unerklärbare FTP-Zugriffe

[holtsch]

Hoi hoi... jetzt gruselt's mich aber... bei mir kommt da reproduzierbar

Code: Select all

101
64

heraus...

Code: Select all

ls -l | grep ps

ergibt

Code: Select all

-r-xr-xr-x    1 root     root        85180 Oct 14 22:08 ps

kann man daraus irgendetwas ablesen?

In meinem xinetd.log habe ich auch haufenweise FTP-Zugriffe von mir nicht bekannten IP-Adressen:

Code: Select all

03/4/3@09:25:25: START: ftp pid=7380 from=219.93.38.16
03/4/3@09:25:25: EXIT: ftp status=1 pid=7380 duration=0(sec)
03/4/3@10:04:55: START: ftp pid=7728 from=219.93.38.16
03/4/3@10:05:04: EXIT: ftp status=1 pid=7728 duration=9(sec)
03/4/3@12:48:17: START: ftp pid=9165 from=80.181.214.115
03/4/3@12:48:17: EXIT: ftp status=1 pid=9165 duration=0(sec)
03/4/4@00:42:33: START: ftp pid=15519 from=200.48.249.99
03/4/4@00:42:33: EXIT: ftp status=1 pid=15519 duration=0(sec)
03/4/4@12:28:37: START: ftp pid=21537 from=218.55.217.120
03/4/4@12:28:37: EXIT: ftp status=1 pid=21537 duration=0(sec)
03/4/4@16:55:08: START: ftp pid=23344 from=203.198.205.102
03/4/4@16:55:27: EXIT: ftp status=1 pid=23344 duration=19(sec)
03/4/4@18:27:47: START: ftp pid=23965 from=65.24.208.114
03/4/4@18:27:52: EXIT: ftp status=1 pid=23965 duration=5(sec)
03/4/4@21:44:44: START: ftp pid=25291 from=203.198.205.102
03/4/4@21:44:44: EXIT: ftp status=1 pid=25291 duration=0(sec)

... was insofern sehr bedenklich ist, weil ich FTP eigentlich gar nicht benutze (der Rootserver ist seit 3.4 online, inzwischen habe ich FTP ausgeschaltet).

[captaincrunch]

Hoi hoi... jetzt gruselt's mich aber... bei mir kommt da reproduzierbar

Code: Select all

101
64

heraus...

Du beziehst dich auf den von mir geposteten Einzeiler, richtig ?

Code: Select all

ls -l | grep ps

ergibt

Code: Select all

-r-xr-xr-x    1 root     root        85180 Oct 14 22:08 ps

kann man daraus irgendetwas ablesen?

Sicherlich : es gibt ein Binary, das nun mal "ps" heißt ...

In meinem xinetd.log habe ich auch haufenweise FTP-Zugriffe von mir nicht bekannten IP-Adressen:
[...]
... was insofern sehr bedenklich ist, weil ich FTP eigentlich gar nicht benutze (der Rootserver ist seit 3.4 online, inzwischen habe ich FTP ausgeschaltet).

Kamen die Logeinträge bevor, oder nachdem du den FTPD gestoppt hast ?

Mal ernsthaft : an den von dir geposteten Informationen lässt sich erstmal gar nichts ablesen. Am besten postest du
a) einen Link mit der Augabe von ps aux
b) einen Link mit der Ausgabe von ls -l /proc | grep [0-9]
Anhand dessen kann man dir eher weiterhelfen.

[holtsch]

Danke erstmal für die schnelle Antwort!

Du beziehst dich auf den von mir geposteten Einzeiler, richtig ?

Ja.

Code: Select all

-r-xr-xr-x    1 root     root        85180 Oct 14 22:08 ps

kann man daraus irgendetwas ablesen?

Sicherlich : es gibt ein Binary, das nun mal "ps" heißt ...

;-) Meine Frage ging eher in die Richtung: wenn ps von einem Hacker ausgetauscht worden wäre, könnte er das Datum auf Oct 14 setzen (wohl nicht so schwer)? Und: deutet die Dateigröße (85180) auf einen Hack hin? Wenn:

Code: Select all

p15124732:~ # ps -V
procps version 2.0.7

(ich hab die Root-Server SuSE 8.1 Standardinstallation)

Kamen die Logeinträge bevor, oder nachdem du den FTPD gestoppt hast ?

Vorher.

Mal ernsthaft : an den von dir geposteten Informationen lässt sich erstmal gar nichts ablesen. Am besten postest du
a) einen Link mit der Augabe von ps aux
b) einen Link mit der Ausgabe von ls -l /proc | grep [0-9]
Anhand dessen kann man dir eher weiterhelfen.

Oki, psaux.txt steht auf http://ultimage.net/psaux.txt.
ls -l /proc | grep [0-9] steht auf http://ultimage.net/lslproc.txt.