Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Einbruch auf meinen Rechner?

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
ytimk



Anmeldungsdatum: 07.09.2001
Beiträge: 341

BeitragVerfasst am: 27. Okt 2002 22:09   Titel: Einbruch auf meinen Rechner?

'n Abend zusammen.

Ich habe mich heute auf der Konsole von meinem Rechner als root eingeloggt und war sehr erstaunt darüber, als da stand:
Last login on Tue[...] from brian.

Nun, ich kann mich zwar entsinnen, Montag oder Dienstag über SSH als root eingeloggt gewesen zu sein um ein Paket zu installieren, aber ich habe keinen Rechner mit dem hostname "brian". Erst habe ich gedacht, ich hätte mir den Namen vielleicht vom DHCP gezogen, aber da ging letzte Woche gar nichts, also habe ich mir eine statische IP gegeben.
Ich bin hier z.Zt. in Dänemark in einem Studentenwohnheim. Zudem habe ich heute auch bemerkt, dass in der rc.local, die mein iptables-Script aufruft, ein Tippfehler war. Das bedeutet, der Rechner stand eine Woche lang ungeschützt (mit sendmail, httpd, ftp, mysql, ...) in einem mittelgroßen LAN.
Installiert ist RedHat 8.0 mit einem 2.4.19-er Kernel (seit heute mit Sicherheits-Patch, das mir den NVIDIA-Treiber zerschossen hat).

Naja, lange Rede, kurzer Sinn: Ist jemand in meine Kiste eingebrochen? Woher sonst kann der Hostname "brian" auftauchen?
 
Benutzer-Profile anzeigen Private Nachricht senden

ratte
Gast





BeitragVerfasst am: 27. Okt 2002 22:23   Titel: Re: Einbruch auf meinen Rechner?

woher der rechnername brian kommt, musst du selbst rausfinden, aber die tatsache, das login diese meldung gebracht hat, deutet darauf hin, dass nicht jemand eingebrochen ist, sondern das dein root-password bekannt ist, da ein regulaerer root-login erfolgt ist.

es ist sowieso eine schlechte idee, ssh root logins zu erlauben...

ratte
 

ytimk



Anmeldungsdatum: 07.09.2001
Beiträge: 341

BeitragVerfasst am: 28. Okt 2002 9:23   Titel: Re: Einbruch auf meinen Rechner?

Was gibt es denn für Möglichkeiten, dass die Kennwörter gelesen werden? Ich habe (hatte) einen regulären Zugang mit dem gleichen Passwort (ich weiß: unvorsichtig) auf einem Debian-Rechner zwecks FTP, kann es sein, dass root auf dem Rechner das Passwort ausgelesen hat?
Oder: Wie einfach ist es, über ein Netzwerk Kennwörter für email auszulesen? Kann das daher kommen? Ich habe fast überall uch die gleichen Passwörter, aber ich werde es noch heute alles zu Unterschiedlichen welchen ändern...

> es ist sowieso eine schlechte idee, ssh root logins zu erlauben...
Wo kann ich das denn einstellen? Habe bisher bei sowas immer die RH-Einstellungen übernommen. Bei FreeBSD weiss ich, dass der root-login in SSH per default gesperrt ist...
 
Benutzer-Profile anzeigen Private Nachricht senden

ytimk



Anmeldungsdatum: 07.09.2001
Beiträge: 341

BeitragVerfasst am: 28. Okt 2002 13:13   Titel: Re: Einbruch auf meinen Rechner?

> es ist sowieso eine schlechte idee, ssh root logins zu erlauben...

Nochmal eine Frage dazu: Müsste ich dann nicht auch das "su"-Kommando verbieten? Macht doch eigentlich keinen Unterschied, ob ich mich direkt als root anmelde, oder als user und dann mit "su -" als root, oder sehe ich das falsch?
 
Benutzer-Profile anzeigen Private Nachricht senden

ratte
Gast





BeitragVerfasst am: 28. Okt 2002 17:08   Titel: Re: Einbruch auf meinen Rechner?

root logins per ssh sollten deswegen verboten sein, damit die user, die sich einloggen duerfen, gezwungen sind, per su oder sudo root-programme auszufuehren, damit diese vorgaenge geloggt werden.

wenn ein dutzend leute sich per root einloggern koennen, will's keiner gewesen sein, wenn zb. was zerkonfiguriert wurde, und nachweisen kann man dann auch nix mehr.

ausserdem, solange das rootpasswort noch geheim ist, und jemand einen user account klaut, muss er immer noch rootrechte erlangen (ok, keine sooo grosse huerde, aber immerhin).

ratte
 

ratte
Gast





BeitragVerfasst am: 28. Okt 2002 17:10   Titel: Re: Einbruch auf meinen Rechner?

und das geht so, indem man in der sshd_config

PermitRootLogin no

setzt.

ratte
 

ytimk



Anmeldungsdatum: 07.09.2001
Beiträge: 341

BeitragVerfasst am: 28. Okt 2002 19:46   Titel: Re: Einbruch auf meinen Rechner?

