Re: Fw: Einbruch in Rechner

2003-07-22 Diskussionsfäden Philipp Meier
On Tue, Jul 22, 2003 at 11:31:40PM +0200, Jan Trippler wrote:
> On Die, 22 Jul 2003 at 22:35 (+0200), Philipp Meier wrote:
> > On Tue, Jul 22, 2003 at 09:52:46PM +0200, Jan Trippler wrote:
> > > On Die, 22 Jul 2003 at 20:48 (+0200), Björn Gaworski wrote:
> > > [...]
> > > > Ja stimmt, die meisten solcher Bugs sind darauf zurückzuführen, das die 
> > > > Programmierer Buffer nicht rcihtig verwalten können, und es
> > > > zu Overflows bzw. Underruns kommt. Und das obwohl die eigentlich wissen 
> > > > sollten, wie man es richtig macht.
> > > 
> > > Nur mal so aus Interesse: Was haben Buffer underruns mit
> > > Sicherheitslecks zu tun?
> > 
> > Ich versuch das als nicht-C-Programmierer mal möglichst einfach zu erklären. 
> [...]
> 
> Und ich als (auch) C-Programmierer frage deshalb, weil Du hier
> Buffer *Overflows* meinst - Buffer *Underruns* treten im Allgemeinen
> im Zusammenhang mit CD-/DVD-Brennern auf und haben überhaupt nix mit
> Sicherheitslecks zu tun.

Buffer Underruns wurden von Björn erwähnt und nicht von mir ;-)
Theoretisch ist es bestimmt möglich Buffer Underruns auf für exploits zu
nutzen. Ich interpretieres Buffer Underrun mal als den Fall, daß in dem
entsprechenden Bereich noch vorhandene Daten nicht "gelöscht" werden und
sich somit somit mit den "neuen" Daten vermischen / sich anhängen und
insofern diese verschmutzen. Keine Ahnung, ob sowas in der freien
Wildbahn schonmal als exploit umgesetzt wurde.

-billy.
-- 
Meisterbohne   Meisterbohne GbR, Küfner, Mekle, Meier   Tel: +49-731-399 499-0
   eLösungen   Söflinger Straße 100 Fax: +49-731-399 499-9
   89077 Ulm   http://www.meisterbohne.de/


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-22 Diskussionsfäden Björn Gaworski


> On Die, 22 Jul 2003 at 22:35 (+0200), Philipp Meier wrote:
> > On Tue, Jul 22, 2003 at 09:52:46PM +0200, Jan Trippler wrote:
> > > On Die, 22 Jul 2003 at 20:48 (+0200), Björn Gaworski wrote:
> > > [...]
> > > > Ja stimmt, die meisten solcher Bugs sind darauf zurückzuführen, das die 
> > > > Programmierer Buffer nicht rcihtig verwalten können,
und es
> > > > zu Overflows bzw. Underruns kommt. Und das obwohl die eigentlich wissen 
> > > > sollten, wie man es richtig macht.
> > >
> > > Nur mal so aus Interesse: Was haben Buffer underruns mit
> > > Sicherheitslecks zu tun?
> >
> > Ich versuch das als nicht-C-Programmierer mal möglichst einfach zu erklären.
> [...]
>
> Und ich als (auch) C-Programmierer frage deshalb, weil Du hier
> Buffer *Overflows* meinst - Buffer *Underruns* treten im Allgemeinen
> im Zusammenhang mit CD-/DVD-Brennern auf und haben überhaupt nix mit
> Sicherheitslecks zu tun.
>
> Jan

Nun ja, sicherlich ist das der bekannteste Bufferunderun. Buffer underrun ist aber 
auch , wenn ein Programm auf eine Speicheradresse
zugreift, die es sich zwar reserviert hat, aber z.B. nicht mit 0 o.ä. initialisiert 
hat und in der momentan undefiniertes steht. Das
kann zum Absturz des Programms führen oder zu anderem unerwartetem Verhalten.

Das hat jetzt indirekt etwas mit sicherheitslecks zu tun, da, wenn man dieses 
Fehlverhalten z.B. einer Firewall kennt, man es
vielleicht als Angreifer herbeiführen kann und schon stürzt die Firewall ab.

In erster Linie habe ich das aber der vollständigkeit halber erwähnt, und wollte 
eigentlich nur sagen, das man als Programmierer auf
beides achten muss, über- und unterläufe.

