SSH connection - Trojaner?

**PeterOaul** · 03.06.07, 19:07

Hi,

beim einloggen auf einem Server einer kleinen Softwarefirma fuer die ich nebenher arbeite passierte folgendes:

Using username "kaiser".
kaiser@87.106.63.230's password:
Last login: Sun Jun 3 15:52:14 2007 from manni.inf.shef.ac.uk
Kennwort:
Entschuldigung.
[kaiser@s15333846 ~]$

Erklaerung:
Ich habe mich mit meinem Benutzernamen und Passwort angemeldet und sties dann auf die Meldung "Kennwort:". Was immer ich auch eingebe, es folgt danach die Zeile "Entschuldigung" (Ich hab's nicht mit meinem echten Kennwort versucht. ;-)

Mit sieht das nach Trojaner aus. Das Ganze scheint aber nicht besonders intelligent gemacht. Weiss jemand genau was hier los ist? Wie heisst das Ding und wie wird man es los?

Gruss,
Mark

**marce** · 03.06.07, 20:20

(1) editiere lieber die IP raus
(2) Informiere den Admin, darüber - wenn er was davon weiss, ok, ansonsten weiss er nun, dass er ein Problem hat...

**PeterOaul** · 03.06.07, 20:42

zu (1): Die IP in obiger Mail ist nicht die wirkliche IP
zu (2): Habe ich getan. Der hat dummerweise auch nicht viel mehr Ahnung als ich. (Ich weiss, das sollte so nicht sein. Ich kann aber nix dran aendern. Und auf dem Server soll auch sensibeler Code von mir. (Den ich bis jetzt wegen genanntem Problem nicht hochgeladen habe))

Koennte das irgendetwas anderes sein ausser ein Trojaner?

**stefan-tiger** · 03.06.07, 21:27

Zitat von PeterOaul

...
Koennte das irgendetwas anderes sein ausser ein Trojaner?

Im einfachsten Fall eine simple Welcome-Message entweder von/für

- SSH-Login
- globale Shell
- Benutzer Shell

also sowas wie /etc/motd oder eine .bashrc

**PeterOaul** · 03.06.07, 21:35

> Im einfachsten Fall eine simple Welcome-Message entweder von/für
>
> - SSH-Login
> - globale Shell
> - Benutzer Shell

Eine Wecome-Message die nach einem "Kennwort" fragt?

**eule** · 03.06.07, 21:47

Zitat von PeterOaul

zu (1): Die IP in obiger Mail ist nicht die wirkliche IP

Nein, du hast einfach die IP eines fremden Rechners genommen. Sowas ist auch nicht besonders nett. St. Florian oder was?

**towo2099** · 03.06.07, 21:49

Ich würde mal behaupten, da wird ein su ausgeführt.

**PeterOaul** · 04.06.07, 14:39

su auf der maschine sieht so aus:

Password:
su: ungÃ¼ltiges Kennwort

Das kann es also nicht wirklich sein?

Ich verstehe nicht wirklich viel von Linux, aber da ist wohl ein script direct nach dem login am laufen. Wo werden diese denn aufgerufen?

**zyrusthc** · 04.06.07, 15:50

Warte doch erst einmal auf Antwort vom Admin!
Den nur er kann dort was machen.

Greeez Oli

**stefan-tiger** · 04.06.07, 16:22

Zitat von PeterOaul

> Im einfachsten Fall eine simple Welcome-Message entweder von/für
>
> - SSH-Login
> - globale Shell
> - Benutzer Shell

Eine Wecome-Message die nach einem "Kennwort" fragt?

Zitieren geht anders

Was hindert dich mal eben in die entsprechenden Dateien hineinzuschauen?
Evtl. wird gerade von dort ein anderes Script/Programm aufgerufen.

**PeterOaul** · 04.06.07, 23:17

Jungs,

Der Admin wird mir auch nix sagen koennen, der weiss naemlich so wie ich das einschaetze auch nicht mehr als ich...

Ich, fuer meinen Teil, habe NULL Ahnung von dem ganzen Zeugs. In welche Dateien soll ich reinschauen?

Gruss,
Mark

**marce** · 05.06.07, 06:14

... aber er ist der Admin, er hat die Rechte und damit die Chance (und evtl. Pflicht) nachzuschauen.

Ansonsten - bei Dir gibt's vermutlich sowas wie ein .profile, .bashrc (die üblichen Verdächtigen, über die Suchfunktion dürfte sich noch ein bisschen mehr finden lassen). Welche genau dürfte von Distribution und Installation abhängen. Und die kennt wiederum s.o. :-)