Hi!
Mir ist aufgefallen das sich am Freitag abend jemand aus England anscheinend das Passwort eines Users geknackt hat.
Gibt es eine möglichkeit herauszufinden ob dieser User etwas verändert hat.
Bzw. wäre ich dankbar für Tips um das das nächste mal besser im Griff zu haben.
Sollte man tripwire verwenden oder andere Tools?
Vielen Dank im vorraus
arno
gehackt -> was nun?
gehackt -> was nun?
[root@host]# cd /pub
[root@host]# more beer
[root@host]# more beer
-
chlor
chkrootkit und/oder rkhunter solltest du aufjedenfall mal durchlaufen lassen.
http://www.chkrootkit.org/
http://www.rootkit.nl/
fällt mir dazu als erstes mal ein. ansonsten ist snort sicherlich ein sehr gutes tool, auch fürs näxte mal.
http://www.snort.org/
http://www.chkrootkit.org/
http://www.rootkit.nl/
fällt mir dazu als erstes mal ein. ansonsten ist snort sicherlich ein sehr gutes tool, auch fürs näxte mal.
http://www.snort.org/
Last edited by chlor on 23. May 2005 13:57, edited 1 time in total.
chkrootkit hat jetzt doch was gefunden
Checking `lkm'... You have 46 process hidden for readdir command
You have 46 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
reicht es da wenn ich das ps command neu installliere oder wie sehe ich diese prozesse.
vielen dank
arno
Checking `lkm'... You have 46 process hidden for readdir command
You have 46 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
reicht es da wenn ich das ps command neu installliere oder wie sehe ich diese prozesse.
vielen dank
arno
[root@host]# cd /pub
[root@host]# more beer
[root@host]# more beer
-
chlor
also, aus meiner sicht kannst du da nicht wirklich sicher etwas festellen, zumal dieser jemand bereits deine logs verändert oder gelöscht haben kann. ebenso könnte! auch ein kommando wie ps manipuliert sein.
vielleicht findest du hier unter "Vorgehensweise bei gecracktem Server" noch etwas für dich interessantes.
http://www.rootforum.de/faq/index.php?a ... how&cat=14
über den lkm brauchst du dir im normalfall nicht so viel gedanken machen, da ist chkrootkit etwas paranoid und verhaut sich an der stelle häufig, aber dein system ist ja wohl schon kompromitiert, insofern?
edit:
sorry, hatte den link vergessen.
vielleicht findest du hier unter "Vorgehensweise bei gecracktem Server" noch etwas für dich interessantes.
http://www.rootforum.de/faq/index.php?a ... how&cat=14
über den lkm brauchst du dir im normalfall nicht so viel gedanken machen, da ist chkrootkit etwas paranoid und verhaut sich an der stelle häufig, aber dein system ist ja wohl schon kompromitiert, insofern?
edit:
sorry, hatte den link vergessen.