__
Björn



-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-22 Diskussionsfäden Jan Trippler
On Die, 22 Jul 2003 at 22:35 (+0200), Philipp Meier wrote:
> On Tue, Jul 22, 2003 at 09:52:46PM +0200, Jan Trippler wrote:
> > On Die, 22 Jul 2003 at 20:48 (+0200), Björn Gaworski wrote:
> > [...]
> > > Ja stimmt, die meisten solcher Bugs sind darauf zurückzuführen, das die 
> > > Programmierer Buffer nicht rcihtig verwalten können, und es
> > > zu Overflows bzw. Underruns kommt. Und das obwohl die eigentlich wissen sollten, 
> > > wie man es richtig macht.
> > 
> > Nur mal so aus Interesse: Was haben Buffer underruns mit
> > Sicherheitslecks zu tun?
> 
> Ich versuch das als nicht-C-Programmierer mal möglichst einfach zu erklären. 
[...]

Und ich als (auch) C-Programmierer frage deshalb, weil Du hier
Buffer *Overflows* meinst - Buffer *Underruns* treten im Allgemeinen
im Zusammenhang mit CD-/DVD-Brennern auf und haben überhaupt nix mit
Sicherheitslecks zu tun.

Jan


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-22 Diskussionsfäden Philipp Meier
On Tue, Jul 22, 2003 at 09:52:46PM +0200, Jan Trippler wrote:
> On Die, 22 Jul 2003 at 20:48 (+0200), Björn Gaworski wrote:
> [...]
> > Ja stimmt, die meisten solcher Bugs sind darauf zurückzuführen, das die 
> > Programmierer Buffer nicht rcihtig verwalten können, und es
> > zu Overflows bzw. Underruns kommt. Und das obwohl die eigentlich wissen sollten, 
> > wie man es richtig macht.
> 
> Nur mal so aus Interesse: Was haben Buffer underruns mit
> Sicherheitslecks zu tun?

Ich versuch das als nicht-C-Programmierer mal möglichst einfach zu erklären. 
Meistens reserviert Software für die Speicherung von Daten, wie z.B.
Zeichenketten einen festen Speicherbereich. Wird nun beim Kopieren von
Daten in diese Speicherbereiche z.B. beim Einlesen von eMails oder eines
HTTP-Requests die Größe dieses Bereichs nicht überprüft, so werden
andere Bereiche im Speicher überschrieben. Unter umständen sind das
dummerweise Bereiche, in dem nicht Daten gespeichert sind, sondern der
ausführbare Maschinencode. Ist dem Angreifer das Opfer-System bekannt,
als ist das ein x86-System oder ein PowerPC, läuft ein Linux / BSD /
MacOS, und welche Version hat z.B. der Apache, so läßt sich unter
Umständen ein solcher Fehler zur geziehlten Ausführung von bösartigem
Code ausnutzen. (Dies ist ein Grund, warum manche Betreiber von
Webservern z.B. die Rückmeldung, um welches System es sich handelt, und
welche Softwareversion eingestzt wird unterdrücken.) Dererlei Angriffe
sind allerdings nicht ganz trivial, da je nach System ein spezieller
Angriff gebastelt werden muß. IIRC gibt es allerdings auch dafür schon
unterstützende Tools.

-billy.

-- 
Meisterbohne   Meisterbohne GbR, Küfner, Mekle, Meier   Tel: +49-731-399 499-0
   eLösungen   Söflinger Straße 100 Fax: +49-731-399 499-9
   89077 Ulm   http://www.meisterbohne.de/


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-22 Diskussionsfäden Jan Trippler
On Die, 22 Jul 2003 at 20:48 (+0200), Björn Gaworski wrote:
[...]
> Ja stimmt, die meisten solcher Bugs sind darauf zurückzuführen, das die 
> Programmierer Buffer nicht rcihtig verwalten können, und es
> zu Overflows bzw. Underruns kommt. Und das obwohl die eigentlich wissen sollten, wie 
> man es richtig macht.

Nur mal so aus Interesse: Was haben Buffer underruns mit
Sicherheitslecks zu tun?

Jan


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-22 Diskussionsfäden Björn Gaworski
> Das ist nicht das, worauf ich hinauswollte. Mit ausführbaren Dateien ist
> ja klar. Ich schick die ein shellscript mit 'sudo nohup rm -rf / &' und
> so weiter.
> Das fiese ist, wenn dein Mailprogramm einen bug hat, z.B. einen
> Pufferüberlauf bei der Behandlung des Subjects, dann kann ich Dir eine
> meine mit einem "specially crafted", also speziell erzeugtem Subject
> schicke, und -- ohne das das ausfürbahre Attachments sind, oder Du etwas
> "anklicken" mußt -- wird bei der Darstellung der Liste der neuen Mails
> dein Mail-Programm einen Schluckaufbekommen und meinen code ausführen.
> IMHO hatte mutt im letzten halben Jahr mal einen Buffer-Overflow-Bug,
> weiß jetzt aber nicht mehr, ob der einen remote code exploit ermöglicht
> hat.
>
> -billy.

