View previous topic :: View next topic |
Author |
Message |
new_nOOb Apprentice
Joined: 05 Mar 2004 Posts: 280
|
Posted: Mon Jan 03, 2005 2:10 am Post subject: gehackt? panik! |
|
|
hallo hab ein prob beim durschnüffeln meiner log ist mir aufgefallen das sehr häufig versucht wurde sich bei mir einzuloggen und dabei alle möglichen namen ausprobiert wurden und psw. auch per mysql wurde einiges probiert. nun hab ich natürlich panik das diese person es auch geschaft hat. was mich in der hinsicht auch stutzig macht das obwohl alle user ausgelogt sind er mir noch immer anzeigt das eine person (root) angemeldet ist. das passiert selbst nach einen gerade durchgeführten neustart. hat sich da tatsächlich jemand eingehackt und was installiert?
wäre für jede hilfe dankbar.! |
|
Back to top |
|
|
Arudil Tux's lil' helper
Joined: 26 Jun 2004 Posts: 144
|
Posted: Mon Jan 03, 2005 2:44 am Post subject: Re: gehackt? panik! |
|
|
new_nOOb wrote: | mich in der hinsicht auch stutzig macht das obwohl alle user ausgelogt sind er mir noch immer anzeigt das eine person (root) angemeldet ist. |
das ist aber nicht rein zufällig der user, mit dem du gerade angemeldet bist..?
und nunja, zum crackversuch:
sowas passiert. Deshalb gibt es Passwörter, die möglichst lang sind, und genügend andere Sicherheitsmassnahmen. Ich denk du wirst ned der einzige sein, bei dem probiert wird sich einzucracken. Ausserdem kann man davon aussgehn dass diese lästige aufgabe von dummen Try-and-Error-and-next-try-and-next-error ausgeführt wird
Ob ers geschafft hat? Da schau mal in die Logs. Da sollte drinstehen wer sich wann eingeloggt hat. |
|
Back to top |
|
|
zworK Guru
Joined: 07 May 2004 Posts: 308
|
Posted: Mon Jan 03, 2005 5:19 am Post subject: Re: gehackt? panik! |
|
|
Arudil wrote: | ...Ich denk du wirst ned der einzige sein, bei dem probiert wird sich einzucracken. Ausserdem kann man davon aussgehn dass diese lästige aufgabe von dummen Try-and-Error-and-next-try-and-next-error ausgeführt wird |
Mit Sicherheit nicht , schau ich die Logfiles von meinem Apache oder FTP-Server durch finde ich immer wieder Versuche sich anzumelden oder einen Overflow zu erzeugen. Wenn man Server-Dienste ins Netz stellt sollte man immer die Logs im Auge behalten und falls Sicherheitslücken auftauchen, auch dementsprechend reagieren.
Du könntest z.B. noch prüfen ob es neue Benutzer gibts, die Bash-History durchblättern, die Logs auf ungewöhnliche Sachen prüfen (ob z.B. was fehlt)... |
|
Back to top |
|
|
moe Veteran
Joined: 28 Mar 2003 Posts: 1289 Location: Potsdam / Germany
|
Posted: Mon Jan 03, 2005 7:59 am Post subject: |
|
|
Ich nehme mal an, es handelt sich um einen Rechner zuhause, an einer DSL-Leitung?
Dann kanns auch sein, dass jmd. auf seinen eigenen Rechner wollte, aber seine dyndns-Adresse noch nicht aktualisiert wurde o.ä.
Aber auf jeden Fall im Auge behalten, und wie gesagt den Rechner auf verdächtige Dateien untersuchen.. Im Portage findest du auch chkrootkit und rkhunter, die dir die Suche erleichtern, aber nicht alle Arbeit abnehmen.
Und dann sollte man natürlich sein System so gut wie möglich absichern, mysql z.B. muss in den meisten Fällen gar nicht von ausserhalb erreichbar sein, distcc ist eine beliebte Einbruchshilfe und Dienste die man nicht braucht sollten auch nicht laufen.
Gruss Maurice |
|
Back to top |
|
|
amne Bodhisattva
Joined: 17 Nov 2002 Posts: 6378 Location: Graz / EU
|
Posted: Mon Jan 03, 2005 8:12 am Post subject: |
|
|
Wie im englischen Thread i got hacked. what were they up to? auch bereits ausführlich besprochen versuchen seit einiger Zeit ein paar Leute relativ erfolgreich, via ssh mit relativ primitiven User/Passwort-Kombinationen einzubrechen. Über unsichere Accounts wie user: test, pass: test wurden schon einige Systeme kompromittiert. Sofern du einigermassen sichere Passwörter gewählt hast solltest du dir keine Sorgen machen brauchen. Mit rkhunter und chkrootkit (am Besten von einer Live-CD gebootet) kannst du dein System zusätzlich nach installierten Backdoors absuchen.
Um in Zukunft besser zu schlafen empfehlen sich mehrere Massnahmen (die nicht immer gleich gut umsetzbar sind):
- sshd abdrehen weil man ihn gar nicht braucht.
- sshd auf anderen Port verlegen (für Privatgebrauch OK, bei öffentlichen Servern meist nicht so gute Idee).
- Root-Login abdrehen (Login mit anderem User, dessen Name der Angreifer erst mal rausfinden muss und su).
- Mit AllowUsers / AllowGroups die User einschränken (Selbst wenn test:test exisitiert kann er dann nicht mehr einloggen sofern er nicht auf der Allow-Liste steht).
- Login nur mehr via ssh-key und nicht nur mit Passwort allein.
