Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
einbruch in Linux bei Standartkonfig.

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Bernd+Müther
Gast





BeitragVerfasst am: 30. Dez 2000 3:08   Titel: einbruch in Linux bei Standartkonfig.

Guten Tag !

Ich habe vor kurzer Zeit bemerkt dass jemand in einen unserer Linuxrechner eingedrungen ist.
Es war ein Suse Linux 6.4 mit Standartkonfig. -gerade neu installiert...

Es würde mich interressieren wie die Person es geschafft hat über die,
in der Standartkonfig gegebenen Ports auf den Rechner zuzugreifen.

Vielen Dank für Antworten und Tipps :)

Bernd

p.s.: guten rutsch Smile
 

Jochen
Gast





BeitragVerfasst am: 30. Dez 2000 10:39   Titel: Re: einbruch in Linux bei Standartkonfig.

Nun weiss ich nicht genau, welche Dienste in der SuSE 6.4 alle per Default gestartet werden, aber wenn der Eindringling seine Spuren nicht oder nur schlecht verwischt hat, dann kannst Du vielleicht noch mit folgenden Tips was anfangen:

  • Such nach core-Files und versuche herauszukriegen, welche Programme da abgestürzt sind. Auf die Schnelle kommt mir da nur ein "strings core | more" in den Sinn, aber die Programmierer hier im Forum wissen da sicherlich bessere Wege. Dieser Dienst ist dann erfolgreich angegriffen worden.
  • Ebenso kann man Meldungen in der /var/log/messages finden, die ein Daemon kurz vor Absturz abgesetzt hat. Die weisen dann ebenfalls auf die undichte Stelle hin.
  • Und bevor Du den Rechner plättest und wieder neu (und dichter ) hochziehst: Boote von Notfall-Disketten (oder tomsrtbt, meine Empfehlung) und untersuche das System von "aussen". Wenn der Eindringling ein Rootkit installiert hat, sind die Programme (selbst der Kernel!) Deiner Installation nicht mehr vertrauenswürdig. Dann findest Du vielleicht auch Hinweise auf "Sinn und Zweck" der Übung oder auf die verwendeten Skripts für den Einbruch.


    Herzliches Beileid und guten Rutsch!
  •  

    Lilo
    Gast





    BeitragVerfasst am: 31. Dez 2000 2:44   Titel: Re: einbruch in Linux bei Standartkonfig.

    Hi Bernd!

    Mein heißer Tipp ist ftp. Das ist ein beliebter Angriffspunkt. Durch einen 'buffer overflow' kann der Angreifer root-Rechte auf Deinem System erlangen.
    Hast Du einen ftp-daemon laufen? Den solltest Du auf jeden Fall stoppen, wenn Du nicht darauf angewiesen bist, daß andere über ftp Daten von Deinem Rechner ziehen können.
    Außerdem empfehle ich dir mit ipchains eine Firewall hochzuziehen!
    (s. /usr/doc/ipchains, bzw. man ipchains)

    Um Spuren des Eindringlings zu finden kannst Du auch nach Dateien suchen, die im betreffenden Zeitraum verändert oder erstellt wurden!
    (mit find, oder kfind kannst Du Dateien nach dem Erstellungsdatum suchen lassen)

    Such doch auch mal nach Dateien, die sowas wie trojan oder auch nur troj im Namen
    enthalten! (find / -name *troj*)
    Beliebter Ablageplatz für eingeschleuste Programme ist zB. /usr/lib.

    Viel Erfolg beim Suchen und ein gutes neues Jahr!

    Lilo
     

    KpTIglo
    Gast





    BeitragVerfasst am: 06. Jan 2001 12:15   Titel: Re: einbruch in Linux bei Standartkonfig.

    Dein System kannst Du prima unter http://grc.com testen. Unter Shields UP werden alle Ports mit Status aufgelistet. Dort habe ich mein System auch getestet und festgestellt das es offen wie ein Scheuentor war.
     

    Labba
    Gast





    BeitragVerfasst am: 06. Jan 2001 12:22   Titel: Re: einbruch in Linux bei Standartkonfig.

    Eine Frage wie hast du erfahren, das jemand in deinen Linuxrechner eingedrungen ist.
    Anhand welcher Logfile und welchem Eintrag war dies ersichtlich, das würde sicherlich helfen dir weitere Tips zu geben.

    PS: Gib auch die Programmversion die von diesem Angriff betroffen wurde an.
     

    Beiträge vom vorherigen Thema anzeigen:   
         Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
    Seite 1 von 1

     
    Gehen Sie zu:  

    Powered by phpBB © phpBB Group
    pro_linux Theme © 2004 by Mandaxy