Ja stimmt, die meisten solcher Bugs sind darauf zurückzuführen, das die Programmierer 
Buffer nicht rcihtig verwalten können, und es
zu Overflows bzw. Underruns kommt. Und das obwohl die eigentlich wissen sollten, wie 
man es richtig macht.

__
Björn



-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-22 Diskussionsfäden Philipp Meier
On Tue, Jul 22, 2003 at 07:36:32PM +0200, Björn Gaworski wrote:

> > Beispielsweise könnte dein E-Mail-Programm einen Fehler enthalten, der
> > sich ausnutzen läßt um beliebigen Code auszuführen. Ich könnte nun Dir
> > eine E-Mail schicken, die diesen Fehler ausnutzt, und ein Stück Code
> > ausführt, der mir deine Online-Banking-Daten von gnucash zusendet.
> > Deswegen recht es leider weder aus, Ports zu schließen, Firewalls
> > irgendwo zwischenzuhänge, oder Dienste generell nicht nach außen
> > anzubieten. Die Windows-typischen E-Mail-Würmer funktioneren ja genau
> > nach diesem Prinzip.
> >
> > -billy.
> 
> Gegen so etwas kann man sich sowieso nie schützen, außer man verbietet es generell 
> ausführbare Programme per Mail zu versenden, was
> Outlook Express mittlerweile tut ;) Kann man aber zum Glück ausschalten.

Das ist nicht das, worauf ich hinauswollte. Mit ausführbaren Dateien ist
ja klar. Ich schick die ein shellscript mit 'sudo nohup rm -rf / &' und
so weiter.
Das fiese ist, wenn dein Mailprogramm einen bug hat, z.B. einen
Pufferüberlauf bei der Behandlung des Subjects, dann kann ich Dir eine
meine mit einem "specially crafted", also speziell erzeugtem Subject
schicke, und -- ohne das das ausfürbahre Attachments sind, oder Du etwas
"anklicken" mußt -- wird bei der Darstellung der Liste der neuen Mails
dein Mail-Programm einen Schluckaufbekommen und meinen code ausführen.
IMHO hatte mutt im letzten halben Jahr mal einen Buffer-Overflow-Bug,
weiß jetzt aber nicht mehr, ob der einen remote code exploit ermöglicht
hat.

-billy.
-- 
Meisterbohne   Meisterbohne GbR, Küfner, Mekle, Meier   Tel: +49-731-399 499-0
   eLösungen   Söflinger Straße 100 Fax: +49-731-399 499-9
   89077 Ulm   http://www.meisterbohne.de/


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-22 Diskussionsfäden Björn Gaworski
> Naja 100% wohl auch nicht. Prinzipiell kann jetzt Software, inklusive
> der Kernel aufgrund von Bugs Dinge tun, die "nicht vorgesehen sind".
> Gefählich wirds dann, wenn jemand von außen die Software so mit Daten
> füttern kann, daß sie Dinge tut, die seinen bösartigen zwecken dienen.
> Dies hat mit von außen zugänglichen Diensten nichts mehr zu tun. Draus
> leitet sich z.B. die Empfehlung ab, sowenig Dinge wie mögliche als
> "root" zu tun, um in einem solchen Fall die tragweite eines Angriffes zu
> beschränken.
> Beispielsweise könnte dein E-Mail-Programm einen Fehler enthalten, der
> sich ausnutzen läßt um beliebigen Code auszuführen. Ich könnte nun Dir
> eine E-Mail schicken, die diesen Fehler ausnutzt, und ein Stück Code
> ausführt, der mir deine Online-Banking-Daten von gnucash zusendet.
> Deswegen recht es leider weder aus, Ports zu schließen, Firewalls
> irgendwo zwischenzuhänge, oder Dienste generell nicht nach außen
> anzubieten. Die Windows-typischen E-Mail-Würmer funktioneren ja genau
> nach diesem Prinzip.
>
> -billy.

