PLESK als Root-Kit erkannt

Hi,

hatte eben einen Marokkaner, der über meine Kiste gespammt hat.

1&1 0900-Support sagte: "Mal auf Rootkits prüfen".

Gesagt getan und Rootkit Hunter aufgespielt.

Alle Warnungen beziehen sich ausschliesslich auf PLESK Dateien (bin auf PLESK 8.6.0):
Code:
[13:06:31]   Checking running processes for deleted files    [ Warning ]
[13:06:31] Warning: The following processes are using deleted files:
[13:06:48] Warning: File '/tmp/monitrc.chk' (score: 251) contains some suspicious content and should be checked.
[13:10:11] Warning: File '/tmp/psa_8.6.0_suse.build86080721.21_upgrade.080828.17.40.log' (score: 260) contains some suspicious content and should be checked.
[13:10:17] Warning: File '/tmp/psa_8.6.0_suse.build86080721.21_upgrade.080828.17.39.log' (score: 270) contains some suspicious content and should be checked.
[13:12:00] Warning: File '/tmp/autoinstaller3.log' (score: 284) contains some suspicious content and should be checked.
[13:12:00] Warning: Checking for files with suspicious contents [ Warning ]
[13:12:02]     Checking '/etc/xinetd.d/ftp_psa' for enabled services [ Warning ]
[13:12:02]     Checking '/etc/xinetd.d/poppassd_psa' for enabled services [ Warning ]
[13:12:02]   Checking for enabled xinetd services            [ Warning ]
[13:12:02] Warning: Found enabled xinetd service: /etc/xinetd.d/ftp_psa
[13:12:02] Warning: Found enabled xinetd service: /etc/xinetd.d/poppassd_psa
eunoc:~/rkhunter-1.3.2/files #

Is das normal?

Ich habe den Spassvogel nun vorübergehen über die Firewall ausgesperrt.
Das hält aber nat. nur so lange, bis der ne neue IP bekommt/verwendet.
Ich wollte das ganze Sub-Net seines ISP aussperren, komme aber nicht klar.
Deshalb die Frage an Euch:
Wie ist der Syntax für die 1&1 Firewalll um alles IPs von 196.206.209.0 bis 196.206.209.255 oder sogar 196.206.0.0. bis 196.206.255.255 auszusperren?

Code:
196.206.209.0/32 tuts nicht
196.206.209.0/??

Hatte schon gegoogelt und IP Rechner befragt, komme aber nicht klar.

Danke! :)
 
Back
Top