Seit gestern sind auf beiden meiner Systeme genau die gleichen Probleme: Das Modul für die Netzwerkkarte konnte nicht geladen werden, die Alsa-module waren weg und die Grafikkartentreiber konnten nicht mehr geladen werden. Beide Computer sind über einen Software-router an Internet angeschlossen. Wie hoch ist die Chance das ich Besuch in meinem Netzwerk hatte?

15 * pi + die Daumenlänge deiner gesamten Familie, in Promille. Will heißen: Check' doch mal ersteinmal die Logs auf außergewöhnliche Fehlzeiten. Die meisten Leute, die einbrechen, können doch nichteinmal richtig ihre Spuren verwischen. Es gibt doch so ein zyklisches Intervall vom logd, bei mri schreibt er alle 20 Minuten einen Tag rein. Vielleicht fällt ja dessen Fehlen auf. Dann hättest du es mit "angepaßten" Logs zu tun :)

AD!

In den logs ist eigentlich nichts als Meldungen vom pppd und --Mark--- Nachrichten

Hast Du was auf beiden Systemen installiert? Oder sonst was an beiden geändert?

Hmm ich glaube nicht das ein Angreifer auf deinem System an den Modulen rumpfuschen würde. Wenn, dann würde er sich eher über Benutzerdaten hermachen und möglichst unerkannt bleiben. Aber das mit den Modulen hat sicher was anderes auf sich.

Denke ich auch...
Entfernt vorstellbar wäre höchstens dass ein Angreifer ein nicht zu deiner Kernelversion passendes Rootkit installiert hat und deswegen die Module nicht mehr richtig laden - ist aber sehr fraglich.

Wenn Du sichergehen willst laß mal chkrootkit über den Rechner laufen...

cane

... habt ihr denn auch alle brav die updates für openssh eingespielt ? :) Nur zu erinnerung, es gab zwei ... angeblich sind ja explotis im umlauf, ja sogar scanner die nach anfälligen ssh-versionen suchen!

nur mal so in den raum gesagt :)

Also bei Redhat ist das komisch; siehe
hier (http://www.linuxforen.de/forums/showthread.php?s=&threadid=99150)

Umpf da habe ich wohl was falsch gemacht; evtl. laufen die Vserver aber mit
einem übergeordneten sshd? :rolleyes:

Achso neues Sendmail Advisory gibts auch. bla...

Hmm bei einem Vserver kann man sich denke ich mal nur optionale Software selbst installieren - die Basis wird wohl vorgegeben sein.
Beziehe mich auf einen Vserver bei einem Server-Hosting Unternehmen.

na das Prob ist daß ich schon aktualisieren konnte? :rolleyes:

Aber *verständlich* wäre das schon daß die Leute den sshd nicht
in die Finger bekommen sollen. :ugly:

Also ich will von Vserver auf Dedicatet IPv6 umsteigen und suche
noch geeignete Server/Provider, mgl. kein Tunnel, aber von mir aus
auch mit.

habt ihr denn auch alle brav die updates für openssh eingespielt ?
apt-get upgrade und die Sache hat sich :)

gabs apt jetzt nicht auch für RH?

Edit: Habs gefunden. :D

Darf ich was vorschlagen !
Saugts mal die ssh sourcen dann entpacken und dann suchst nach einer datei namens version.h glaube ich und da tuts was verändern und nach der install zeogt der server die ver nicht mehr an :)
Dann sollte ein Angreifer schwer haben denn dafür geigneten exploit zu finde

nabend'



naja nun hab ich schon die rpms. Alles Traffic.
Werde den Server bald dichtmachen.

aber trotzdem Danke!

gabs apt jetzt nicht auch für RH?
apt4rpm

ja gibts, aber mein Problem ist;

daß ich einen doppelten rpm eintrag habe und damit kommt apt genausowenig klar.

Nun moechte ich ja nicht einfach so Openssh removen...

Aber wie bekomme ich das Duplikat weg? Ich kann nämlich nicht updaten...



[lh@/tmp apt]# rpm -q openssh
openssh-3.1p1-10
openssh-3.1p1-10


Ich moechte nur openssh-3.1p1-14 haben.

EDIT: rpm --rebuilddb --define '_filterDbDups 1' funktioniert auch nicht.
EDIT2:

rpm -e --allmatches --justdb --nodeps openssh

und danach das rpm vom openssh ftp geholt :)

Ich hab jetzt meinen Server und eines der beiden Desktop-Systeme neu aufgesetzt... Hatte ehrlich gesagt auf meinem Router wenig geupdatet...