Nach der Analyse eines Einbruches in einen Linux-Rechner innerhalb unserer Domain uni-heidelberg.de hat sich folgendes ergeben: - es handelte sich höchstwahrscheinlich um einen Wurm namens 'lion' der in erster Linie Server mit der DNS-Software 'bind' befällt. - er ist sehr aggressiv und verbreitet sich sehr schnell, - er sucht nach Admistrator-Passwörter und schickt sie per E-mail an eine 'china.com' Adresse. - er richtet 'back doors' ein, - eine Modifikation in 'inetd' konnte festgestellt werden. Da nicht vollständig überschaut werden kann, was alles betroffen ist, müssen betroffene Rechner vollständig neu installiert werden (die Festplatte muss neu formatiert werden). Siehe auch http://www.sans.org/y2k/lion.htm Es ist ein Programm 'lionfind' in der Entwicklung, das den Wurm erkennen und beseitigen soll. Siehe dazu http://www.ists.dartmouth.edu/IRIA/knowledge_base/tools/lionfind.htm Ich bitte dringend darum, alle Linux-Server gründlich zu überprüfen und bei Unregelmäßigkeiten mich, bzw. das URZ zu verständigen. Falsche Scham hilft uns hier nicht weiter. In jeden Fall muss 'bind' entsprechend hochgerüstet werden. Weitere Hinweise sind auf den o.g. WWW-Seiten vorhanden. Mit freundlichen Gruessen Joachim Lammarsch