Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI 'Unveiling "sedexp": A Stealthy Linux Malware Exploiting udev Rules" --> siehe dazu auch [1] --> ein PoC gibt es auf [2] --> hier hilft - regelmäßiges Monitoren der Regeln in /etc/udev/rules.d/ - zudem besonderes Augenmerkauf Regeln mit "RUN+=/path/to/code" VG Bernd [0] https://www.aon.com/en/insights/cyber-labs/unveiling-sedexp [1] https://ch4ik0.github.io/en/posts/leveraging-Linux-udev-for-persistence/ [2] https://github.com/grahamhelton/USP -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler@itc.rwth-aachen.de https://www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/c/ITCenterRWTHAachen