Linux 14.980 Themen, 106.331 Beiträge

Ich bin gehackt worden - wie werde ich das Mistsstück wieder

MoreLinux / 3 Antworten / Flachansicht Nickles

Einer meiner Rechner dient als Zugangsrouter über ISDN. Im Verlauf des November oder Dezember hat sich irgendein A.... dort eingenistet.
Gemerkt habe ich es leider erst jetzt vor kurzem als meine Telefon/Internetrechnung kam.
Auf dem Rechner ist ein IP-Table-Filter installiert, das die meisten Ports abfängt. Lediglich die Ports für FTP, Mail, HTTP usw. sind offen. Offensichtlich hatte ich auch ein Sendmail lokal laufen. In den Maillogs fand ich einige Mails merkwürdigen Ursprungs.
Sendmail ist jetzt ausgeschaltet, trotzdem versucht irgend etwas auf der Kiste im 20 Minuten-Takt eine Internetverbindung aufzubauen. Im Messages-Log tritt dann immer nur die Meldung ---MARK--- auf.
Brauche dringend einen Tipp, wie ich herausfinde, wo das Miststück sitzt und wie ich es los werde. Im schlimmsten Fall muss ich die Maschine platt machen und neu aufsetzen.

bei Antwort benachrichtigen
Klaus_T MoreLinux „Ich bin gehackt worden - wie werde ich das Mistsstück wieder“
Optionen

Wie kommst du auf den Trichter, dass du gehackt worden bist? Konfiguriere die Kiste anstaendig, dann waehlt er sich auch nicht immer ein.
Schau mit einem Sniffer nach, wer da immer Verbindungen aufbaut. Ich gehe mal davon aus, dass das DNS-Anfragen sind.
Die --Mark-- sind Markierungen vom syslogd, um dir anzuzeigen, dass er noch laeuft.
Klaus

bei Antwort benachrichtigen