PC wurde gehackt

**jay-t** · 22.11.06, 19:50

Heute wurde mein PC gehackt. Die Platte fing plötzlich zu rödeln an.
Das kam mir merkwürdig vor. In der Systemüberwachung fand ich einen
Benutzer Nobody der die Programme find und su laufen hatte.

Da durchsuchte also jemand meinen Rechner.
Ich habe sofort das Netzwerkkabel abgezogen und den PC ausgeschaltet.
Und nach einem Neustart die Benutzer Passwörter geändert.

Da ich nicht weiß ob der Angreifer schon root Rechte hatte, muß ich wohl vom
schlimmsten Fall ausgehen.

Wie kann ich herausfinden wo der Angreifer reinkam?
Welche Logdateien sind jetzt interessant?

Ich verwende Kanotix:

Code:

Linux tux 2.6.17-kanotix-1 #1 SMP PREEMPT Mon Jun 19 23:40:22 CEST 2006 i686 GNU/Linux

Die Prozesse die momentan laufen:

Code:

root@tux:/home/stefan# ps -ef
UID        PID  PPID  C STIME TTY          TIME CMD
root         1     0  0 20:20 ?        00:00:01 init [5]
root         2     1  0 20:20 ?        00:00:00 [migration/0]
root         3     1  0 20:20 ?        00:00:00 [ksoftirqd/0]
root         4     1  0 20:20 ?        00:00:00 [watchdog/0]
root         5     1  0 20:20 ?        00:00:00 [events/0]
root         6     1  0 20:20 ?        00:00:00 [khelper]
root         7     1  0 20:20 ?        00:00:00 [kthread]
root         9     7  0 20:20 ?        00:00:00 [kblockd/0]
root        10     7  0 20:20 ?        00:00:00 [kacpid]
root        82     7  0 20:20 ?        00:00:00 [kseriod]
root       135     7  0 20:20 ?        00:00:00 [pdflush]
root       136     7  0 20:20 ?        00:00:00 [pdflush]
root       137     1  0 20:20 ?        00:00:00 [kswapd0]
root       138     7  0 20:20 ?        00:00:00 [aio/0]
root       139     7  0 20:20 ?        00:00:00 [xfslogd/0]
root       140     7  0 20:20 ?        00:00:00 [xfsdatad/0]
root       217     7  0 20:20 ?        00:00:00 [cqueue/0]
root       287     7  0 20:20 ?        00:00:00 [ata/0]
root       316     7  0 20:20 ?        00:00:00 [kcryptd/0]
root       317     7  0 20:20 ?        00:00:00 [kmpathd/0]
root       318     7  0 20:20 ?        00:00:00 [kmirrord]
root       319     7  0 20:20 ?        00:00:00 [kedac]
root       355     7  0 20:20 ?        00:00:00 [kjournald]
root       433     1  0 20:20 ?        00:00:00 udevd --daemon
root       641     7  0 20:20 ?        00:00:00 [khubd]
root       646     7  0 20:20 ?        00:00:00 [kgameportd]
root       651     7  0 20:20 ?        00:00:00 [kpsmoused]
root       824     7  0 20:21 ?        00:00:00 [shpchpd]
root      1135     7  0 20:21 ?        00:00:00 [kjournald]
root      1490     1  0 20:21 ?        00:00:00 /sbin/syslogd
root      1500     1  0 20:21 ?        00:00:00 /sbin/klogd -x
root      1588     1  0 20:21 ?        00:00:00 /usr/sbin/acpid -c /etc/acpi/everoot      1614     1  0 20:21 ?        00:00:00 /usr/sbin/cupsd
108       1626     1  0 20:21 ?        00:00:00 /usr/bin/dbus-daemon --system
115       1634     1  0 20:21 ?        00:00:02 /usr/sbin/hald
root      1635  1634  0 20:21 ?        00:00:00 hald-runner
