Einbruch auf meinen Rechner?

Post Reply
Message
Author
ytimk
Posts: 341
Joined: 07. Sep 2001 0:08

Einbruch auf meinen Rechner?

#1 Post by ytimk »

'n Abend zusammen.

Ich habe mich heute auf der Konsole von meinem Rechner als root eingeloggt und war sehr erstaunt darüber, als da stand:
Last login on Tue[...] from brian.

Nun, ich kann mich zwar entsinnen, Montag oder Dienstag über SSH als root eingeloggt gewesen zu sein um ein Paket zu installieren, aber ich habe keinen Rechner mit dem hostname "brian". Erst habe ich gedacht, ich hätte mir den Namen vielleicht vom DHCP gezogen, aber da ging letzte Woche gar nichts, also habe ich mir eine statische IP gegeben.
Ich bin hier z.Zt. in Dänemark in einem Studentenwohnheim. Zudem habe ich heute auch bemerkt, dass in der rc.local, die mein iptables-Script aufruft, ein Tippfehler war. Das bedeutet, der Rechner stand eine Woche lang ungeschützt (mit sendmail, httpd, ftp, mysql, ...) in einem mittelgroßen LAN.
Installiert ist RedHat 8.0 mit einem 2.4.19-er Kernel (seit heute mit Sicherheits-Patch, das mir den NVIDIA-Treiber zerschossen hat).

Naja, lange Rede, kurzer Sinn: Ist jemand in meine Kiste eingebrochen? Woher sonst kann der Hostname "brian" auftauchen?

ratte

Re: Einbruch auf meinen Rechner?

#2 Post by ratte »

woher der rechnername brian kommt, musst du selbst rausfinden, aber die tatsache, das login diese meldung gebracht hat, deutet darauf hin, dass nicht jemand eingebrochen ist, sondern das dein root-password bekannt ist, da ein regulaerer root-login erfolgt ist.

es ist sowieso eine schlechte idee, ssh root logins zu erlauben...

ratte

ytimk
Posts: 341
Joined: 07. Sep 2001 0:08

Re: Einbruch auf meinen Rechner?

#3 Post by ytimk »

Was gibt es denn für Möglichkeiten, dass die Kennwörter gelesen werden? Ich habe (hatte) einen regulären Zugang mit dem gleichen Passwort (ich weiß: unvorsichtig) auf einem Debian-Rechner zwecks FTP, kann es sein, dass root auf dem Rechner das Passwort ausgelesen hat?
Oder: Wie einfach ist es, über ein Netzwerk Kennwörter für email auszulesen? Kann das daher kommen? Ich habe fast überall uch die gleichen Passwörter, aber ich werde es noch heute alles zu Unterschiedlichen welchen ändern...

> es ist sowieso eine schlechte idee, ssh root logins zu erlauben...
Wo kann ich das denn einstellen? Habe bisher bei sowas immer die RH-Einstellungen übernommen. Bei FreeBSD weiss ich, dass der root-login in SSH per default gesperrt ist...

ytimk
Posts: 341
Joined: 07. Sep 2001 0:08

Re: Einbruch auf meinen Rechner?

#4 Post by ytimk »

> es ist sowieso eine schlechte idee, ssh root logins zu erlauben...

Nochmal eine Frage dazu: Müsste ich dann nicht auch das "su"-Kommando verbieten? Macht doch eigentlich keinen Unterschied, ob ich mich direkt als root anmelde, oder als user und dann mit "su -" als root, oder sehe ich das falsch?

ratte

Re: Einbruch auf meinen Rechner?

#5 Post by ratte »

root logins per ssh sollten deswegen verboten sein, damit die user, die sich einloggen duerfen, gezwungen sind, per su oder sudo root-programme auszufuehren, damit diese vorgaenge geloggt werden.

wenn ein dutzend leute sich per root einloggern koennen, will's keiner gewesen sein, wenn zb. was zerkonfiguriert wurde, und nachweisen kann man dann auch nix mehr.

ausserdem, solange das rootpasswort noch geheim ist, und jemand einen user account klaut, muss er immer noch rootrechte erlangen (ok, keine sooo grosse huerde, aber immerhin).

ratte

ratte

Re: Einbruch auf meinen Rechner?

