Bandbreite zu gering (was: virus?)

MustrumRidcully · Beitrag von **MustrumRidcully** » 16.06.2005 04:35:39

hi all,

es sieht so aus, als gäbe es tatsächlich einen virus zu vermelden.

debian sarge auf amd 1,5 GHZ, 1GB RAM, pppoe-dsl connection.

am sonntag, den 12.6., bemerkte ich zum ersten mal einen starken verlust an bandbreite: statt der üblichen 100k downstream kamen nur noch maximal 3k zu stande. ich dachte, mein isp wäre schuld, hab den angerufen, ne stunde später war alles wieder normal, ich hab die sache vergessen.

gestern, 15.6. das gleiche spiel wieder: nach dem einschalten des rechners und dem start der ppp-connect: maximal 3k downstream. ich hab also wieder meinen isp vollgenölt, aber diesmal hat der meinen anschluss gemessen und festgestellt, dass der fehler nicht bei ihnen liegt, sondern mein rechner sich en virus eingefangen haben muss. ich hielt das zunächst für blödsinn. aaaber:

/var/lib/aide/aide.db war nicht mehr da!
/var/run/pppd.tdb enthält einträge: "SPEED=38400"!

seltsam, gell? ich hab bisher nicht herausfinden können, wo sich das ding versteckt hat. jetzt hab ich mir gedacht, ich sage pppd seine geschwindigkeit vor: ich habe die pppd.gelöscht und in ppp_onboot_dsl die baudrate 115200 direkt eingetragen. so steht sie nach nem neustart des pppd auch in der tdb. nur geändert hat sich nichts.

kennt jemand das prob und weiß vll. sogar ne lösung?

TCA · Beitrag von **TCA** » 16.06.2005 06:52:13

Willkommen im Forum.

Virus ist sehr unwahrscheinlich.
Probiere mal chkrootkid aufzurufen als root.

Alternativ gibt es auch noch rkhunter.

Vielleicht noch mal ein Artikel über Linuxviren.

http://www.linuxenterprise.de/itr/onlin ... eid,9.html

crazyed · Beitrag von **crazyed** » 16.06.2005 07:11:31

Moin,

probiere lieber chkrootkit

Beitrag von **blackm** » 16.06.2005 08:52:51

Von Neuigkeiten weggeschoben und Titel geaendert.

by, Martin

MustrumRidcully · Beitrag von **MustrumRidcully** » 16.06.2005 11:42:45

TCA hat geschrieben: Virus ist sehr unwahrscheinlich.
Probiere mal chkrootkid aufzurufen als root.

Alternativ gibt es auch noch rkhunter.

danke für die tipps. aber beide sind apt-cache unbekannt.

laut modinfo sei das byte 5 für die ethernet-karte (chipset RTL-8139) auf 100 Mbps gesetzt. ich hab jetzt meiner ansicht nach noch 2 möglichkeiten:
1.) neuen kernel backen (2.6.8-1 is ja auch schon wat alt)
2.) ne andere netzwerkkarte einbauen.
wenn ich dann immer noch die geringe bandbreite hab, kann's an mir nicht mehr liegen, und der isp muss löhnen...

mistersixt · Beitrag von **mistersixt** » 16.06.2005 14:43:05

Code: Alles auswählen

mars:~# apt-cache search chkrootkit
chkrootkit - Checks for signs of rootkits on the local system
mars:~#

http://www.rootkit.nl/projects/rootkit_hunter.html

Gruss, mistersixt.

meandtheshell · Beitrag von **meandtheshell** » 16.06.2005 14:59:15

MustrumRidcully hat geschrieben:
danke für die tipps. aber beide sind apt-cache unbekannt.

welches release hast du? welche kernel version usw.?
mach einmal

Code: Alles auswählen

uname -a

und poste

hast du vor dem

Code: Alles auswählen

apt-cache search <some_package_name>

ein

Code: Alles auswählen

apt-get update && apt-get upgrade

gemacht?

MustrumRidcully · Beitrag von **MustrumRidcully** » 16.06.2005 15:40:16

ein apt-get update hab ich selbstverständlich vorher aufgerufen. ich hab debian 3.1 = sarge - und so steht's auch in sources.list. nachdem ne ganze zeit lang 'testing' drin gestanden hat. der rechner war frisch aufgesetzt mit nem testing-sarge,