu (1): Die IP in obiger Mail ist nicht die wirkliche IP

Nein, du hast einfach die IP eines fremden Rechners genommen. Sowas ist auch nicht besonders nett. St. Florian oder was?

towo2099
03.06.07, 22:49
Ich würde mal behaupten, da wird ein su ausgeführt.

PeterOaul
04.06.07, 15:39
su auf der maschine sieht so aus:

Password:
su: ungültiges Kennwort


Das kann es also nicht wirklich sein?

Ich verstehe nicht wirklich viel von Linux, aber da ist wohl ein script direct nach dem login am laufen. Wo werden diese denn aufgerufen?

zyrusthc
04.06.07, 16:50
Warte doch erst einmal auf Antwort vom Admin!
Den nur er kann dort was machen.

Greeez Oli

stefan-tiger
04.06.07, 17:22
> Im einfachsten Fall eine simple Welcome-Message entweder von/für
>
> - SSH-Login
> - globale Shell
> - Benutzer Shell

Eine Wecome-Message die nach einem "Kennwort" fragt?

Zitieren geht anders ;)

Was hindert dich mal eben in die entsprechenden Dateien hineinzuschauen?
Evtl. wird gerade von dort ein anderes Script/Programm aufgerufen.

PeterOaul
05.06.07, 00:17
Jungs,

Der Admin wird mir auch nix sagen koennen, der weiss naemlich so wie ich das einschaetze auch nicht mehr als ich...

Ich, fuer meinen Teil, habe NULL Ahnung von dem ganzen Zeugs. In welche Dateien soll ich reinschauen?


Gruss,
Mark

marce
05.06.07, 07:14
... aber er ist der Admin, er hat die Rechte und damit die Chance (und evtl. Pflicht) nachzuschauen.

Ansonsten - bei Dir gibt's vermutlich sowas wie ein .profile, .bashrc (die üblichen Verdächtigen, über die Suchfunktion dürfte sich noch ein bisschen mehr finden lassen). Welche genau dürfte von Distribution und Installation abhängen. Und die kennt wiederum s.o. :-)

Svenny
05.06.07, 07:15
motd, issue