© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hallo...
On Sun, 05 Aug 2001, Matthias Fechner wrote:
> > Ich halte es für äußerst unwahrscheinlich, daß er da eine
> > Backdoor eingebaut hat. Wie kommst Du überhaupt auf diese
> > Vermutung?
>
> Was haelst du dennn davon?
> ----------
> root 80886 0.0 0.3 1212 676 ?? Is 2:44PM 0:00.18 ./(swapper)
> -p 50505 -f con -h key
> ----------
Jep, das sieht nach einer Backdoor aus. Der Swapper hat immer die PID 0 -
hier hat er jedoch 80886. Ausserdem ist auffällig das dieser "Swapper" aus
einem Directory gestartet wurde (sieht man am ./ ). Bei den Speicherangaben
sollte doch eigentlich auch 0 stehen - die States stimmen auch nicht.
> Und genau das ist ja das Problem, ich weiss leider nicht, wie er in das
> System gekommen ist, hab mal ein make world gemacht und update grad alle
> Daemons, hoffentlich bringt das was.
> Vermute, dass er ueber ftp(proftpd) rein gekommen ist.
Hat er alle möglichen Logs gelöscht ?
Ein kleiner Tip - wenn Du Deine Dämonen neu installierst/konfigurierst
ändere in den Sourcen (oder wenn möglich in der Konfigurationsdatei) die
Header-Ausgabe. Aus Proftpd machst Du WuFtp, aus Sendmail wird qMail ... .
Gruß,
Jörg
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sun 05 Aug 2001 - 19:57:09 CEST