Gegen so etwas kann man sich sowieso nie schützen, außer man verbietet es generell 
ausführbare Programme per Mail zu versenden, was
Outlook Express mittlerweile tut ;) Kann man aber zum Glück ausschalten.

Bei den meisten Kiddiewürmern für Windows liegt es immer noch am User, der die Mail 
empfängt das Programm auszuführen. Ist für Linux
ja auch nicht weiter schwer soetwas zu programmieren. Bei ausführen einfach mal die 
Kontaktliste auslesen und sich selber an alle
Adressen versenden, wenns der User startet, selber Schuld :D

__
Björn



-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-22 Diskussionsfäden Philipp Meier
On Sun, Jul 20, 2003 at 07:30:35PM +0200, Andreas Kretschmer wrote:
> am  Sun, dem 20.07.2003, um 19:24:22 +0200 mailte Björn Gaworski folgendes:
> > > Linux ist so sicher, wie der Administrator es einstellt.
> > 
> > Ich dachte immer Linux Standard Policy ist verbiete alles! Ich habe es
> 
> Nein, das ist von Distri zu Distri schon unterschiedlich. Was IMHO
> default zu 100% sicher ist: KNOPPIX. Da lauscht nix nach außen.

Naja 100% wohl auch nicht. Prinzipiell kann jetzt Software, inklusive
der Kernel aufgrund von Bugs Dinge tun, die "nicht vorgesehen sind".
Gefählich wirds dann, wenn jemand von außen die Software so mit Daten
füttern kann, daß sie Dinge tut, die seinen bösartigen zwecken dienen.
Dies hat mit von außen zugänglichen Diensten nichts mehr zu tun. Draus
leitet sich z.B. die Empfehlung ab, sowenig Dinge wie mögliche als
"root" zu tun, um in einem solchen Fall die tragweite eines Angriffes zu
beschränken.
Beispielsweise könnte dein E-Mail-Programm einen Fehler enthalten, der
sich ausnutzen läßt um beliebigen Code auszuführen. Ich könnte nun Dir
eine E-Mail schicken, die diesen Fehler ausnutzt, und ein Stück Code
ausführt, der mir deine Online-Banking-Daten von gnucash zusendet.
Deswegen recht es leider weder aus, Ports zu schließen, Firewalls
irgendwo zwischenzuhänge, oder Dienste generell nicht nach außen
anzubieten. Die Windows-typischen E-Mail-Würmer funktioneren ja genau
nach diesem Prinzip.

-billy.


-- 
Meisterbohne   Meisterbohne GbR, Küfner, Mekle, Meier   Tel: +49-731-399 499-0
   eLösungen   Söflinger Straße 100 Fax: +49-731-399 499-9
   89077 Ulm   http://www.meisterbohne.de/


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-21 Diskussionsfäden Arne Braun
Am Sun, 20 Jul 2003 21:25:12 +0200
schrieb [EMAIL PROTECTED] (Peter Schubert) :


> Linux aber auch nicht ;-)
> Das dürfte kein System wegstecken.
> Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette 
> ich meinen Hintern dagegen, dass danach auch nichts mehr geht.
> 
> Peter
Ist aber echt nicht nett so ohne Hintern.
Nach umzug der Festplatte in neuen Rechner von 500MHz nach Ahtlon XP
1600 nur den Sound und die Netzwerkkarte geändert (ist jetzt halt auf
dem Motherboard) sonst war nichts nötig.
Gruß Arne




-- 
"The Proper way to handle HTML postings is to cancel the article,
then hire a killer to kill the poster,his wife and kids,and fuck his dog
and smash his computer into little bits.Anything more is just extremism"


pgp0.pgp
Description: PGP signature


Re: Einbruch in Rechner

2003-07-21 Diskussionsfäden Gerhard Schromm
On Mon, 21 Jul 2003, Björn Gaworski told this:

>> Vermutlich hat der Einbrecher ein rootkit installiert, welches auch
>> diverse Programme wie ps, ls und andere ersetzt. Da du nicht weißt,
>> was da alles geändert wurde, ist die einzige Lösung, plattmachen
>> und neu installieren.
> 
> Man lernt nie aus, von Rootkits hab ich nämlich vorher noch nie was
> gehört, ist bis jetzt an mir vorbei gegangen, das es unter Linux ein
> solches Sicherheistproblem gibt.

