Gruesse! * Tim Boneko <[EMAIL PROTECTED]> schrieb am [27.01.06 17:36]: > Gerhard Brauer schrieb: > > >Irgendwie bringst du da was durcheinander. lastlog listet nur Usernamen > >auf, keine Gruppen. > > Äh ja, da steht auch der username drin. Habe mich nur etwas umständlich > ausgedrückt. > "michael" heißt der User, zugriff auf ssh2.
Das ist ein Username, der bei BruteForce definitiv versucht wird. Gab es denn bei dir einen solchen User? > >Was willst du uns damit sagen? > Dass ich bis gerade eben geglaubt hatte, ohne ssh- Identität in ~/.ssh sei > ein ssh- > Login nicht möglich... Wieder was gelernt! Das wäre nur der Fall, wenn der sshd nur Logins über Keys zulassen würde und keine interaktive Anmeldung z.B. über Passwort-Abfrage. > >Vorgehensweise? Hm, Rechner vom Netz nehmen, > >Snapshot des Partition(en) erstellen. Check auf Rootkits bzw. > >Logfile-Check überprüfen. > > Ist schon erledigt. > Danke für die erhellende Antwort! Ist halt bei einem Testrechner die Frage, inwieweit du Zeit zur "Spurensuche" inverstieren willst. Ansonsten halt plattmachen. Ich gebe aber zu bedenken, daß, wenn der Rechner ins LAN eingebunden war, evtl. jeder Rechner darin potentiell von *innen* angreifbar war bzw. korrumpiert ist. Und da der innere Schutz meist vernachlässigt wird (wir haben ja eine FW!)... > So eine Sch... Jep. Das harden-debian-Manual gibt ganz gute Hilfen zur Absicherung und IMHO auch zum "Was tun nach eine Einbruch". > timbo Gruß Gerhard -- HAL is running Windows...