Hallo zusammen,
mit meinem cups tut sich seltsames, was ich nicht so recht einordnen kann, vielleich weiß ja wer von euch genaueres. Erstes Symptom: Im Spooler stapeln sich diverse Jobs- in erster Linie Testseiten (wenn man mal einen drucken lässt, kommt als zweites irgend etwas undefinierbares). Im tmp-ordner ebenfalls eine Menge seltsamer Dateien mit kryptischen Namen (gs_klXcv, ö.ä.)
Der access-log zeigt, das eines Tages ein gründlicher Test abgelaufen ist, allerdings von localhost (?) aus. Die Große Mehrzahl der Versuche scheint erfolglos verlaufen zu sein (Error-Code 404/5). Eine handvoll Zeilen mit 200 macht mich allerdings stutzig- sowas wie die hier:
localhost -- new 1234567890 admin [datum] "Get HTTP/1.1" 200 1604
localhost -- /admin/non-existant-764098393 [datum] "Get HTTP/1.1" 200 2861
oder
localhost -- comcomcom...
Weil gleich zu Anfang anscheinend nach Nessus-Berichten gesucht wurde, hatte ich zunächst überlegt, ob das von einem Selbsttest mit Nessus herrühren könnte (den ich irgendwann mal gemacht habe). Aber kann es sein, dass Nessus gegen localhost etwas bleibendes anrichtet...?
Ich hoffe, das lesen ein paar Leute, die sich damit etwas besser auskennen als ich: Wie würdet ihr diese Indizien deuten- Einbruch oder Betriebsunfall?
Den einen oder anderen Hinweis könnte ich da mal gebrauchen...
Greetings
bernd
(Falls wichtig: Habe auf diesem System Knoppix 3.4 fest installiert)