So ein Sch**ß! Da gucke ich mir doch heute die "Weekly security checks" von der Suse 6.3 an, uns was muß ich sehen? In der in.identd ist ein Zeile dazugekommen. Aber garantiert nicht von mir.
Sie lautet:
in.identd root 62.226.128.160:ident -> 216.234.161.76:rsap (CLOSE)
Was zum Geier ist das?
netstat -p zeigte mir daraufhin an:
PID: tcp Recv-Q: 0 Send-Q: 0 LocalAdress: ...dip.t-dialin... ForeignAdress: cgi.spaceports.com:rsap State: Close
Dann habe ich mich etwas umgesehen und in /bin neben dem Programm "ping" auch noch ein "ping6" gefunden. Es ist etwas kleiner als das normale Ping und gibt beim Aufruf ohne Parameter auch eine etwas andere Syntax an.
Außerdem haben sich die Rechte von /dev/tty3 geändert: Bei der Gruppe ist ein Leserecht hinzugekommen.
Mein System hat ne Firewall und die ist so eingestellt, daß alle Ports (außer dem Identd wegen IRC) von außen kommend geschlossen bzw. gefiltert sind.
Aber das ganze kommt mir doch _sehr_ verdächtig vor. Hat jemand sowas schon mal gehabt? Oder hat jemand noch ein Programm namens /bin/ping6 ? Und was ist rsap?
bye
Wolferz
gelöscht_4512
