[linux] Gepakt?

[Hans Paijmans]

Ik vrees uit principe altijd het ergste, en het overkomt
me regemltig dat ik denk gehackt te zijn, als er in feite
niets aan de hand is. Maar nu heb ik toch een probleem.

Het valt me sinds gister op dat de 'greyed out' letters
in Mozilla-menus enzo periodiek wel heel erg 'greyed out'
zijn (onleesbaar).

Hieronder heb ik de verschijnselen opgesomd. Voordat ik de
hele zaak leegschrob, zou ik graag willen uitzoeken wat
er precies gebeurd is, hoe ik dat kan opsporen en hoe ik
het kan voorkomen.



-------------------
De host op het lokale net waar ik op werk, heeft een volledig
lege /var/log/messages.

chkrootkit-045 op deze host rapporteert:

...
Checking `bindshell'... INFECTED (PORTS:  4000)
...


-------------------
De firewall, een debian server (op een Sun) heeft in z'n /var/log/messages
alleen nog maar


Apr 10 06:47:22 liegnitz syslogd 1.4.1#10: restart.
Apr 11 06:26:18 liegnitz syslogd 1.4.1#10: restart.
Apr 11 20:54:56 liegnitz kernel: NET: 6 messages suppressed.
Apr 11 22:13:58 liegnitz kernel: NET: 4 messages suppressed.
...

staan.

chkrootkit rapporteert hier echter geen problemen met bindshell.



-- 
Dr. J.J. Paijmans
Tilburg University, Faculty of Arts,        Dept. of Linguistics & AI
Tilburg, Netherlands (+31) (0)13-4662693    http://pi0959.kub.nl
Home: Elzenstraat 1, 5581 VS Waalre,        http://paijmans.net