gehackt? panik!

[new_nOOb]

hallo hab ein prob beim durschnüffeln meiner log ist mir aufgefallen das sehr häufig versucht wurde sich bei mir einzuloggen und dabei alle möglichen namen ausprobiert wurden und psw. auch per mysql wurde einiges probiert. nun hab ich natürlich panik das diese person es auch geschaft hat. was mich in der hinsicht auch stutzig macht das obwohl alle user ausgelogt sind er mir noch immer anzeigt das eine person (root) angemeldet ist. das passiert selbst nach einen gerade durchgeführten neustart. hat sich da tatsächlich jemand eingehackt und was installiert?
wäre für jede hilfe dankbar.!

[Arudil]

[zworK]

[moe]

Ich nehme mal an, es handelt sich um einen Rechner zuhause, an einer DSL-Leitung?
Dann kanns auch sein, dass jmd. auf seinen eigenen Rechner wollte, aber seine dyndns-Adresse noch nicht aktualisiert wurde o.ä.
Aber auf jeden Fall im Auge behalten, und wie gesagt den Rechner auf verdächtige Dateien untersuchen.. Im Portage findest du auch chkrootkit und rkhunter, die dir die Suche erleichtern, aber nicht alle Arbeit abnehmen.

Und dann sollte man natürlich sein System so gut wie möglich absichern, mysql z.B. muss in den meisten Fällen gar nicht von ausserhalb erreichbar sein, distcc ist eine beliebte Einbruchshilfe und Dienste die man nicht braucht sollten auch nicht laufen.

Gruss Maurice

[amne]

Wie im englischen Thread i got hacked. what were they up to? auch bereits ausführlich besprochen versuchen seit einiger Zeit ein paar Leute relativ erfolgreich, via ssh mit relativ primitiven User/Passwort-Kombinationen einzubrechen. Über unsichere Accounts wie user: test, pass: test wurden schon einige Systeme kompromittiert. Sofern du einigermassen sichere Passwörter gewählt hast solltest du dir keine Sorgen machen brauchen. Mit rkhunter und chkrootkit (am Besten von einer Live-CD gebootet) kannst du dein System zusätzlich nach installierten Backdoors absuchen.

Um in Zukunft besser zu schlafen empfehlen sich mehrere Massnahmen (die nicht immer gleich gut umsetzbar sind):

• sshd abdrehen weil man ihn gar nicht braucht.
  
• sshd auf anderen Port verlegen (für Privatgebrauch OK, bei öffentlichen Servern meist nicht so gute Idee).
  
• Root-Login abdrehen (Login mit anderem User, dessen Name der Angreifer erst mal rausfinden muss und su).
  
• Mit AllowUsers / AllowGroups die User einschränken (Selbst wenn test:test exisitiert kann er dann nicht mehr einloggen sofern er nicht auf der Allow-Liste steht).
  
• Login nur mehr via ssh-key und nicht nur mit Passwort allein.
  
• Mit iptables und/oder /etc/hosts.allow nur Logins von gewissen IPs zulassen.
  
• Portknocking.
  

Nur aus dem Gedächtnis ein paar Tips, mehr steht wie gesagt im oben genannten Thread.
_________________
Dinosaur week! (Ok, this thread is so last week)

[sven-tek]

Wenn der ssh port auf einen nicht standardport gelegt wird der recht hoch liegt (> 2000) werden solche try and error logins erheblich weniger.

[new_nOOb]

vielen dank für die antworten:)
laut den scan´s von rkhunterhat er nix gefunden aber chkrootkit hat
bindshell'... INFECTED (PORTS: 4000) gefunden... tja und nu? wie bekomme ich das weg und vorallem wie konnte das passieren?
das root passwort ist recht lang und nicht per try+error herrauszubekommen. habe dieses psw allerdings auch leider bei mysql in benutzung
*edit* ahhh das lag am mldonkey (google sei dank:)

wenn beide nix gefunden haben kann ich mir also sicher sein?
der immer eingeloggte user macht mir sorgen (also z.b wenn nur eine console aktiv ist steht trotzdem da 2 user)

[gentop]

Kann es sein, das der zweite User der User ist, unter dessen Namen X gestartet wurde? Das ist nähmlich meistens root...

Da steht dann halt hinder dem user nicht sowas wie "tty..." sondern ":0" oder so ähnlich (kann grad nicht genau nachschauen - bin unter Windoof )

Gruß gentop

[new_nOOb]

x läuft net trotzdem danke

[gentop]

Ansonsten schau dir doch mal alle laufenden Prozesse an, die von root aus laufen:

[Dr_Pepper]

poste mal die Ausgabe von

[gentop]

Und? Wie siehts aus?

//gentop

[Anarcho]

Was ich sehr gut finde:

logwatch

dasmit lass ich mir jeden morgen n Summary der letzen 24h zuschicken, also wer von wo aus sich eingeloggt hat, wer su benutzt hat, wer ein falsches pw benutzt hat etc.
Das läuft sowohl auf meinem Server zuhause als auch auf 2 Root-servern.
Ebenso chkrootkit per Cron und bericht dann per mail.
Jetzt plane ich noch den syslog-ng auf nem anderen Server loggen zu lassen,
bzw. gibt es da die möglichkeit sowohl auf nem Log-server und lokal zu loggen? Nen Tutorial zu syslog-ng wäre fein, muss ich mal nach suchen, oder hat da einer eins in der Hemdtasche?
Kann ich also nur empfehlen.
_________________
...it's only Rock'n'Roll, but I like it!

[Flying_Horse]

... mal in der Hemdentasche (tuxcards) nach syslog-ng gekramt und wirklich was gefunden

http://www.lug-bs.de/lug/faq/syslogng

Damit hab ich auch meine Server konfiguriert, damit alles auf einem zentralen Logserver aufläuft.

Zur Serversicherheit kann ich noch einen Hinweis auf "samhain" (http://la-samhna.de/samhain) beisteuern. Das ist ein Host-IDS System, mit dem sich wichtige Files auf den Maschinen überwachen lassen. Es kann auch im Client/Server-Betrieb laufen und mit dem Webtool "Beltane" konfiguriert werden. Dauert zwar etwas bis es sinnvoll eingerichtet ist, gibt aber dann doch ein beruhigendes Gefühl

Gruss, Klaus

[Anarcho]

Prima, vielen Dank,

werde ich mir gleich mal zur gemüte fügen!
_________________
...it's only Rock'n'Roll, but I like it!