Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
gehackt -> was nun?

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sonstiges
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Hans Solo
prolinux-forum-admin


Anmeldungsdatum: 20.04.2004
Beiträge: 601
Wohnort: AT

BeitragVerfasst am: 23. Mai 2005 13:41   Titel: gehackt -> was nun?

Hi!

Mir ist aufgefallen das sich am Freitag abend jemand aus England anscheinend das Passwort eines Users geknackt hat.

Gibt es eine möglichkeit herauszufinden ob dieser User etwas verändert hat.
Bzw. wäre ich dankbar für Tips um das das nächste mal besser im Griff zu haben.

Sollte man tripwire verwenden oder andere Tools?

Vielen Dank im vorraus
arno
_________________
[root@host]# cd /pub
[root@host]# more beer
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

chlor
Gast





BeitragVerfasst am: 23. Mai 2005 13:52   Titel:

chkrootkit und/oder rkhunter solltest du aufjedenfall mal durchlaufen lassen.
http://www.chkrootkit.org/
http://www.rootkit.nl/
fällt mir dazu als erstes mal ein. ansonsten ist snort sicherlich ein sehr gutes tool, auch fürs näxte mal.
http://www.snort.org/


Zuletzt bearbeitet von chlor am 23. Mai 2005 13:57, insgesamt 1-mal bearbeitet
 

Hans Solo
prolinux-forum-admin


Anmeldungsdatum: 20.04.2004
Beiträge: 601
Wohnort: AT

BeitragVerfasst am: 23. Mai 2005 13:57   Titel:

@chlor
danke die hab ich schon durchlaufen lassen.

kann ich irgendwo herausfinden ob sich dieser user dann mittels su oder einem anderen mechanismus einen root account verschaft hat?

danke
arno
_________________
[root@host]# cd /pub
[root@host]# more beer
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

Hans Solo
prolinux-forum-admin


Anmeldungsdatum: 20.04.2004
Beiträge: 601
Wohnort: AT

BeitragVerfasst am: 23. Mai 2005 14:06   Titel:

chkrootkit hat jetzt doch was gefunden

Checking `lkm'... You have 46 process hidden for readdir command
You have 46 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

reicht es da wenn ich das ps command neu installliere oder wie sehe ich diese prozesse.

vielen dank
arno
_________________
[root@host]# cd /pub
[root@host]# more beer
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

chlor
Gast





BeitragVerfasst am: 23. Mai 2005 14:08   Titel:

also, aus meiner sicht kannst du da nicht wirklich sicher etwas festellen, zumal dieser jemand bereits deine logs verändert oder gelöscht haben kann. ebenso könnte! auch ein kommando wie ps manipuliert sein.
vielleicht findest du hier unter "Vorgehensweise bei gecracktem Server" noch etwas für dich interessantes.
http://www.rootforum.de/faq/index.php?action=show&cat=14
über den lkm brauchst du dir im normalfall nicht so viel gedanken machen, da ist chkrootkit etwas paranoid und verhaut sich an der stelle häufig, aber dein system ist ja wohl schon kompromitiert, insofern?

edit:
sorry, hatte den link vergessen.
 

Hans Solo
prolinux-forum-admin


Anmeldungsdatum: 20.04.2004
Beiträge: 601
Wohnort: AT

BeitragVerfasst am: 23. Mai 2005 14:24   Titel:

mh

das mit dem lkm hab ich jetzt auch ergoogelt.

andere frage wie kann ich den mit "find" alle dateien anzeigen lassen welche in einem bestimmten zeitfenster verändert wurden?

dieser zeigt mir etwas zu viele dateien an

find -mtime -3

mfg
arno
_________________
[root@host]# cd /pub
[root@host]# more beer
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

Hans Solo
prolinux-forum-admin


Anmeldungsdatum: 20.04.2004
Beiträge: 601
Wohnort: AT

BeitragVerfasst am: 23. Mai 2005 14:28   Titel:

@chlor

danke für den link
genau den Punkt I wollte ich vermeiden Wink

i) Danach Server neu aufsetzen, ALLE Passwörter ändern, etc. bli bla blubb

mfg
arno
_________________
[root@host]# cd /pub
[root@host]# more beer
 
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sonstiges Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy