einbruch in Linux bei Standartkonfig.

Post Reply
Message
Author
Bernd+Müther

einbruch in Linux bei Standartkonfig.

#1 Post by Bernd+Müther »

Guten Tag !

Ich habe vor kurzer Zeit bemerkt dass jemand in einen unserer Linuxrechner eingedrungen ist.
Es war ein Suse Linux 6.4 mit Standartkonfig. -gerade neu installiert...

Es würde mich interressieren wie die Person es geschafft hat über die,
in der Standartkonfig gegebenen Ports auf den Rechner zuzugreifen.

Vielen Dank für Antworten und Tipps :)

Bernd

p.s.: guten rutsch :)

Jochen

Re: einbruch in Linux bei Standartkonfig.

#2 Post by Jochen »

Nun weiss ich nicht genau, welche Dienste in der SuSE 6.4 alle per Default gestartet werden, aber wenn der Eindringling seine Spuren nicht oder nur schlecht verwischt hat, dann kannst Du vielleicht noch mit folgenden Tips was anfangen:

<li>Such nach core-Files und versuche herauszukriegen, welche Programme da abgestürzt sind. Auf die Schnelle kommt mir da nur ein "strings core | more" in den Sinn, aber die Programmierer hier im Forum wissen da sicherlich bessere Wege. Dieser Dienst ist dann erfolgreich angegriffen worden.
<li>Ebenso kann man Meldungen in der /var/log/messages finden, die ein Daemon kurz vor Absturz abgesetzt hat. Die weisen dann ebenfalls auf die undichte Stelle hin.
<li>Und bevor Du den Rechner plättest und wieder neu (und dichter <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">) hochziehst: Boote von Notfall-Disketten (oder tomsrtbt, meine Empfehlung) und untersuche das System von "aussen". Wenn der Eindringling ein Rootkit installiert hat, sind die Programme (selbst der Kernel!) Deiner Installation nicht mehr vertrauenswürdig. Dann findest Du vielleicht auch Hinweise auf "Sinn und Zweck" der Übung oder auf die verwendeten Skripts für den Einbruch.


Herzliches Beileid und guten Rutsch!

Lilo

Re: einbruch in Linux bei Standartkonfig.

#3 Post by Lilo »

Hi Bernd!

Mein heißer Tipp ist ftp. Das ist ein beliebter Angriffspunkt. Durch einen 'buffer overflow' kann der Angreifer root-Rechte auf Deinem System erlangen.
Hast Du einen ftp-daemon laufen? Den solltest Du auf jeden Fall stoppen, wenn Du nicht darauf angewiesen bist, daß andere über ftp Daten von Deinem Rechner ziehen können.
Außerdem empfehle ich dir mit ipchains eine Firewall hochzuziehen!
(s. /usr/doc/ipchains, bzw. man ipchains)

Um Spuren des Eindringlings zu finden kannst Du auch nach Dateien suchen, die im betreffenden Zeitraum verändert oder erstellt wurden!
(mit find, oder kfind kannst Du Dateien nach dem Erstellungsdatum suchen lassen)

Such doch auch mal nach Dateien, die sowas wie trojan oder auch nur troj im Namen
enthalten! (find / -name *troj*)
Beliebter Ablageplatz für eingeschleuste Programme ist zB. /usr/lib.

Viel Erfolg beim Suchen und ein gutes neues Jahr!

Lilo

KpTIglo

Re: einbruch in Linux bei Standartkonfig.

#4 Post by KpTIglo »

Dein System kannst Du prima unter http://grc.com testen. Unter Shields UP werden alle Ports mit Status aufgelistet. Dort habe ich mein System auch getestet und festgestellt das es offen wie ein Scheuentor war. <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

Labba

Re: einbruch in Linux bei Standartkonfig.

#5 Post by Labba »

Eine Frage wie hast du erfahren, das jemand in deinen Linuxrechner eingedrungen ist.
Anhand welcher Logfile und welchem Eintrag war dies ersichtlich, das würde sicherlich helfen dir weitere Tips zu geben.

PS: Gib auch die Programmversion die von diesem Angriff betroffen wurde an.

Post Reply