Moin,
ich hatte gestern einen, wohl gehackten, VDR auf dem Tisch.
Da liefen irgendwelche Skripte amok.
In /etc/init.d/ lagen Skripte mit kryptischem Namen und an fast alle anderen Startskripte in diesem Ordner waren Zeilen angefügt. Das konnte man schön am Änderungsdatum der Dateien erkennen. Andere Ordner waren auch betroffen.
Das System wurde zugemüllt mit irgendwelchen Dateien - aufgefallen war es mir, als die Fritzbox in dem Netzwerk laufend neustartete ...
ps ax zeigt komische laufende Prozesse ... da wurde dann wohl das WLAN der Fritz nicht mit fertig.
Naja ... mit einer LiveCD gestartet und alle Skripte bereinigt und gelöscht und alle Dateien, die angelegt wurden wieder entfernt.
Jetzt ist wieder Ruhe.
Nur eine Meldung im Log taucht noch auf, die versucht ein paar dieser Skripte aufzurufen (existieren aber nicht mehr).
Nun meine Frage, wo finde ich diesen verusachenden Aufruf (nur der Ordnung halber)? Habe schon alles durchsucht.
Jul 1 09:18:01 VDR CRON[2823]: (root) CMD (/etc/cron.hourly/noc)
Jul 1 09:18:01 VDR CRON[2825]: (root) CMD (/etc/cron.hourly/gcc.sh)
Jul 1 09:18:01 VDR CRON[2822]: (CRON) info (No MTA installed, discarding output)
Jul 1 09:18:01 VDR CRON[2824]: (root) CMD (/etc/cron.hourly/udev.sh)
Jul 1 09:18:01 VDR CRON[2820]: (CRON) info (No MTA installed, discarding output)
Jul 1 09:18:01 VDR CRON[2821]: (CRON) info (No MTA installed, discarding output)
Die 3 Skrpte existieren nicht mehr, aber wer versucht diese aufzurufen?
Edit: Der Aufruf kommt exakt alle 3 Minuten.
Software auf dem VDR ist ein standard yavdr.
Danke und Gruss.
Markus