![]() |
|
Alles rund um Mac OSX & Linux: Debian möglicher Trojaner?Windows 7 Für alle Fragen rund um Mac OSX, Linux und andere Unix-Derivate. |
![]() | #1 |
![]() | ![]() Debian möglicher Trojaner? Hehyo, Ich hoffe man kann mir bezüglich Linux/Debian einwenig aushelfen. Es ist mein HomeServer mit Debian Lenny 64bit "infiziert". Zwar habe ich vor, ihn neu aufzusetzen und gleich auf Schlüssel zu setzen, anstatt Passwörter mit SSH, aber ich bin doch etwas verwirrt über meine "kleine" Beobachtung. Sicherheitshalber habe ich den Zugriff auf das Internet dem HomeServer untersagt, sodass keine Gefahr läuft, dass der Hacker es mitbekommt. Einen Hack konnte ich bemerken, weil manchmal mein Internet lahmte, weil mein NetGear Router ständig mir unbekannte IP-Adressen zeigte (interne Adressen) und weil mir die lastlog bei /var/log gelöscht wurde. Nun, nach einigen Monaten gehe ich der Sache einwenig auf den Grund, einfach mal aus Neugier, wie weit ich da zurückverfolgen kann. Meine Netstat ausgabe zeigt mir folgendes: Yeeeeha:/home/alex# netstat Aktive Internetverbindungen (ohne Server) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 HomeServer-IP:22 Mein-PC:10760 VERBUNDEN tcp 0 52 HomeServer-IP:22 Mein-PC:10759 VERBUNDEN udp 0 0 HomeServer-IP:37840 213.191.92.82:domain VERBUNDEN udp 0 0 HomeServer-IP:49788 213.191.74.12:domain VERBUNDEN Aktive Sockets in der UNIX-Domäne (ohne Server) Proto RefCnt Flags Type State I-Node Pfad unix 2 [ ] DGRAM 2454 @/org/kernel/udev/udevd unix 8 [ ] DGRAM 4862 /dev/log unix 2 [ ] DGRAM 6030 unix 3 [ ] STREAM VERBUNDEN 5806 unix 3 [ ] STREAM VERBUNDEN 5805 unix 2 [ ] DGRAM 5804 unix 3 [ ] STREAM VERBUNDEN 5779 unix 3 [ ] STREAM VERBUNDEN 5778 unix 2 [ ] DGRAM 5777 unix 2 [ ] DGRAM 5181 unix 2 [ ] DGRAM 4988 unix 2 [ ] DGRAM 4884 Die ersten beiden Verbindungen sind normal, dass ist meine SSH Verbindung (einmal Putty und einmal Filezilla). Die letzten beiden, also: udp 0 0 HomeServer-IP:37840 213.191.92.82:domain VERBUNDEN udp 0 0 HomeServer-IP:49788 213.191.74.12:domain VERBUNDEN Finde ich recht seltsam. Die beiden Adressen sind Domainserver von Hansenet/Alice. Lustigerweise war das bis vor kurzem mein Provider, inzwischen zu einem anderen gewechselt. Allerdings trotz wechsel, der HomeServer will die Domainserver von Hansenet nutzen. Meine interfaces: auto lo eth0 iface lo inet loopback allow-hotplug eth0 iface eth0 inet static address HomeServer-IP netmask 255.255.255.0 network 192.168.1.1 broadcast 192.168.1.255 gateway 192.168.1.1 dns 192.168.1.1 Die DNS entscheidet also der Router. (Welche auf den DomainServer von DynDNS verweißt.) (Internet für HomeServer ist blockiert, wird auch nur geändert, um tests durchzuführen oder wenn er neu installiert wird.) Könnt ihr mir erklären, wieso er die DNS von Hansenet will? Ist es denkbar, wenn auch unwahrscheinlich, dass Hansenet bzw. ein Mitarbeiter von denen meinen Homeserver gehackt und somit beobachtet hat? Vielleicht gibts hier ja ein paar Linuxkenner ![]() Greetz |
Themen zu Debian möglicher Trojaner? |
blockiert, dns, einfach, gehackt, gelöscht, hacker, infiziert, internet, ip-adresse, kleine, lahm, log, netgear, netstat, network, neu, passwörter, router, stream, trojaner, trojaner?, trotz, verbindungen, zugriff, zurückverfolgen |