[linux] geroot?
paai
j.j.paijmans op gmail.com
Ma Okt 14 09:25:32 CEST 2013
Hoi,
bij mijn laatste rkhunter-check zag ik een hele hoop warnings op commandos in /usr/bin. Bovendien een vreemde entry in /etc/passwd
met de inhoud '$:x:1003:1003:Comment:/dev/null:/dev/null'
Nu weet ik dat rkhunter af en toe false positives geeft, en als letterlijk iedere file in /bin, /usr/bin en /sbin is veranderd, denk ik toch eerder aan een probleem bij een update dan aan een rootkit. Maar die user met de naam '$' zit me niet lekker.
Een tweede systeem in hetzelfde netwerk geeft wel dezelfde warnings op de /bin /sbin en /usr/bin files, maar geen verdachte user in /etc/passwd
Iemand suggesties, behalve een hele nieuwe installatie?
Paai
--
Dr. J.J. Paijmans
Tilburg University: Dept. of Linguistics & AI 013-4662693
Thuis: Houwenberg 2A, 5985 PE Grashoek (L) 077 888 05 77
http://paai.uvt.nl http://paijmans.net GSM: +31 621 961 083
More information about the Linux
mailing list