#6 Post by ratte »

und das geht so, indem man in der <i>sshd_config</i>

<b>PermitRootLogin no</b>

setzt.

ratte

ytimk
Posts: 341
Joined: 07. Sep 2001 0:08

Re: Einbruch auf meinen Rechner?

#7 Post by ytimk »

Hi,

danke Dir!

habe jetzt den Aufruf für's iptables-script berichtigt, Passwörter geändert und ssh zugriff für root verboten. und ab morgen werden e-mails nur noch via SSH und fetchmail über den server meiner Fachhochschule gezogen. <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

Hier im Netzwerk wird mir einfach zu viel Unfug getrieben. (Naja, wenn man so doof ist, wie ich hat man's auch nicht besser verdient.)

ratte

Re: Einbruch auf meinen Rechner?

#8 Post by ratte »

...und sobald (ASAP!) Zeit dafuer ist, machst du ein backup deiner configfiles, und installierst von vorne, denkst dir nochmal neue passwoerter aus (die ueber diesse maschine gegangen sind) und interessierst dich mal fuer Intrusion Detection Systeme, denn:

wenn der fremde einen sniffer installiert hat, oder ein rootkit, dann sind ihm alle deine neuen informationen womoeglich bekannt!

ratte

ytimk
Posts: 341
Joined: 07. Sep 2001 0:08

Re: Einbruch auf meinen Rechner?

#9 Post by ytimk »

Hhmm, wo du recht hast...

Ist aber gar nicht so tragisch, weil das sowieso vor hatte. Erstens war das update von RedHat7.3 auf 8.0 irgendwie nicht sehr gelungen und zweitens wollte ich das OS komplett auf Englisch hochziehen, weil mich so Sachen wie "$berpr@fen auf neue Hardware" oder "There are keine updates" ein bisschen nerven.
Naja, ich werd jetzt noch die Kernel-konfiguration sichern und dann ist auch schon Tschüß. <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
Wobei ich sagen muss: RedHat 8.0... - naja, die 7.x-er haben mir besser gefallen. Aber was soll's, ab dafür. <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

ChrisPr

Re: Einbruch auf meinen Rechner?

#10 Post by ChrisPr »

evtl erstellst du dir eine firewall-regel welche zugriffe auf den ssh-port mitlogt ..

( dann bekommst du die ip's der maschinen raus die von aussen auf deinen ssh connecten )



grüsse

ChrisPr

Fabian

Re: Einbruch auf meinen Rechner?

#11 Post by Fabian »

Weiterer Grund, warum root_logins=no ...

Es ist IMHO als Benutzer (kommt natürlich auf die Ausstattung der Machine an) wesentlich schwerer auf das ROOT-PW zu bruteforcen, als es durch eine Remote-Attacke möglich ist.

Denn wer hat schon Lust tausendmal su anzugeben, denn dann ist er an die Regeln des Systems gebunden ... und wie auch schon gesagt wurde jeder (falsche) su-Zugriff wird geloggt ...

cu

Fabian

ytimk
Posts: 341
Joined: 07. Sep 2001 0:08

Re: Einbruch auf meinen Rechner?

#12 Post by ytimk »

Hi,
ähm, ist mir jetzt ganz schön peinlich, aber "brian" war tatsächlich ich selber. In der /etc/hosts auf meinem Laptop hat sich ein Fehler eingeschlichen.

Naja, immerhin hab' ich was aus der Sache gelernt.
Danke, euch allen!

Ach ja, nochwas: Wie ich zugriffe auf SSH mit iptables mitlogge ist mir schon einigermaßen klar, aber falsche "su"-Zugriffe loggen?
Last edited by ytimk on 31. Oct 2002 11:28, edited 1 time in total.

ratte

Re: Einbruch auf meinen Rechner?

#13 Post by ratte »

kompliment fuer das eingestehen des eigenen fehlers und danke fuer die fuer andere vielleicht notwendige information (<i>wenn das bloss alle tun wuerden... [\i] ).

in meiner syslog.conf in /etc steht bezueglich authentification, also logins und damit auch su:

<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">
auth,authpriv.* /var/log/auth.log
</font><hr></pre></blockquote>

sus werden also in der auth.log gespeichert, nicht in messages. und mit iptables hat der vorgang gar nichts zu tun :)

ratte

Post Reply