115       1641  1635  0 20:21 ?        00:00:00 hald-addon-acpi: listening on ac115       1651  1635  0 20:21 ?        00:00:00 hald-addon-keyboard: listening oroot      1661  1635  0 20:21 ?        00:00:00 hald-addon-storage: polling /devroot      1663  1635  0 20:21 ?        00:00:00 hald-addon-storage: polling /devdaemon    1697     1  0 20:21 ?        00:00:00 /usr/sbin/atd
root      1704     1  0 20:21 ?        00:00:00 /usr/sbin/cron
root      1718     1  0 20:21 ?        00:00:00 /usr/bin/kdm
root      1731  1718  2 20:21 tty7     00:00:13 /usr/X11R6/bin/X -nolisten tcp -root      1748     1  0 20:21 tty1     00:00:00 /sbin/getty 38400 tty1
root      1749     1  0 20:21 tty2     00:00:00 /sbin/getty 38400 tty2
root      1750     1  0 20:21 tty3     00:00:00 /sbin/getty 38400 tty3
root      1751     1  0 20:21 tty4     00:00:00 /sbin/getty 38400 tty4
root      1752     1  0 20:21 tty5     00:00:00 /sbin/getty 38400 tty5
root      1753     1  0 20:21 tty6     00:00:00 /sbin/getty 38400 tty6
root      1764  1718  0 20:21 ?        00:00:00 -:0
stefan    1782  1764  0 20:22 ?        00:00:00 /bin/sh /etc/xdg/xfce4/xinitrc
stefan    1833  1782  0 20:22 ?        00:00:00 /usr/bin/ssh-agent /usr/bin/dbusstefan    1836     1  0 20:22 ?        00:00:00 /usr/bin/dbus-launch --exit-withstefan    1837     1  0 20:22 ?        00:00:00 /usr/bin/dbus-daemon --fork --prstefan    1845  1782  0 20:22 ?        00:00:00 /usr/bin/xfce4-session
stefan    1849     1  0 20:22 ?        00:00:00 xfce-mcs-manager
stefan    1851     1  0 20:22 ?        00:00:00 kdeinit Running...
stefan    1855     1  0 20:22 ?        00:00:00 dcopserver [kdeinit] --nosid
stefan    1857  1851  0 20:22 ?        00:00:00 klauncher [kdeinit]
stefan    1859     1  3 20:22 ?        00:00:15 kded [kdeinit]
stefan    1862     1  0 20:22 ?        00:00:00 /usr/lib/gamin/gam_server
stefan    1867     1  4 20:22 ?        00:00:15 xfwm4 --sm-client-id 117f0000010stefan    1869     1  0 20:22 ?        00:00:01 xfdesktop --sm-client-id 117f000stefan    1871     1  4 20:22 ?        00:00:16 xfce4-panel & --sm-client-id 117stefan    1874     1  9 20:22 ?        00:00:33 ksysguard -session 117f000001000stefan    1875  1871  4 20:22 ?        00:00:17 /usr/lib/xfce4/panel-plugins/xfcstefan    1876  1871  4 20:22 ?        00:00:15 /usr/lib/xfce4/panel-plugins/xfcstefan    1881     1  4 20:23 ?        00:00:15 kio_uiserver -session 117f000001stefan    1883     1 10 20:23 ?        00:00:30 /usr/lib/firefox/firefox-bin
stefan    1886  1874  0 20:23 ?        00:00:02 ksysguardd
stefan    1890     1  0 20:23 ?        00:00:00 /usr/lib/libgconf2-4/gconfd-2 10stefan    1899     1  7 20:25 ?        00:00:16 xfce4-terminal
stefan    1900  1899  0 20:25 ?        00:00:00 gnome-pty-helper
stefan    1901  1899  0 20:25 pts/0    00:00:00 bash
root      1920  1901  0 20:26 pts/0    00:00:00 su
root      1921  1920  0 20:26 pts/0    00:00:00 bash
root      1932  1921  0 20:28 pts/0    00:00:00 ps -ef