Software hat Fehler. Auch unter Linux. Wenn man so einen Fehler mal
ausnützt, will man unter Umständen einen Zugang zum Rechner, auch wenn
der Eigentümer die fehlerhafte Software, über die man eingebrochen
ist, ersetzt hat. Für dieses Problem gibt es rootkits, welche eben
einen Zugang zum Rechner sichern, und die Spuren verwischen. Zumindest
im letzten Punkt hat sich der Einbrecher in deinem Fall etwas
ungeschickt verhalten.

>> PS: Stell bitte das HTML ab, es ist überflüssig.
> 
> HTML? Ich sende als "Nur-Text" (Ich kenn die OE-News Probs)

Die letzte Mail war mit text und html (multipart/alternative), diese
ist OK. 
> Das denke ich auch, mir gings darum die Daten zu sichern, ich werds
> mit Knoppix versuchen, die Platte mounten und dann die Daten übers
> Netz sichern

Bevor du die Daten nutzt, kontrolliere nach, ob da was verändert
wurde. Und den befallenen Rechner auf jeden Fall vom Internet
fernhalten (bis zur Neuinstallation).

bye Gerhard


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-21 Diskussionsfäden Michelle Konzack
On Mon, 2003-07-21  1:41:55 +0200, Peter Schubert wrote:

>das klingt ja wirklich wie Spionage !? Wenn es XP wäre, würde ich sagen, 
>es ist der Statusbericht des Systems an Bill. Wenn ich schon 
>"@yahoo.com" lese. Auf einigen mir bekannten Windows-Rechnern im 
>kommerziellen Gebrauch (Arztpraxen u. Apotheken mit Web-Anbindung)  sind 
>solche Adressen längst zum Löschen auf dem Server eingestellt. @gmx.xx 
>übrigens auch. Angeblich kamen aus diesem Winkel die meisten Mails mit 
>Viren.

Bei mir sind es so um die 8-15 Haustiere pro Woche...

>>Das könnte auch den Herrn Staatsanwalt interessieren. Ich würde zwar
>>nicht viel darauf geben, wenn der Typ in einem nicht-EU-Staat
>>sitzt. 
>
>weshalb ist der weniger gefährlich ?
>wenn er sendmail konfiguriert hätte, wüsste der Typ jetzt, was er wissen 
>wollte und das Web würden die EU-Grenzen wohl kaum kümmern.

Ich denke, das meinte er nicht...
Wenn die Hacker ausserhalb der EU sitzen, sieht es mit der 
Zusammenarbit der Justizbehoerden grauenhaft aus...

>Gruss
>Peter

Du Auch
Michelle

-- 
Registered Linux-User #280138 with the Linux Counter, http://counter.li.org.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-21 Diskussionsfäden Peter Schubert
Frank Küster schrieb:



Gefährlich sind im übrigen auch nachlässig gewartete Rechner, die dann
solchen Leuten eine Angriffsplattform bieten.
Gruß, Frank
 

absolut kein Widerspruch, nicht nur die Wartung. Bei einer Kundin wollte 
ich mal wissen, was sie sich denn da für eine komische Buchstabenfolge 
an den Schreibtisch geklebt hätte. Nichts weiter Schlimmes, nur das 
Passwort für die Datenbank :-D

Gruss
Peter
--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)


Re: Einbruch in Rechner

2003-07-21 Diskussionsfäden Frank Küster
[EMAIL PROTECTED] (Peter Schubert) schrieb:

> Frank Küster schrieb:
>
>>
>>Das könnte auch den Herrn Staatsanwalt interessieren. Ich würde zwar
>>nicht viel darauf geben, wenn der Typ in einem nicht-EU-Staat
>> sitzt.
>
> weshalb ist der weniger gefährlich ?

Wer soll weniger gefährlich sein?

Ich wollte doch nur sagen, dass die deutschen Behörden wenig Chancen
(und daher auch wenig Lust) haben, den Eindringling/Spion zu verfolgen,
wenn er von außerhalb der EU kommt. Über die Gefährlichkeit ist damit
gar nichts gesagt. 

Gefährlich sind im übrigen auch nachlässig gewartete Rechner, die dann
solchen Leuten eine Angriffsplattform bieten.

Gruß, Frank
-- 
Frank Küster, Biozentrum der Univ. Basel
Abt. Biophysikalische Chemie


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-21 Diskussionsfäden Peter Schubert
Frank Küster schrieb:

Björn Gaworski <[EMAIL PROTECTED]> schrieb:

 

On Mon, Jul 21, 2003 at 11:06:54AM +0200, Björn Gaworski wrote:
 

So, mir ist gerade aufgefallen, das ich wahrscheinlich die
Emailadresse vom Einbrecher hab. Ich konnte nämlich vom
Linuxrechner
   

über sendmail nix versenden, weil ich das nicht konfiguriert
   

hatte. Und jetzt steht im Syslog ne Fehlermeldung, dass eine Email
an [EMAIL PROTECTED] nicht gesendet werden konnte, wegen irgendwelcher
Domäneneinstellungen.
   

