ich bin gerade ziemlich ratlos, insbesondere weil Google nix hilfreiches gebracht hat.
Also es geht um einen Server mit SuSE 11.3, plötzlich auf einmal gegen 11 Uhr steht in der /var/log/messages:
sshd: Received Signal 15, terminating.
Seither steht jedes mal beim einloggen via SSH in der /var/log/messages
Code: Select all
Jul 4 17:36:00 testserver sshd[28668]: error: Bad prime description in line 186
Jul 4 17:36:00 testserver sshd[28668]: error: Bad prime description in line 187
Jul 4 17:36:00 testserver sshd[28668]: error: Bad prime description in line 188
Jul 4 17:36:00 testserver sshd[28668]: error: Bad prime description in line 189
Jul 4 17:36:00 testserver sshd[28668]: error: Bad prime description in line 190
Jul 4 17:36:00 testserver sshd[28668]: error: Bad prime description in line 191Nun hab ich den rootkit hunter in die Spur geschickt, alle Logfiles rund um die Uhrzeit von der "Signal 15" Sache analysiert ... also wenn, dann hat der Täter wirklich zu 100% aufgeräumt, denn offenbar keine SSH Bruteforce-Attacke noch in den Apache Logfiles irgendwas zu finden oder sonst irgendwie, rkhunter findet auch nichts, /etc/shadow bzw. /etc/passwd zeigt keine neuen Nutzer.
Ich habe auch SSH via Yast noch einmal installiert, die Meldung mit der "Bad prime description" bleibt und ich kann mit der Meldung gar nix anfangen.
EDIT: Habe die sshd_config mal neu gebastelt, nun scheint die Meldung weg zu sein. Keine Ahnung was das war und wieso er sich quasi selbst zerstört hat.