- Mit iptables und/oder /etc/hosts.allow nur Logins von gewissen IPs zulassen.
- Portknocking.
Nur aus dem Gedächtnis ein paar Tips, mehr steht wie gesagt im oben genannten Thread. _________________ Dinosaur week! (Ok, this thread is so last week) |
|
Back to top |
|
|
sven-tek Guru
Joined: 06 May 2003 Posts: 339
|
Posted: Mon Jan 03, 2005 8:44 am Post subject: |
|
|
Wenn der ssh port auf einen nicht standardport gelegt wird der recht hoch liegt (> 2000) werden solche try and error logins erheblich weniger. |
|
Back to top |
|
|
new_nOOb Apprentice
Joined: 05 Mar 2004 Posts: 280
|
Posted: Mon Jan 03, 2005 8:57 am Post subject: |
|
|
vielen dank für die antworten:)
laut den scan´s von rkhunterhat er nix gefunden aber chkrootkit hat
bindshell'... INFECTED (PORTS: 4000) gefunden... tja und nu? wie bekomme ich das weg und vorallem wie konnte das passieren?
das root passwort ist recht lang und nicht per try+error herrauszubekommen. habe dieses psw allerdings auch leider bei mysql in benutzung
*edit* ahhh das lag am mldonkey (google sei dank:)
wenn beide nix gefunden haben kann ich mir also sicher sein?
der immer eingeloggte user macht mir sorgen (also z.b wenn nur eine console aktiv ist steht trotzdem da 2 user) |
|
Back to top |
|
|
gentop l33t
Joined: 29 Nov 2004 Posts: 639
|
Posted: Mon Jan 03, 2005 9:09 am Post subject: |
|
|
Kann es sein, das der zweite User der User ist, unter dessen Namen X gestartet wurde? Das ist nähmlich meistens root...
Da steht dann halt hinder dem user nicht sowas wie "tty..." sondern ":0" oder so ähnlich (kann grad nicht genau nachschauen - bin unter Windoof )
Gruß gentop |
|
Back to top |
|
|
new_nOOb Apprentice
Joined: 05 Mar 2004 Posts: 280
|
Posted: Mon Jan 03, 2005 9:13 am Post subject: |
|
|
x läuft net trotzdem danke |
|
Back to top |
|
|
gentop l33t
Joined: 29 Nov 2004 Posts: 639
|
Posted: Mon Jan 03, 2005 10:02 am Post subject: |
|
|
Ansonsten schau dir doch mal alle laufenden Prozesse an, die von root aus laufen:
Fällt dir da was verdächtiges auf?
Gruß gentop |
|
Back to top |
|
|
Dr_Pepper Tux's lil' helper
Joined: 30 Jul 2004 Posts: 96 Location: /earth/europe/de/bawue/karlsruh'
|
Posted: Mon Jan 03, 2005 10:04 am Post subject: |
|
|
poste mal die Ausgabe von
von
und von
_________________ [DrPepper]
--
Linux sex: unzip; strip; touch; finger; mount; fsck; more; yes; umount; sleep |
|
Back to top |
|
|
gentop l33t
Joined: 29 Nov 2004 Posts: 639
|
Posted: Tue Jan 25, 2005 10:04 am Post subject: |
|
|
Und? Wie siehts aus?
//gentop |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Tue Jan 25, 2005 10:25 am Post subject: |
|
|
Was ich sehr gut finde:
logwatch
dasmit lass ich mir jeden morgen n Summary der letzen 24h zuschicken, also wer von wo aus sich eingeloggt hat, wer su benutzt hat, wer ein falsches pw benutzt hat etc.
Das läuft sowohl auf meinem Server zuhause als auch auf 2 Root-servern.
Ebenso chkrootkit per Cron und bericht dann per mail.
Jetzt plane ich noch den syslog-ng auf nem anderen Server loggen zu lassen,
bzw. gibt es da die möglichkeit sowohl auf nem Log-server und lokal zu loggen? Nen Tutorial zu syslog-ng wäre fein, muss ich mal nach suchen, oder hat da einer eins in der Hemdtasche?
Kann ich also nur empfehlen. _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
Flying_Horse n00b
Joined: 22 Aug 2004 Posts: 33 Location: Wohmbrechts, Germany
|
Posted: Tue Jan 25, 2005 5:51 pm Post subject: |
|
|
... mal in der Hemdentasche (tuxcards) nach syslog-ng gekramt und wirklich was gefunden
http://www.lug-bs.de/lug/faq/syslogng
Damit hab ich auch meine Server konfiguriert, damit alles auf einem zentralen Logserver aufläuft.
Zur Serversicherheit kann ich noch einen Hinweis auf "samhain" (http://la-samhna.de/samhain) beisteuern. Das ist ein Host-IDS System, mit dem sich wichtige Files auf den Maschinen überwachen lassen. Es kann auch im Client/Server-Betrieb laufen und mit dem Webtool "Beltane" konfiguriert werden. Dauert zwar etwas bis es sinnvoll eingerichtet ist, gibt aber dann doch ein beruhigendes Gefühl
Gruss, Klaus |
|
Back to top |
|
|
Anarcho Advocate
Joined: 06 Jun 2004 Posts: 2970 Location: Germany
|
Posted: Tue Jan 25, 2005 7:13 pm Post subject: |
|
|
Prima, vielen Dank,
werde ich mir gleich mal zur gemüte fügen! _________________ ...it's only Rock'n'Roll, but I like it! |
|
Back to top |
|
|
|