Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Hackerangriff ? Hilfe !

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sonstiges
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Nad
Gast





BeitragVerfasst am: 13. Apr 2002 15:47   Titel: Hackerangriff ? Hilfe !

Hi .. ich habe folgesndes Problem:

Auszug meines Secure-logs:

Mar 28 00:31:27 linux2 adduser[2088]: new user: name=cgi, uid=0, gid=0, home=/home/cgi, shell=/bin/bash
Mar 28 00:31:37 linux2 PAM_pwdb[2089]: password for (cgi/0) changed by ((null)/0)
Mar 28 00:31:44 linux2 adduser[2090]: new group: name=boom, gid=512
Mar 28 00:31:44 linux2 adduser[2090]: new user: name=boom, uid=510, gid=512, home=/home/boom, shell=/bin/bash
Mar 28 00:31:59 linux2 PAM_pwdb[2091]: password for (boom/510) changed by ((null)/0)
Mar 28 00:32:48 linux2 PAM_pwdb[2124]: (su) session opened for user cgi by boom(uid=510)
Mar 28 00:36:35 linux2 kernel: eth0: Promiscuous mode enabled.
Mar 28 00:38:07 linux2 PAM_pwdb[2124]: (su) session closed for user cgi
Mar 28 00:32:05 linux2 in.telnetd[2092]: connect from 210.50.202.77
Mar 28 00:30:23 linux2 last message repeated 5 times
Mar 28 00:31:38 linux2 last message repeated 5 times
Mar 28 00:32:53 linux2 last message repeated 5 times
Mar 28 00:34:08 linux2 last message repeated 5 times
Mar 28 00:35:23 linux2 last message repeated 5 times
Mar 28 00:36:38 linux2 last message repeated 5 times
Mar 28 00:36:53 linux2 sendmail[763]: NOQUEUE: low on space (have 0, SMTP-DAEMON needs 101 in /var/spool/mqueue)
Mar 28 00:37:38 linux2 last message repeated 3 times
Mar 28 00:37:53 linux2 sendmail[763]: NOQUEUE: low on space (have 0, SMTP-DAEMON needs 101 in /var/spool/mqueue)
Mar 28 00:38:38 linux2 last message repeated 3 times
Mar 28 00:39:53 linux2 last message repeated 5 times

Desweiteren wurden Mails mit meinen kompletten Rechnerdaten verschickt ... inclusive der passwd, userdaten, Rechnerkonfigurationenen etc.

z.Bsp. an DarKFate@sunos.com

irgnedwie gehen auch immernoch Mails raus ... wie kann ich das Stoppen ?
Hilfe ..danke
 

Nad
Gast





BeitragVerfasst am: 13. Apr 2002 15:59   Titel: Re: Hackerangriff ? Hilfe !

achja .. nochwas gefunden:
Apr 9 20:46:26 linux2 sendmail[1237]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=18:11:25, xdelay=00:00:02, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
Apr 9 21:46:27 linux2 sendmail[1256]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=19:11:26, xdelay=00:00:03, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
Apr 9 22:46:29 linux2 sendmail[1274]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=20:11:28, xdelay=00:00:05, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
Apr 9 23:46:29 linux2 sendmail[1292]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=21:11:28, xdelay=00:00:05, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
Apr 10 00:46:29 linux2 sendmail[1317]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=22:11:28, xdelay=00:00:05, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
Apr 10 01:46:25 linux2 sendmail[1399]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=23:11:24, xdelay=00:00:01, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
Apr 10 22:08:31 linux2 sendmail[1247]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=1+19:33:30, xdelay=00:00:02, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.
Apr 11 22:42:46 linux2 sendmail[1173]: CAA01742: to=DarKFate@SunOS.com, ctladdr=root (0/0), delay=2+20:07:45, xdelay=00:00:02, mailer=esmtp, relay=sunos-com.mr.outblaze.com. [202.77.181.40], stat=Deferred: Connection refused by sunos-com.mr.outblaze.com.

immer und immer wieder ...
 

Peter
Gast





BeitragVerfasst am: 13. Apr 2002 16:07   Titel: Re: Hackerangriff ? Hilfe !

Da du anscheinend nicht weisst, was der Cracker (ja, so heisst das Very Happy) angerichtet hat, bzw. was der für hintertürchen eingebaut hat, bleibt dir wohl nichts anderes übrig, als die ganze Kiste neu aufzusetzen...dabei möglichst wenig (keine ?!) ausführbare Dateien übernehemen.
Alternativ mit einer Firewall ein und ausgang komplett dicht machen.... aber dann ist das halt ein rechner ohne I-net :D

Peter
 

Nad
Gast





BeitragVerfasst am: 13. Apr 2002 16:31   Titel: Re: Hackerangriff ? Hilfe !

das werde ich sowieso tun .. die Kiste neu aufsetzen.
Firewall mit ipchains oder iptables ? was ist sicherer .. kenne mich leider nur mit ipchains aus ...

der alte Rechner ist RedHat 6.2 ...
werde den neuen mit RH 7.2 bespielen ...

irgendwelche SIcherheitstipps, manuals etc ???
danke danke
 

Labba
Gast





BeitragVerfasst am: 13. Apr 2002 19:44   Titel: Re: Hackerangriff ? Hilfe !

Red Hat 6.2 ??

Lass mich raten, Sicherheitsupdates sind ein Fremdwort für dich.

Möglicherweise eine heilsame Erfahrung

Mfg
 

Nad
Gast





BeitragVerfasst am: 14. Apr 2002 2:18   Titel: Re: Hackerangriff ? Hilfe !

danke Labba für dein wirklich produktiven und besonders hilfreichen Beitrag.

Gruß Nad
 

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 14. Apr 2002 3:07   Titel: Re: Hackerangriff ? Hilfe !

@NAD
> > >irgendwelche Sicherheitstipps?
> >Lass mich raten, Sicherheitsupdates sind ein Fremdwort für dich.
>danke Labba für dein wirklich produktiven und besonders hilfreichen Beitrag.

welchen Teil von: du sollst die Sicherheitsupdates einspielen, hast du denn nicht verstanden?
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
 
Benutzer-Profile anzeigen Private Nachricht senden

Stefan
Gast





BeitragVerfasst am: 15. Apr 2002 9:43   Titel: Re: Hackerangriff ? Hilfe !

Hi,
generell ist so eine RH schon ziemlich sicher. Bei dem Hack, der bei dir durchgeführt wurde, nutzte der Angreifer eine alte SSH-Version aus. Also regelmäßige Updates sind zwingend notwendig. Da der Kerl aber anscheinend recht wenig Ahnung hat (Logfiles nicht gefixt), kannst du ja erstmal den von ihm angelegten Benutzer entfernen...
Ansonsten rate ich zu Diensten wie RH-Network. Mit einem Rechner ist das gratis..da läuft ein Update-Agent und spielt dir bequem die neuesten Updates ein, muss dich lediglich registrieren.
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sonstiges Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy