Joerg Fischer wrote: > Hallo Welt, >
Ein Echo zurück, [..] > > Was würdet ihr an meiner Stelle tun? Maschine nur auf Verdacht neu > aufsetzen? > > Jörg > Sollte ein Angreifer Dein System kompromitiert und die vermeintliche Änderung in der smb.conf vorgenommen haben, so sieht dies nach einem sehr plumen Einbruchsversuch aus. Eine solche Änderung würde von einem normalen User (wie mir :)) in kurzer Zeit entdeckt werden. Das Verzeichnis was dabei freigegeben wurden sein soll, befindet sich im RootPath und ist dort kaum zu übersehen. Vielleicht solltest Du dieses näher untersuchen, falls es existiert. Veränderung weiterer Dateien deren Aufbau man nicht selber kennt, lässt sich wohl nur durch einen Vergleich mit einem Checksum der original Datei (unveränderte Datei) prüfen, welche wohl kein normaler User anfertigt. In Sachen logs: Interessanter als das abruppte Eenden der Paketfiltermeldungen (was auf viele verschiedene Ursachen zurückzuführen wäre, die zu erst ausgeschlossen werden müssen) wären die logs von /var/log/samba/* (wann wurde dieser neugestartet) /var/log/messages (fehlt ein -- MARK -- Eintrag) /var/log/setuid.changes (wurden setuid programme geändert) /var/log/auth.log (hat sich jemand in der Zeit als root angemeldet) usw. Da wir gerade beim Checken des Systems sind, fällt mir gleich ein gute Debian Artikel ein, der mit der kompromitierung der Debian Server vor ein paar Monaten zusammenhängt. Dieser erklärt gut, was nach einer Kompromitierung zu beachten ist und wie man rootkits usw. aufspüren kann: <http://www.wiggy.net/debian/developer-securing/> Ja was kann man noch empfehlen. Solltest Du das System nicht neu aufsetzen, sind weitere Vorgänge natürlich best möglich zu überwachen. Es ist unwahrscheinlich das der Angreifer an irgendwelchen Informationen in Deinem System interessiert ist, ausser Du hast irgendwelche für ihn ziemlich interessanten Informationen, das kann ich schwer beurteilen. Wahrscheinlicher ist das der Angreifer das System als Spungbrett verwenden möchte, was aber auch für Dich selber unangenehme Konsequenzen haben kann. Eine Änderung aller Passwörter und Schlüssel ist aber wohl auf jeden fall anzuraten. HTH, Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
