Also sprach Tim Boneko <[EMAIL PROTECTED]> (Fri, 27 Jan 2006 15:15:53 +0100): > Tach zusammen, > ich musste kürzlich feststellen, dass eine meiner Bastel- Baustellen > geknackt wurde: Laut lastlog hatte sich ein Mitglied der Gruppe "user" > von der Domain "linuxkiddies.com" aus angemeldet. So weit, so scheiße.
..sofern du lastlog noch vertrauen kannst. > Jetzt frage ich mich: Wie kann das sein? Bis auf Port 22 ist die > Firewall dicht, default-policy für INPUT ist DROP. Genau genommen hat > der betreffende User kein ssh eingerichtet. > Wie ist der Knabe reingekommen? Keinen Schimmer. Vielleicht User/Passwort mal abgefangen, bei einer ftp Sitzung o.ae.? Aber auch das ist alles andere als einfach. Oder eine erfolgreiche ssh brute force (Die koennen sich ueber Stunden hinziehen..). Tipp: Ich lege einen Unmoeglich_zu_erraten_User an und erlaube mit AllowUsers (sshd_config) nur diesem Zugang. Bisher ist's gut gegangen. Rechner vom Netz und genauer untersuchen. > timbo sl ritch
