Heute wurde mein PC gehackt. Die Platte fing plötzlich zu rödeln an.
Das kam mir merkwürdig vor. In der Systemüberwachung fand ich einen
Benutzer Nobody der die Programme find und su laufen hatte.
Da durchsuchte also jemand meinen Rechner.
Ich habe sofort das Netzwerkkabel abgezogen und den PC ausgeschaltet.
Und nach einem Neustart die Benutzer Passwörter geändert.
Da ich nicht weiß ob der Angreifer schon root Rechte hatte, muß ich wohl vom
schlimmsten Fall ausgehen.
Wie kann ich herausfinden wo der Angreifer reinkam?
Welche Logdateien sind jetzt interessant?
Ich verwende Kanotix:
Die Prozesse die momentan laufen:Code:Linux tux 2.6.17-kanotix-1 #1 SMP PREEMPT Mon Jun 19 23:40:22 CEST 2006 i686 GNU/Linux
Code:root@tux:/home/stefan# ps -ef UID PID PPID C STIME TTY TIME CMD root 1 0 0 20:20 ? 00:00:01 init [5] root 2 1 0 20:20 ? 00:00:00 [migration/0] root 3 1 0 20:20 ? 00:00:00 [ksoftirqd/0] root 4 1 0 20:20 ? 00:00:00 [watchdog/0] root 5 1 0 20:20 ? 00:00:00 [events/0] root 6 1 0 20:20 ? 00:00:00 [khelper] root 7 1 0 20:20 ? 00:00:00 [kthread] root 9 7 0 20:20 ? 00:00:00 [kblockd/0] root 10 7 0 20:20 ? 00:00:00 [kacpid] root 82 7 0 20:20 ? 00:00:00 [kseriod] root 135 7 0 20:20 ? 00:00:00 [pdflush] root 136 7 0 20:20 ? 00:00:00 [pdflush] root 137 1 0 20:20 ? 00:00:00 [kswapd0] root 138 7 0 20:20 ? 00:00:00 [aio/0] root 139 7 0 20:20 ? 00:00:00 [xfslogd/0] root 140 7 0 20:20 ? 00:00:00 [xfsdatad/0] root 217 7 0 20:20 ? 00:00:00 [cqueue/0] root 287 7 0 20:20 ? 00:00:00 [ata/0] root 316 7 0 20:20 ? 00:00:00 [kcryptd/0] root 317 7 0 20:20 ? 00:00:00 [kmpathd/0] root 318 7 0 20:20 ? 00:00:00 [kmirrord] root 319 7 0 20:20 ? 00:00:00 [kedac] root 355 7 0 20:20 ? 00:00:00 [kjournald] root 433 1 0 20:20 ? 00:00:00 udevd --daemon root 641 7 0 20:20 ? 00:00:00 [khubd] root 646 7 0 20:20 ? 00:00:00 [kgameportd] root 651 7 0 20:20 ? 00:00:00 [kpsmoused] root 824 7 0 20:21 ? 00:00:00 [shpchpd] root 1135 7 0 20:21 ? 00:00:00 [kjournald] root 1490 1 0 20:21 ? 00:00:00 /sbin/syslogd root 1500 1 0 20:21 ? 00:00:00 /sbin/klogd -x root 1588 1 0 20:21 ? 00:00:00 /usr/sbin/acpid -c /etc/acpi/everoot 1614 1 0 20:21 ? 00:00:00 /usr/sbin/cupsd 108 1626 1 0 20:21 ? 00:00:00 /usr/bin/dbus-daemon --system 115 1634 1 0 20:21 ? 00:00:02 /usr/sbin/hald root 1635 1634 0 20:21 ? 00:00:00 hald-runner 115 1641 1635 0 20:21 ? 00:00:00 hald-addon-acpi: listening on ac115 1651 1635 0 20:21 ? 00:00:00 hald-addon-keyboard: listening oroot 1661 1635 0 20:21 ? 00:00:00 hald-addon-storage: polling /devroot 1663 1635 0 20:21 ? 00:00:00 hald-addon-storage: polling /devdaemon 1697 1 0 20:21 ? 00:00:00 /usr/sbin/atd root 1704 1 0 20:21 ? 00:00:00 /usr/sbin/cron root 1718 1 0 20:21 ? 00:00:00 /usr/bin/kdm root 1731 1718 2 20:21 tty7 00:00:13 /usr/X11R6/bin/X -nolisten tcp -root 1748 1 0 20:21 tty1 00:00:00 /sbin/getty 38400 tty1 root 1749 1 0 20:21 tty2 00:00:00 /sbin/getty 38400 tty2 root 1750 1 0 20:21 tty3 00:00:00 /sbin/getty 38400 tty3 root 1751 1 0 20:21 tty4 00:00:00 /sbin/getty 38400 tty4 root 1752 1 0 20:21 tty5 00:00:00 /sbin/getty 38400 tty5 root 1753 1 0 20:21 tty6 00:00:00 /sbin/getty 38400 tty6 root 1764 1718 0 20:21 ? 00:00:00 -:0 stefan 1782 1764 0 20:22 ? 00:00:00 /bin/sh /etc/xdg/xfce4/xinitrc stefan 1833 1782 0 20:22 ? 00:00:00 /usr/bin/ssh-agent /usr/bin/dbusstefan 1836 1 0 20:22 ? 00:00:00 /usr/bin/dbus-launch --exit-withstefan 1837 1 0 20:22 ? 00:00:00 /usr/bin/dbus-daemon --fork --prstefan 1845 1782 0 20:22 ? 00:00:00 /usr/bin/xfce4-session stefan 1849 1 0 20:22 ? 00:00:00 xfce-mcs-manager stefan 1851 1 0 20:22 ? 00:00:00 kdeinit Running... stefan 1855 1 0 20:22 ? 00:00:00 dcopserver [kdeinit] --nosid stefan 1857 1851 0 20:22 ? 00:00:00 klauncher [kdeinit] stefan 1859 1 3 20:22 ? 00:00:15 kded [kdeinit] stefan 1862 1 0 20:22 ? 00:00:00 /usr/lib/gamin/gam_server stefan 1867 1 4 20:22 ? 00:00:15 xfwm4 --sm-client-id 117f0000010stefan 1869 1 0 20:22 ? 00:00:01 xfdesktop --sm-client-id 117f000stefan 1871 1 4 20:22 ? 00:00:16 xfce4-panel & --sm-client-id 117stefan 1874 1 9 20:22 ? 00:00:33 ksysguard -session 117f000001000stefan 1875 1871 4 20:22 ? 00:00:17 /usr/lib/xfce4/panel-plugins/xfcstefan 1876 1871 4 20:22 ? 00:00:15 /usr/lib/xfce4/panel-plugins/xfcstefan 1881 1 4 20:23 ? 00:00:15 kio_uiserver -session 117f000001stefan 1883 1 10 20:23 ? 00:00:30 /usr/lib/firefox/firefox-bin stefan 1886 1874 0 20:23 ? 00:00:02 ksysguardd stefan 1890 1 0 20:23 ? 00:00:00 /usr/lib/libgconf2-4/gconfd-2 10stefan 1899 1 7 20:25 ? 00:00:16 xfce4-terminal stefan 1900 1899 0 20:25 ? 00:00:00 gnome-pty-helper stefan 1901 1899 0 20:25 pts/0 00:00:00 bash root 1920 1901 0 20:26 pts/0 00:00:00 su root 1921 1920 0 20:26 pts/0 00:00:00 bash root 1932 1921 0 20:28 pts/0 00:00:00 ps -ef
Lesezeichen