• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Fremdzugriff über portmap ....? *GELÖST*

L

LoWang

Hallo leute,

danke erstmal für die bisherigen Hilfestellungen die ich hier bekommen habe, waren immer sehr hilfreich. :p

Ich habe seit einiger zeit den Verdacht das sich jemand auf meinen Platten umsieht....:evil:
Warum? : es kommt hin und wieder vor das plötzlich meine cpu voll ausgelastet ist...wenn ich dann mit #top -u nobody nachsehe was da läuft, finde ich immer wieder das drei dienste unter dem user nobody laufen :
- find
- portmap
- su
Es gibt aber keinen User nobody der von mir angelegt worden ist.

Könnte es sein das daß nur ein dämon ist der seinen job tut ???

Wenn nein, wie bekomme ich mehr informationen dazu heraus über welchen port das ganze läuft oder wie es jemandem gelingt sich mit su benutzerrechte auf meinem karton zu erschleichen.

Auf meinem System ist Suse 10.1 installiert und zusätzlich noch :
samba , php , apache , mysql , perl , phpMyAdmin

Danke im voraus :p


"Ich bin ein Optimist , selbst meine Blutgruppe ist positiv"
 
J

jengelh

LoWang schrieb:
finde ich immer wieder das drei dienste unter dem user nobody laufen :
- find
- portmap
- su
Es gibt aber keinen User nobody der von mir angelegt worden ist.

Könnte es sein das daß nur ein dämon ist der seinen job tut ???
Zum Vergrößern anklicken....
findutils-locate ist das (ohne portmap). Läuft normal alle 24h an, bzw. nach der nächsten Möglichkeit nach 24h im Falle dass der Rechner aus war.
 
OP
L

LoWang

Hi,

hab gerade noch meine #/etc/password Datei gecheckt........
Ich kenne mich damit leider nicht so gut aus aber wieviele Einträge sollte diese Datei haben..(soviele wie users oder?) ...habe in dieser datei den Eintrag

nobody:x:65534:65533:nobody:/var/lib/nobody:/bin/bash

gefunden :evil:

hoffe es hilft weiter

THX
 
nbkr

nbkr

Der Eintrag ist ganz normal. Den User nobody findet man in den meisten Distributionen. Wird genutzt wenn irgendein Programm in Hintergrund und ohne besondere Rechte laufen soll. Das ist kein Grund zur Panik.
 
J

jengelh

Linux hat root, bin, sys, daemon, etc. und nobody. Windows hat Administrator und System. Offensichtlich ist der Vorteil des ersteren.
 
L

Leviathan

Nobody ist ein Std. User im SuSE System.

wenn du prüfen willst ob dein system kompromittiert ist, guck mal auf
http://rootwiki.unixfreunde.de/index.php/Chkrootkit

Auf die Bordmittel wie top, ps, ls, netstat kannst du dich dann nicht mehr zu 100% verlassen.

Wenn du sicher gehen willst, rpm paket verifizieren (stichwort rpm verify) oder mit ner Bootcd / rescuecd rangehen.

Kannst dennoch in den logfiles nachgucken:

last - einloggversuche von aussen?
var/log/messages, ssh ?
Seltsame GetVariablen im Apachelog?

Gruß Dominik
 
OP
L

LoWang

danke an alle,

wieder was gelernt. :idea:

Bin echt schwer begeistert von der prompten Bedienung *lobloblob* :D

Grüße nach Nbg

"Der Nachteil der Intelligenz besteht darin, daß man ununterbrochen gezwungen ist, dazuzulernen."
 
V

Valsi

Hallo,

ich möchte mich hier an diesen Thread anhängen...ich hoffe das ist o.k.

Nach Diskussion mit Freunden wurde mir empfohlen u.a. portmap zu deaktivieren (mdnsd und ntpd auch), da es ein zusätzliches Angriffsrisiko für meinen Rechner darstellt.

Anführen muß ich, daß ich mit meinen Einzelplatzrechner (Suse 10.1) einen ADSL Anschluß mittels Router ins Netz habe.

Was meint ihr dazu?

lg

Rudi
 
G

Grothesk

Quatsch.
Schau lieber, welche Dienste du nach außen anbietest.
Shields Up! ist da ein ganz guter erster Anhaltspunkt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben