Einer meiner Rechner dient als Zugangsrouter über ISDN. Im Verlauf des November oder Dezember hat sich irgendein A.... dort eingenistet.
Gemerkt habe ich es leider erst jetzt vor kurzem als meine Telefon/Internetrechnung kam.
Auf dem Rechner ist ein IP-Table-Filter installiert, das die meisten Ports abfängt. Lediglich die Ports für FTP, Mail, HTTP usw. sind offen. Offensichtlich hatte ich auch ein Sendmail lokal laufen. In den Maillogs fand ich einige Mails merkwürdigen Ursprungs.
Sendmail ist jetzt ausgeschaltet, trotzdem versucht irgend etwas auf der Kiste im 20 Minuten-Takt eine Internetverbindung aufzubauen. Im Messages-Log tritt dann immer nur die Meldung ---MARK--- auf.
Brauche dringend einen Tipp, wie ich herausfinde, wo das Miststück sitzt und wie ich es los werde. Im schlimmsten Fall muss ich die Maschine platt machen und neu aufsetzen.
Linux 14.980 Themen, 106.331 Beiträge
Wie kommst du auf den Trichter, dass du gehackt worden bist? Konfiguriere die Kiste anstaendig, dann waehlt er sich auch nicht immer ein.
Schau mit einem Sniffer nach, wer da immer Verbindungen aufbaut. Ich gehe mal davon aus, dass das DNS-Anfragen sind.
Die --Mark-- sind Markierungen vom syslogd, um dir anzuzeigen, dass er noch laeuft.
Klaus