[HaBo]

schmidtl_dd

Anzeige

Hi,

ich habe einen Suse Rechner, von dem ich annehme, das er kompromittiert ist. In willkürlichen Abständen versucht er Verbindungen zur Außenwelt aufbauen.

Zur Zeit steht er hinter einer Firewall, seine Versuche sind also nicht erfolgreich, so dass ich in Ruhe der Sache auf den Grund gehen kann. Nur wie?

ps und top zeigen keine verdächtigen Prozesse, netstat -pan zeigt mir auch nur Dienste an, die auf Ports lauschen sollen, da is auch nix fremdes.

Was ich bräuchte, wäre eine Möglichkeit, mitzuschneiden, wann welcher Prozess auf's Netzwerk zugreift. Gibts sowas unter Linux?

bitmuncher

Du kannst zumindest rausbekommen, was an Traffic verursacht wird indem du mit tcpdump den Traffic mitschneidest. Ausserdem solltest du mal schauen, ob irgendwelche verdächtigen LKM geladen sind (Stichwort: Kerneltrojaner). Bei vielen Rootkits wird ausserdem ein versteckter Prozess zwar aus der Prozessliste ausgekoppelt, seine Informationen stehen aber immernoch in /proc. Also einfach mal schauen ob du in /proc eine PID findest, die von 'ps ax' nicht angezeigt wird. Zur besseren Analyse solltest du ausserdem alles abschalten, was gerade nicht benötigt wird. Auch das Durchforsten der User-Crontabs ist manchmal ganz hilfreich. Und rkhunter sowie chkrootkit durchlaufen lassen könnte auch hilfreich sein. Von welchem Prozess bestimmter Traffic verursacht wird, kannst du jedenfalls nicht so leicht rausbekommen. Das wäre höchstens über ein Kernelmodul möglich.

__________________