Server gehackt

2004-08-25 Diskussionsfäden Christian Schmied 
Hallo,

ich habe seit gestern Nacht ein über 700MBgrößeres Transfervolumen auf meinem Server.

Alles Durchsehen der Log-Dateien hat nichts gebracht. 

Mittels nmap habe einen neuen Port entdeckt: Port 88 Kerberos-sec
und mit top finde ich ein Programm, das seit über sechs Stunden läuft und scan-a heißt.

Ich musste den Server neu aufsetzen, da ich ihn heute noch für eine andere Sache benötige. Trotzdem würde ich gerne wissen ob mit den beiden obigen Aussagen jemand von euch was anfangen kann?

Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja 99,9%) wasserdicht bekommt? 

Gruß
Christian
		Gesendet von Yahoo! Mail - Jetzt mit 100MB kostenlosem Speicher

Re: Server gehackt

2004-08-25 Diskussionsfäden Christian Schmied 
Auf dem Server läuft die stable Version.

Offene Ports
9 discard
13 daytime
22 ssh
37 time

zusätzlich dazu habe ich qmail aus den Resourcen ohne Erweiterungspatches kompilert. Der smtpd liefen mit den entsprechenden usern wie bei qmail üblich, also nicht root

Dazu noch vpopmail. Ebenso nicht unter root.

Spamassassin habe ich aus der testing Version.

Einloggen geschieht über ssh als root mit einem 15 stelligen Passwort, Sonderzeichen und Zahlen (meiner Meinung nicht knackbar)

Die Security-Updates habe ich regelmäßig gefahren.

Ich kann mir nur vorstellen das es an qmail, oder vpopmail lag. Alles andere ist nur Grundsystem. 


Patrick Petermair [EMAIL PROTECTED] wrote:
Christian Schmied wrote: Mittels nmap habe einen neuen Port entdeckt: Port 88 Kerberos-sec und mit top finde ich ein Programm, das seit über sechs Stunden läuft  und scan-a heißt.Also scan-a sagt mir nichts. Für die Zukunft: Mit "netstat -tulpa" kannst du dir die offenen Ports ansehen inkl. des jeweiligen Prozesses, der auf diesem Port lauscht. Ein "last" ist auch recht hilfreich, um zu sehen, ob irgendein Account gekapert wurde.Ein Profi verwischt seine Spuren aber so gut, dass man ohne vorherige grundlegende Vorsichtsmaßnahmen nichts mehr entdeckt. Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja  99,9%) wasserdicht bekommt?Debian stable installieren - regelmäßig Sicherheitsupdates einspielen - unnötige Services deaktiveren (inetd.conf) - falls ssh benötigt wird, <
 BR>keine
 einfachen User/PW Kombinationen verwenden (gerade da in letzter Zeit die ssh "Attacken" zunehmen) bzw. gleich Keys erstellen - Firewall (iptables) - Intrusion detection system (z.b. aide)Ach ja, was auch nicht fehlen darf ist der obligatorische Hinweis aufs Debian Security HOW-TO:http://www.debian.org/doc/manuals/securing-debian-howto/index.en.htmlBtw: Welche Dienste hast du auf dem Server denn so laufen?MfGPatrick-- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
		Gesendet von Yahoo! Mail - Jetzt mit 100MB kostenlosem Speicher