Hilfe.... klogd1 - SUSE

Pollux

Hallo zusammen

Gibt es jemand, der bei der "Bereinigung" eines Linux-Servers behilflich sein kann? Ein Trojaner hat sich eingenistet, welcher noch keinen Unfug veranstaltet, aber vielleicht bald...

Zur Historie:
1. beim Einloggen per SSH stellte ich fest, dass der Rechner einen neuen Fingerprint hat
2. Im Mail-Log /var/log/mail gibt es Fehlermeldungen, wenn der Webserver/PHP Mails verschicken will:
sendmail[20242]: NOQUEUE: SYSERR(wwwrun): can not chdir(/var/spool/clientmqueue/): Permission denied
Die Fehlermeldung "can not chdir(/var/spool/clientmqueue/): Permission denied" ist sehr schräg

Dass da etwas nicht so läuft wie soll, ist offensichtlich. Die Analyse seitens des Providers lautet:

ich habe mir, wie besprochen, den Prozess klogd1 (PID: 34) angeschaut. Ic= h erwähnte bereits, daß der Prozess üblicherweise eine Kernelprozess ist. Dieser Prozess hat eine Verbindung zum IRC Netz Undernet aufgebaut und sendet im Moment Pinganfragen, die ich persönlich, als Signal der Erreichbarkeit werte. Es wird meiner Einschätzung nach ein Botnetz sein, an dem ihr Server im Moment angeschlossen ist und auf Befehle wartet.

Googlen bzgl. "klogd1" ergab 9 Hits und interessante Einblicke. So scheint es mir, dass es sich um den Trojaner

Troj/Linsniff-B - Spyware Trojan - Sophos threat analysis

handelt.

Das Betriebssystem auf dem Server ist ein SUSE 9.0 - ich weiss, ist schon etwas angestaubt.

So... und nun meine Fragen:
- hat jemand Erfahrung mit klogd1 bzw. klogd2
- wie kam er ins System, wo ist die Lücke?
- wie kann ich eine "Reinigung" des Systems versuchen, um eine Neuinstallation zu vermeiden ( es laufen diverse Webserver auf diesem Server, die derzeit keine Unterbrechung zulassen)

DANKE für Eure Hilfe