Hi,

danke Dir!

habe jetzt den Aufruf für's iptables-script berichtigt, Passwörter geändert und ssh zugriff für root verboten. und ab morgen werden e-mails nur noch via SSH und fetchmail über den server meiner Fachhochschule gezogen.

Hier im Netzwerk wird mir einfach zu viel Unfug getrieben. (Naja, wenn man so doof ist, wie ich hat man's auch nicht besser verdient.)
 
Benutzer-Profile anzeigen Private Nachricht senden

ratte
Gast





BeitragVerfasst am: 28. Okt 2002 20:04   Titel: Re: Einbruch auf meinen Rechner?

...und sobald (ASAP!) Zeit dafuer ist, machst du ein backup deiner configfiles, und installierst von vorne, denkst dir nochmal neue passwoerter aus (die ueber diesse maschine gegangen sind) und interessierst dich mal fuer Intrusion Detection Systeme, denn:

wenn der fremde einen sniffer installiert hat, oder ein rootkit, dann sind ihm alle deine neuen informationen womoeglich bekannt!

ratte
 

ytimk



Anmeldungsdatum: 07.09.2001
Beiträge: 341

BeitragVerfasst am: 28. Okt 2002 23:02   Titel: Re: Einbruch auf meinen Rechner?

Hhmm, wo du recht hast...

Ist aber gar nicht so tragisch, weil das sowieso vor hatte. Erstens war das update von RedHat7.3 auf 8.0 irgendwie nicht sehr gelungen und zweitens wollte ich das OS komplett auf Englisch hochziehen, weil mich so Sachen wie "$berpr@fen auf neue Hardware" oder "There are keine updates" ein bisschen nerven.
Naja, ich werd jetzt noch die Kernel-konfiguration sichern und dann ist auch schon Tschüß.
Wobei ich sagen muss: RedHat 8.0... - naja, die 7.x-er haben mir besser gefallen. Aber was soll's, ab dafür.
 
Benutzer-Profile anzeigen Private Nachricht senden

ChrisPr
Gast





BeitragVerfasst am: 29. Okt 2002 9:30   Titel: Re: Einbruch auf meinen Rechner?

evtl erstellst du dir eine firewall-regel welche zugriffe auf den ssh-port mitlogt ..

( dann bekommst du die ip's der maschinen raus die von aussen auf deinen ssh connecten )



grüsse

ChrisPr
 

Fabian
Gast





BeitragVerfasst am: 29. Okt 2002 23:57   Titel: Re: Einbruch auf meinen Rechner?

Weiterer Grund, warum root_logins=no ...

Es ist IMHO als Benutzer (kommt natürlich auf die Ausstattung der Machine an) wesentlich schwerer auf das ROOT-PW zu bruteforcen, als es durch eine Remote-Attacke möglich ist.

Denn wer hat schon Lust tausendmal su anzugeben, denn dann ist er an die Regeln des Systems gebunden ... und wie auch schon gesagt wurde jeder (falsche) su-Zugriff wird geloggt ...

cu

Fabian
 

ytimk



Anmeldungsdatum: 07.09.2001
Beiträge: 341

BeitragVerfasst am: 31. Okt 2002 11:28   Titel: Re: Einbruch auf meinen Rechner?

Hi,
ähm, ist mir jetzt ganz schön peinlich, aber "brian" war tatsächlich ich selber. In der /etc/hosts auf meinem Laptop hat sich ein Fehler eingeschlichen.

Naja, immerhin hab' ich was aus der Sache gelernt.
Danke, euch allen!

Ach ja, nochwas: Wie ich zugriffe auf SSH mit iptables mitlogge ist mir schon einigermaßen klar, aber falsche "su"-Zugriffe loggen?


Zuletzt bearbeitet von ytimk am 31. Okt 2002 11:28, insgesamt 1-mal bearbeitet
 
Benutzer-Profile anzeigen Private Nachricht senden

ratte
Gast





BeitragVerfasst am: 31. Okt 2002 18:45   Titel: Re: Einbruch auf meinen Rechner?

kompliment fuer das eingestehen des eigenen fehlers und danke fuer die fuer andere vielleicht notwendige information (wenn das bloss alle tun wuerden... [\i] ).

in meiner syslog.conf in /etc steht bezueglich authentification, also logins und damit auch su:

code:

auth,authpriv.* /var/log/auth.log



sus werden also in der auth.log gespeichert, nicht in messages. und mit iptables hat der vorgang gar nichts zu tun :)

ratte
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy