Einer meiner Rechner dient als Zugangsrouter über ISDN. Im Verlauf des November oder Dezember hat sich irgendein A.... dort eingenistet.
Gemerkt habe ich es leider erst jetzt vor kurzem als meine Telefon/Internetrechnung kam.
Auf dem Rechner ist ein IP-Table-Filter installiert, das die meisten Ports abfängt. Lediglich die Ports für FTP, Mail, HTTP usw. sind offen. Offensichtlich hatte ich auch ein Sendmail lokal laufen. In den Maillogs fand ich einige Mails merkwürdigen Ursprungs.
Sendmail ist jetzt ausgeschaltet, trotzdem versucht irgend etwas auf der Kiste im 20 Minuten-Takt eine Internetverbindung aufzubauen. Im Messages-Log tritt dann immer nur die Meldung ---MARK--- auf.
Brauche dringend einen Tipp, wie ich herausfinde, wo das Miststück sitzt und wie ich es los werde. Im schlimmsten Fall muss ich die Maschine platt machen und neu aufsetzen.
Linux 14.981 Themen, 106.344 Beiträge
... Du solltest die Kiste *sofort* platt machen. Wenn der Angreifer ein Rootkit benutzt hast, sind deine Systembefehle kompromittiert und enthalten Backdoors. Alles platt ist da die einzige annähernd sichere Lösung. Ich würde das gesamte Netz neu aufsetzen - wenn der Angreifer einen Sniffer eingesetzt hat, kommt er auf alle Kisten im gesamten Netz drauf - auch auf den Kisten im Netz können Backdoors/Trojaner sein.