Hi .. ich habe folgesndes Problem:
Auszug meines Secure-logs:
Mar 28 00:31:27 linux2 adduser[2088]: new user: name=cgi, uid=0, gid=0, home=/home/cgi, shell=/bin/bash
Mar 28 00:31:37 linux2 PAM_pwdb[2089]: password for (cgi/0) changed by ((null)/0)
Mar 28 00:31:44 linux2 adduser[2090]: new group: name=boom, gid=512
Mar 28 00:31:44 linux2 adduser[2090]: new user: name=boom, uid=510, gid=512, home=/home/boom, shell=/bin/bash
Mar 28 00:31:59 linux2 PAM_pwdb[2091]: password for (boom/510) changed by ((null)/0)
Mar 28 00:32:48 linux2 PAM_pwdb[2124]: (su) session opened for user cgi by boom(uid=510)
Mar 28 00:36:35 linux2 kernel: eth0: Promiscuous mode enabled.
Mar 28 00:38:07 linux2 PAM_pwdb[2124]: (su) session closed for user cgi
Mar 28 00:32:05 linux2 in.telnetd[2092]: connect from 210.50.202.77
Mar 28 00:30:23 linux2 last message repeated 5 times
Mar 28 00:31:38 linux2 last message repeated 5 times
Mar 28 00:32:53 linux2 last message repeated 5 times
Mar 28 00:34:08 linux2 last message repeated 5 times
Mar 28 00:35:23 linux2 last message repeated 5 times
Mar 28 00:36:38 linux2 last message repeated 5 times
Mar 28 00:36:53 linux2 sendmail[763]: NOQUEUE: low on space (have 0, SMTP-DAEMON needs 101 in /var/spool/mqueue)
Mar 28 00:37:38 linux2 last message repeated 3 times
Mar 28 00:37:53 linux2 sendmail[763]: NOQUEUE: low on space (have 0, SMTP-DAEMON needs 101 in /var/spool/mqueue)
Mar 28 00:38:38 linux2 last message repeated 3 times
Mar 28 00:39:53 linux2 last message repeated 5 times
Desweiteren wurden Mails mit meinen kompletten Rechnerdaten verschickt ... inclusive der passwd, userdaten, Rechnerkonfigurationenen etc.
z.Bsp. an DarKFate@sunos.com
irgnedwie gehen auch immernoch Mails raus ... wie kann ich das Stoppen ?
Hilfe ..danke
Hackerangriff ? Hilfe !
-
Nad
Re: Hackerangriff ? Hilfe !
achja .. nochwas gefunden:
Apr 9 20:46:26 linux2 sendmail[1237]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=18:11:25, xdelay=00:00:02, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
Apr 9 21:46:27 linux2 sendmail[1256]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=19:11:26, xdelay=00:00:03, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
Apr 9 22:46:29 linux2 sendmail[1274]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=20:11:28, xdelay=00:00:05, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
Apr 9 23:46:29 linux2 sendmail[1292]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=21:11:28, xdelay=00:00:05, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
Apr 10 00:46:29 linux2 sendmail[1317]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=22:11:28, xdelay=00:00:05, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
Apr 10 01:46:25 linux2 sendmail[1399]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=23:11:24, xdelay=00:00:01, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
Apr 10 22:08:31 linux2 sendmail[1247]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=1+19:33:30, xdelay=00:00:02, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
Apr 11 22:42:46 linux2 sendmail[1173]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=2+20:07:45, xdelay=00:00:02, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
immer und immer wieder ...
Apr 9 20:46:26 linux2 sendmail[1237]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=18:11:25, xdelay=00:00:02, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
Apr 9 21:46:27 linux2 sendmail[1256]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=19:11:26, xdelay=00:00:03, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
Apr 9 22:46:29 linux2 sendmail[1274]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=20:11:28, xdelay=00:00:05, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
Apr 9 23:46:29 linux2 sendmail[1292]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=21:11:28, xdelay=00:00:05, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
Apr 10 00:46:29 linux2 sendmail[1317]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=22:11:28, xdelay=00:00:05, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
Apr 10 01:46:25 linux2 sendmail[1399]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=23:11:24, xdelay=00:00:01, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
Apr 10 22:08:31 linux2 sendmail[1247]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=1+19:33:30, xdelay=00:00:02, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
Apr 11 22:42:46 linux2 sendmail[1173]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=2+20:07:45, xdelay=00:00:02, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
immer und immer wieder ...
