Er CC boksen min infisert?

[DrDoogie]

Viser til denne tråden, og lurer på om jeg er paranoid eller har grunn til mistanke.

 

Inntrykket mitt er at noen har fått root på boksen min, og kjører nmap-ping og id ut mot internett.

 

Her er det da noen prossesser som jeg er litt mistenksom til:

root      1534  0.0  0.0  1956    4 ?        S    Jan17   0:00 /bin/su admin --command=/usr/bin/lynx -cfg=/usr/local/system/c
onfigs/console/lynx.cfg -nobrowse https://localhost:81/console/

admin     1535  0.0  0.0  5268    4 ?        S    Jan17   0:01 /usr/bin/lynx -cfg=/usr/local/system/configs/console/lynx.cfg
-nobrowse https://localhost:81/console/

root     25653  0.0  0.0     0    0 ?        SW   Jan20   0:00 [rpciod]

 

Er det da en fiks detektiv-metode jeg kan bruke for å få klarhet i dette?

[kattemat]

Hva sier netstat?

hva sier last?

[DrDoogie]

Hva sier netstat?

hva sier last?

Ikke noe særlig, men er boksen min infisert så er det heller ikke å forvente.

[kattemat]

Ok - er jo mulig at du har et rootkit...

Hva er innholdet av /usr/local/system/configs/console/lynx.cfg da?

[Linuxguru]

Klarer du å boote en live-cd f.eks., som du kan stole på at innholdet er korrekt, så kan du kjøre chkrootkit - den kan plukke opp endel rootkits. chkrootkit til meg viste for en tid tilbake at innslag i wtmp var slettet, noe som tyder på at en inntrenger har slettet spor etter seg. Etter _mye_ arbeid viste det seg at hvis boksen av en eller annen grunn krasjer, så klarer ikke reiserFS å spole tilbake journalen og det dukker opp en "deletion" i wtmp.

 

Men som sagt, kjør chkrootkit fra et sikkert medium som du stoler på.

 

Edit: Merk at det er VIKTIG at du kjører chkrootkit fra et sikkert medium. Alt annet kan du ikke stole på.

Endret 23. januar 2004 av Linuxguru