Enlighter
14.09.03, 10:55
Hallo,
ich habe gestern auf meinem System einen Benutzer "p2p" entdeckt, den ich nicht angelegt habe. Er steht in meiner /etc/passwd ganz unten und wurde wohl am 11. September angelegt.
aus /etc/passwd:
p2p:x:1001:100::/home/p2p:/bin/bash
/home/p2p:
drwxr-xr-x 2 p2p root 48 Sep 11 14:46 p2p
In /etc/shadow steht anstelle eines verschlüsselten Passworts nur ein "!". Da ich mir nicht bewusst bin, ihn angelegt zu haben und eigentlich auch nur zum installieren neuer Software als root eingeloggt bin, frage ich mich wirklich, woher dieser Benutzer kommt. Ich bin über eine Firewall (Linux) ans Internet angeschlossen, die zwar ausgewählte Ports an mich weiterreicht (1720, 6000, 50000-51000) aber ansonsten alles abblockt. Wurde ich gehackt? Wie kann ich das evtl. herausfinden?
Gruss
Michael
ps:
Desktop: Gentoo Linux 1.4, Kernel 2.4.21-ac4
Firewall: Gentoo Linux 1.4, Kernel 2.4.21
ich habe gestern auf meinem System einen Benutzer "p2p" entdeckt, den ich nicht angelegt habe. Er steht in meiner /etc/passwd ganz unten und wurde wohl am 11. September angelegt.
aus /etc/passwd:
p2p:x:1001:100::/home/p2p:/bin/bash
/home/p2p:
drwxr-xr-x 2 p2p root 48 Sep 11 14:46 p2p
In /etc/shadow steht anstelle eines verschlüsselten Passworts nur ein "!". Da ich mir nicht bewusst bin, ihn angelegt zu haben und eigentlich auch nur zum installieren neuer Software als root eingeloggt bin, frage ich mich wirklich, woher dieser Benutzer kommt. Ich bin über eine Firewall (Linux) ans Internet angeschlossen, die zwar ausgewählte Ports an mich weiterreicht (1720, 6000, 50000-51000) aber ansonsten alles abblockt. Wurde ich gehackt? Wie kann ich das evtl. herausfinden?
Gruss
Michael
ps:
Desktop: Gentoo Linux 1.4, Kernel 2.4.21-ac4
Firewall: Gentoo Linux 1.4, Kernel 2.4.21