GentooForum.de

Tag die Damen und Herren,

ich hab mit meinem Gentoo ein ganz gewaltiges Problem. Und zwar folgendes
Ich hab hier nen Gentoo Rechner hier hauptsächlich als samba fileserver laufen, allerdings läuft auch ein mysql, lighttpd, nfs und ftp server drauf.
Heute mittag konnte ich mich noch ganz normal als root anmelden. Ich hab das System geupdated und danach ein neustart gemacht weil ich auch den Kernel aktuallisiert habe.
Gerade eben wollte ich mich wieder als root anmelden. Merkwürdiger weiße funktioniert das nicht mehr, weder per su noch am standart login prompt. und per ssh auch nicht.
Ich habs bestimmt schon 15 mal probiert. Das Passwort ist auch 100%ig richtig geschrieben. Es funktioniert trozdem nicht.
Normalerweiße sollte sowas ja nicht passieren. Meine Vermutung ist, das ein Hacker in mein System eingedrungen ist und das root passwort geändert hat.
Das ist zumindest das einzige das irgendwie sinn ergibt weil von allein oder durch ein update ändert sich ja kein passwort. Meine ebuilds hab ich auch alle vom offiziellen portage tree und nicht aus overlays. Und da mein lighttpd server per port forwarding am router nach ausen geleitet wird ist es schon denkbar das dort jemand eingedrungen ist.
Ich hab den Rechner erstmal vom Internet getrennt.
Was mir auch noch aufgefallen ist, ist das laut htop das programm "ttymon" läuft. Das war vor ein paar tagen auf jedenfall noch nicht so. Ich weiß nicht ob das durch das update gekommen ist.

Naja ist jetzt ja eigentlich auch egal, am wichtigsten ist jetzt erstmal das ich wieder root zugriff auf den PC bekomme.
Gibts da irgendwelche möglichkeiten das passwort zu ändern ohne das ich selbst root zugriff habe?
Eigentlich dürfte das ja aus Sicherheitstechnischen gründen nicht gehen. Kann ich da aber evtl. von einer LiveCD booten und dann so mein Passwort ändern?

Und wie finde ich raus ob wirklich ein Hacker auf dem PC war, und was er angerichtet hat?

So Poedels weg hat funktioniert.
Nach dem anmelden als root hab ich gesehen "Last login: Sat Oct 1 19:32:49 CEST 2011 from 72.199.217.87.dynamic.jazztel.es on pts/1"
"72.199.217.87.dynamic.jazztel.es" ist definitv kein Rechner von dem ich aus zugegriffen hat. Also Tipp ich jetzt schon mal auf Cracker/Hacker.
So auf die schnelle is mir noch aufgefallen das "/var/log/tallylog" existiert und dort nen haufen ip adressen stehen bzw. zeugs wie mail.ppda.go.ug.

Gibts irgendwie die möglichkeit die festplatte überprüfen zu lassen welche dateien von Portage geschrieben wurden und welche evtl manuell eingefügt worden sind? so könnte man ja schauen was an meinen PC verändert wurde.
Oder gibts da bessere wege?


So ich hab mal chkrootkit durchlaufen lassen. Der meldet mir
"Warning: Possible Showtee Rootkit installed"
"Warning: Possible LKM Trojan installed"
und
"You have 29 process hidden for ps command"

Ich hab mal nach Showtee Rootkit gegoogled. Der macht sich bemerkbar duch
diverse dateien auf dem system so z.b. auch "/usr/include/proc.h" oder "/usr/include/file.h"
welche ich auch auf meinem System habe. Laut qfile gehören sie auch zu nichts was ich per Portage installiert habe.

Was kann ich jetzt tun um das Rootkit zu entfernen?

hmm okay. Na dann weiß ich ja was ich in nächster Zeit zu tun hab