-
Peter
Re: Hackerangriff ? Hilfe !
Da du anscheinend nicht weisst, was der Cracker (ja, so heisst das 
) angerichtet hat, bzw. was der für hintertürchen eingebaut hat, bleibt dir wohl nichts anderes übrig, als die ganze Kiste neu aufzusetzen...dabei möglichst wenig (keine ?!) ausführbare Dateien übernehemen.
Alternativ mit einer Firewall ein und ausgang komplett dicht machen.... aber dann ist das halt ein rechner ohne I-net
Peter
) angerichtet hat, bzw. was der für hintertürchen eingebaut hat, bleibt dir wohl nichts anderes übrig, als die ganze Kiste neu aufzusetzen...dabei möglichst wenig (keine ?!) ausführbare Dateien übernehemen.Alternativ mit einer Firewall ein und ausgang komplett dicht machen.... aber dann ist das halt ein rechner ohne I-net
Peter
-
Nad
Re: Hackerangriff ? Hilfe !
das werde ich sowieso tun .. die Kiste neu aufsetzen.
Firewall mit ipchains oder iptables ? was ist sicherer .. kenne mich leider nur mit ipchains aus ...
der alte Rechner ist RedHat 6.2 ...
werde den neuen mit RH 7.2 bespielen ...
irgendwelche SIcherheitstipps, manuals etc ???
danke danke
Firewall mit ipchains oder iptables ? was ist sicherer .. kenne mich leider nur mit ipchains aus ...
der alte Rechner ist RedHat 6.2 ...
werde den neuen mit RH 7.2 bespielen ...
irgendwelche SIcherheitstipps, manuals etc ???
danke danke
-
Labba
Re: Hackerangriff ? Hilfe !
Red Hat 6.2 ??
Lass mich raten, Sicherheitsupdates sind ein Fremdwort für dich.
Möglicherweise eine heilsame Erfahrung
Mfg
Lass mich raten, Sicherheitsupdates sind ein Fremdwort für dich.
Möglicherweise eine heilsame Erfahrung
Mfg
-
Nad
Re: Hackerangriff ? Hilfe !
danke Labba für dein wirklich produktiven und besonders hilfreichen Beitrag.
Gruß Nad
Gruß Nad
Re: Hackerangriff ? Hilfe !
@NAD
> > >irgendwelche Sicherheitstipps?
> >Lass mich raten, Sicherheitsupdates sind ein Fremdwort für dich.
>danke Labba für dein wirklich produktiven und besonders hilfreichen Beitrag.
welchen Teil von: du sollst die Sicherheitsupdates einspielen, hast du denn nicht verstanden?
> > >irgendwelche Sicherheitstipps?
> >Lass mich raten, Sicherheitsupdates sind ein Fremdwort für dich.
>danke Labba für dein wirklich produktiven und besonders hilfreichen Beitrag.
welchen Teil von: du sollst die Sicherheitsupdates einspielen, hast du denn nicht verstanden?
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
-
Stefan
Re: Hackerangriff ? Hilfe !
Hi,
generell ist so eine RH schon ziemlich sicher. Bei dem Hack, der bei dir durchgeführt wurde, nutzte der Angreifer eine alte SSH-Version aus. Also regelmäßige Updates sind zwingend notwendig. Da der Kerl aber anscheinend recht wenig Ahnung hat (Logfiles nicht gefixt), kannst du ja erstmal den von ihm angelegten Benutzer entfernen...
Ansonsten rate ich zu Diensten wie RH-Network. Mit einem Rechner ist das gratis..da läuft ein Update-Agent und spielt dir bequem die neuesten Updates ein, muss dich lediglich registrieren.
generell ist so eine RH schon ziemlich sicher. Bei dem Hack, der bei dir durchgeführt wurde, nutzte der Angreifer eine alte SSH-Version aus. Also regelmäßige Updates sind zwingend notwendig. Da der Kerl aber anscheinend recht wenig Ahnung hat (Logfiles nicht gefixt), kannst du ja erstmal den von ihm angelegten Benutzer entfernen...
Ansonsten rate ich zu Diensten wie RH-Network. Mit einem Rechner ist das gratis..da läuft ein Update-Agent und spielt dir bequem die neuesten Updates ein, muss dich lediglich registrieren.