rkhunter

loddar · Beitrag von **loddar** » 13.09.2005 17:31:05

rkhunter -c

gibt folgendes aus:

Checking for differences in user accounts... Found differences
Info:
----------------------
< gkrellmd116:65534::/var/run:/bin/false
< ntop121:121::/var/lib/ntop:/bin/false
----------------------
Info: Some items have been added (items marked with '<')
Checking for differences in user groups... Found differences
Info:
----------------------
< ntop121:

weiss da jemand was zu?

Silke · Beitrag von **Silke** » 13.09.2005 17:38:38

Moin,

gkrellmd ist ein grafisches Systemueberwachungstool, ntop ist ein Netzwerkmonitor -
beide legen jeweils einen Systemuser an. Das sieht also ziemlich normal aus - falls
du dir die beiden Tools wissentlich installiert hast.

Gruss,
- Silke -

loddar · Beitrag von **loddar** » 13.09.2005 19:04:40

Message 35:
From logcheck@localhost.localdomain Mon Aug 15 08:02:32 2005
Envelope-to: loddar@kahuna
Delivery-date: Mon, 15 Aug 2005 08:02:32 +0200
To: loddar@kahuna
Subject: kahuna 2005-08-15 08:02 System Events
From: logcheck@localhost.localdomain
Date: Mon, 15 Aug 2005 08:02:31 +0200

This email is sent by logcheck. If you wish to no-longer receive it,
you can either deinstall the logcheck package or modify its
configuration file (/etc/logcheck/logcheck.conf).

System Events
=-=-=-=-=-=-=
Aug 15 07:10:15 localhost sshd[16791]: Illegal user patrick from 219.140.255.133
Aug 15 07:10:18 localhost sshd[16793]: Illegal user patrick from 219.140.255.133
Aug 15 07:10:47 localhost sshd[16805]: Illegal user rolo from 219.140.255.133
Aug 15 07:10:57 localhost sshd[16808]: Illegal user iceuser from 219.140.255.133
Aug 15 07:11:00 localhost sshd[16810]: Illegal user horde from 219.140.255.133
Aug 15 07:11:08 localhost sshd[16816]: Illegal user cyrus from 219.140.255.133
Aug 15 07:11:13 localhost sshd[16818]: Illegal user www from 219.140.255.133
Aug 15 07:11:16 localhost sshd[16820]: Illegal user wwwrun from 219.140.255.133

Code: Alles auswählen

kahuna:~# whois 219.140.255.133
% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      219.140.0.0 - 219.140.255.255
netname:      CHINANET-HB-WH
country:      CN
descr:        Chinanet network in Wuhan city Hubei province
admin-c:      CHW9-AP
admin-c:      CHA1-AP
tech-c:       YH51-AP
tech-c:       WX145-AP
status:       ASSIGNED NON-PORTABLE
changed:      zhangyl@dc.wh.hb.cn 20030922
mnt-by:       MAINT-CN-CHINANET-HB
source:       APNIC

role:         CHINANET HB WH
address:      No.1 HongShan Road Wuhan city
address:      Hubei Province P.R.China
country:      CN
phone:        +86-27-87811065
phone:        +86-27-87897599
fax-no:       +86-27-87811653
e-mail:       ip_admin_wh@public.wh.hb.cn
trouble:      send spam reports to spam_wh@public.wh.hb.cn
trouble:      and abuse reports to abuse_wh@public.wh.hb.cn
trouble:      Please include detailed information and
trouble:      times in GMT+8
admin-c:      WX145-AP
tech-c:       YH51-AP
tech-c:       WX145-AP
nic-hdl:      CHW9-AP
notify:       ip_admin_hb@public.wh.hb.cn
mnt-by:       MAINT-CN-CHINANET-HB
changed:      zhangyl68@public.wh.hb.cn 20031114
source:       APNIC

role:         CHINANET HB ADMIN
address:      8th floor of JinGuang Building
address:     #232 of Macao Road
address:      HanKou Wuhan Hubei Province
address:      P.R.China
country:      CN
phone:        +86 27 82862199
fax-no:       +86 27 82861499
e-mail:       ip_admin_hb@public.wh.hb.cn
trouble:      send spam reports to spam_hb@public.wh.hb.cn
trouble:      and abuse reports to abuse_hb@public.wh.hb.cn
trouble:      Please include detailed information and
trouble:      times in GMT+8
admin-c:      YZ83-AP
admin-c:      ZC77-AP
tech-c:       YZ83-AP
tech-c:       ZC77-AP
nic-hdl:      CHA1-AP
notify:       ip_admin_hb@public.wh.hb.cn
mnt-by:       MAINT-CN-CHINANET-HB
changed:      zhangyl68@public.wh.hb.cn 20031114
source:       APNIC

person:       WANG XI
address:      No.1 Hongshan Road
address:      Wuchang, Wuhan,Hubei province
address:      P.R.China
country:      CN
phone:        +86-27-87270127
fax-no:       +86-27-87313806
e-mail:       wxi@dc.wh.hb.cn
nic-hdl:      WX145-AP
mnt-by:       MAINT-CN-CHINANET-HB
changed:      jennyzhang@21cn.com 20020409
source:       APNIC

person:       Ying Hai
nic-hdl:      YH51-AP
e-mail:       yhai@dc.wh.hb.cn
address:      No.1 HongShan Road
address:      Wuhan Hubei province
address:      P.R.China
phone:        +86-27-87811065
fax-no:       +86-27-87811653
country:      CN
changed:      zhangyl@dc.wh.hb.cn 20030919
mnt-by:       MAINT-NEW
source:       APNIC

was soll man(n)/frau davon halten?

wie kann ich nachschauen welches programm wann installiert wurde (ntop+gkrellmd)?

mauser · Beitrag von **mauser** » 13.09.2005 21:22:41

hi,

die ssh attacken gehören doch mittlerweile schon zum normalen internet-hintergrundrauschen. wenn du vernünftige passwörter hast und kein root login erlaubt ist, sollte das kein problem darstellen..
mfg
mauser

loddar · Beitrag von **loddar** » 13.09.2005 22:38:04

ssh root login ist in meinem ssh.conf skript nicht möglich.
ich denke also, dass zusammen mit "gemischten passwort" (zahlen buchstaben) nichts passieren dürfte.

theM · Beitrag von **theM** » 18.10.2005 19:09:34

ich würde auf jedenfall auch noch andere tools wie chkrootkit antivir und kaspersky av drüber laufen lassen, um eventuelle rootkits aufzuspüren, wenn wirklich ein oder mehrere rootkits drauf sind, solltest du den computer als nicht mehr vertrauenswürdig ansehen, daher sollte das betriebssystem neu installiert werden ...

mistersixt · Beitrag von **mistersixt** » 20.10.2005 14:51:58

Na na na, nicht gleich den Rechner platt machen

! Beim loddar wurden einfach neue User angelegt beim Installieren von neuen Paketen und es hat Jemand eine User-Ratestunde beim ssh eingelegt. Kein Grund zur Panik in diesem Fall

!

Gruss, mistersixt.

debianforum.de

rkhunter

rkhunter

illegal user?