gehackt, nicht gehackt, sicher oder nicht sicher

[berlinerbaer]

Hallo,
offen gesagt, zur Zeit fühle ich mich nicht mehr wohl in meiner Haut mit meinem Debian5. Ich dachte immer, wenn man kein Windows mehr auf dem Rechner hat, kann einem sowas nicht passieren.

Auf meinem Arbeitsrechner ist Debian5 von Anbeginn an, seit es die Version 5 gibt, drauf. Aktualisiert wird immer, wenn sich die Aktualisierungsverwaltung meldet. Auch ist die reine Lenny da drauf, keine Sid-Komponenten, wie auf einem anderen Rechner. Ich habe peinlichst darauf geachtet, das "reine Debian 5 nicht zu verfälschen" - Das gibt mir hundertprozentige Sicherheit, dachte ich zumindest.

Da ich nicht so ganz in den Dingen drin stehe, wie berufliche Profis, habe ich mir auf dem besagten täglichen Arbeitsrechner "Arnos Firewall" installiert, weil der angeblich für DSL schon vorkonzipiert war. Der Firewall ist immer gestartet. Alle Ports von außen nach innen sind zu, es sind nur paar Ports von innen nach außen auf, damit Homebanking geht und auch das Surfen im Netz möglich ist. Und nun die Probleme:

Zum ersten, ein lästiges Problem:
Trotzdem nistet sich da scheinbar "was" ein. Beim Hochfahren des Rechners kriege ich immer wieder ein und das gleiche Viagra-Mail und genau diese Mails kommen alle 15 Minuten wieder - inzwischen habe ich den Eindruck, dass auf meiner Festplatte was sitzt, was mir die Mails selbst schickt - quasi schickt sich mein System diese Mails selbst. Der Spamfilter ist wirkungslos, dieses Mail schafft es immer wieder ihn zu umgehen. Kann ich das irgendwie finden, ohne meine Einstellungen komplett kaputt machen zu müssen? Auch diese komischen Casino-Mails schaffen das, aber die ind inzwischen glücklicherweise weggeblieben. Andere Mails - wie Post vom Anwalt oder Gewinn abholen und unerwünschte Werbemails filtert der Spamfilter problemlos weg.

Das zweite ist nicht lästig, aber bedenklich. Das belastet mich mehr, wie die nervigen Mails.
Zum zweiten, in bestimmten Abständen und zwar auffallend immer dann, wenn ich iceweasel gestartet habe, fängt der Prozessor (1,7GHz mit 1024 RAM) so richtig auf "Vollast" zu gehen und wühlt minutenlang mit 100% rum, das ganze System steht mitunter sogar, kein Klick reagiert mehr, die Maus steht fest, die Festplatte rattert wie ein Maschinengewehr. Ich habe zwei Festplatten a 400GB drin und kriege das Gefühl nicht los, dass die Kiste laufend die Festplatten nach irgendwas durchsucht.
Der ganze Spuk widerholt sich beim nächsten Aufruf von iceweasel oder wenn iceweasel nicht geschlossen wurde, etwa nach 5 Minuten.
Beagle oder solchen Sucherdinger habe ich nicht installiert, soweit ich das übersehen kann jedenfalls.
Was kann das sein, was da arbeitet?

Inzwischen bin ich mir so unsicher, dass ich fast die gesamte Installation infrage stellen könnte.

[jeff84]

Installiere dir mal htop. Damit kannste mal schauen, was die 100% CPU-Last verursacht.

Das mit den Mails klingt merkwürdig, kann mir aber eher nicht vorstellen, dass die von deinem PC direkt versendet werden. Wie rufst du denn die Mails ab? Thunderbird, Kmail, Evolution? Tauchen die auch direkt beim Anbieter im Webmailer auf? Dann kannst du nämlich ausschließen, dass die von deinem Rechner kommen...

[Danielx]

Beim Hochfahren des Rechners kriege ich immer wieder ein und das gleiche Viagra-Mail und genau diese Mails kommen alle 15 Minuten wieder - inzwischen habe ich den Eindruck, dass auf meiner Festplatte was sitzt, was mir die Mails selbst schickt - quasi schickt sich mein System diese Mails selbst.

Wenn du deine E-Mail von dem Server deines E-Mail-Anbieters abholen solltest, dann logge dich doch mal von einem anderen Rechner per Webinterface in dein E-Mail-Konto ein uns sieh dort nach, ob diese Spam-Mails auch dort zu finden sind.
Wenn ja, dann ist dein Rechner wahrscheinlich unschuldig.

Der Spamfilter ist wirkungslos, dieses Mail schafft es immer wieder ihn zu umgehen.

Der Spamfilter lokal auf deinem Rechner oder der des E-Mail-Anbieters?
Ändert sich die Absenderadresse bei der Spam-Mail immer?

Zum zweiten, in bestimmten Abständen und zwar auffallend immer dann, wenn ich iceweasel gestartet habe, fängt der Prozessor (1,7GHz mit 1024 RAM) so richtig auf "Vollast" zu gehen und wühlt minutenlang mit 100% rum, das ganze System steht mitunter sogar, kein Klick reagiert mehr, die Maus steht fest, die Festplatte rattert wie ein Maschinengewehr.

Tritt da Problem auch mit einem anderen Iceweasel-Profil auf?
Was sagt

Code: Alles auswählen

top

und

Code: Alles auswählen

ps -fA

Wenn er denn mal wieder wühlt?

Gruß,
Daniel

[schorsch_76]

Hi berlinbär,

in welchem Programm oder "wo" kommt das "Viagra Mail" denn? Thunderbird? Evolution?

Mach mal "Speichern unter .. " und schau dir in einem Texteditor den Kopf der Mail an. Hier wird der "Sendeverlauf" normalerweise(tm) dokumentiert. Gibts hier Anhaltspunkte?

Iceweasel ist bei weitem nicht mehr "lightwight" .. leider .. Er erstellt sqlite Datenbanken die in deinem home Verzeichnis liegen. (.firefox/xxx). Wenn der Iceweasel mal gestartet hat, lösch mal den kompletten cache, und den kompletten Verlauf. Zum Test kannst du auch einfach mal den .firefox Ordner umbenennen. Dann sollte der Start fix gehen.

Wenn das ganze durch ist, lad dir chkrootkit runter und lass es über deinen Rechner laufen. Auf meinem persönlichen Rechner zuhause hab ich alle Partitionen read-only wie in [1] beschrieben. Mit dem Tip von Saxman macht mein apt automatisch die Partitionen wieder rw, wenn ich ein update fahre. unter /root/ hab ich 2 Scripts um die Partionen manuell rw zu machen bzw ro. Hier bin ich nicht ganz so paranoid (Kernel ohne Module etc) als wenn das ein Server wäre

Gruß

schorsch

[1] http://debianforum.de/forum/viewtopic.php?f=37&t=116475

[berlinerbaer]

die Mails kriege ich über icedove, der Spamfilter ist in diesem. Obgleich ich diese Mails als Spam markiere und sie so vorgemerkt sein müßten, kommen sie aber immer wieder als "sauber" durch den Filter. Übrigens auch andere Mails - z.B. Werbemails der DHU, ein homöopathischer Arzneimittelhersteller. Den kann man markieren oder sonstwas, man kann einen Filter einrichten, Mails von diesem Absender, der immer gleich ist und nichts verändert, in den Papierkorb zu befördern - es klappt nicht.

Jetzt probiere ich erstmal ob chrootkit was bringt

<los gehts>

sieht sauber aus, oder nicht ?
33445

Danielx: Lange Logs bitte nach NoPaste.