Schau dir mal den Inhalt der Mail an! Siehts evtl. nach Spam aus?
 

Nein, da stehen verschiedene Daten über den Rechner, Größe der
Festplatten, Anzahl und Namen der vorhandenen User, Uptime ... solche
Dinge.
das klingt ja wirklich wie Spionage !? Wenn es XP wäre, würde ich sagen, 
es ist der Statusbericht des Systems an Bill. Wenn ich schon 
"@yahoo.com" lese. Auf einigen mir bekannten Windows-Rechnern im 
kommerziellen Gebrauch (Arztpraxen u. Apotheken mit Web-Anbindung)  sind 
solche Adressen längst zum Löschen auf dem Server eingestellt. @gmx.xx 
übrigens auch. Angeblich kamen aus diesem Winkel die meisten Mails mit 
Viren.

   

Das könnte auch den Herrn Staatsanwalt interessieren. Ich würde zwar
nicht viel darauf geben, wenn der Typ in einem nicht-EU-Staat
sitzt. 

weshalb ist der weniger gefährlich ?
wenn er sendmail konfiguriert hätte, wüsste der Typ jetzt, was er wissen 
wollte und das Web würden die EU-Grenzen wohl kaum kümmern.

Gruss
Peter
--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)


Re: Einbruch in Rechner

2003-07-21 Diskussionsfäden Frank Küster
Björn Gaworski <[EMAIL PROTECTED]> schrieb:

>> On Mon, Jul 21, 2003 at 11:06:54AM +0200, Björn Gaworski wrote:
>> > So, mir ist gerade aufgefallen, das ich wahrscheinlich die
>> > Emailadresse vom Einbrecher hab. Ich konnte nämlich vom
>> > Linuxrechner
> über sendmail nix versenden, weil ich das nicht konfiguriert
>> > hatte. Und jetzt steht im Syslog ne Fehlermeldung, dass eine Email
>> > an [EMAIL PROTECTED] nicht gesendet werden konnte, wegen irgendwelcher
>> > Domäneneinstellungen.
>> Schau dir mal den Inhalt der Mail an! Siehts evtl. nach Spam aus?
>
> Nein, da stehen verschiedene Daten über den Rechner, Größe der
> Festplatten, Anzahl und Namen der vorhandenen User, Uptime ... solche
> Dinge.

Das könnte auch den Herrn Staatsanwalt interessieren. Ich würde zwar
nicht viel darauf geben, wenn der Typ in einem nicht-EU-Staat
sitzt. Aber du kannst sie (eine geeignete Ermittlungsgruppe für
Computerstraftaten, nicht unbedingt die örtliche Staatsanwaltschaft) ja
mal fragen, ob sie Interesse haben. 

Gruß, Frank
-- 
Frank Küster, Biozentrum der Univ. Basel
Abt. Biophysikalische Chemie


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-21 Diskussionsfäden Björn Gaworski
> On Mon, Jul 21, 2003 at 11:06:54AM +0200, Björn Gaworski wrote:
> > So, mir ist gerade aufgefallen, das ich wahrscheinlich die Emailadresse vom 
> > Einbrecher hab. Ich konnte nämlich vom Linuxrechner
über
> > sendmail nix versenden, weil ich das nicht konfiguriert hatte. Und jetzt steht im 
> > Syslog ne Fehlermeldung, dass eine Email an
> > [EMAIL PROTECTED] nicht gesendet werden konnte, wegen irgendwelcher 
> > Domäneneinstellungen.
>
> Schau dir mal den Inhalt der Mail an! Siehts evtl. nach Spam aus?

Nein, da stehen verschiedene Daten über den Rechner, Größe der Festplatten, Anzahl und 
Namen der vorhandenen User, Uptime ... solche
Dinge.

> > Jetzt brauch ich mir nur noch überlegen, was ich dem blöden Idioten schreibe ;-)
>
> Falls es wirklich seine E-Mail Adresse ist, dann lass deiner Phantasie
> freien lauf ;-)

Klar ;)

__
Björn



-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-21 Diskussionsfäden Andreas Pakulat
On 20.Jul 2003 - 22:15:06, Peter Schubert wrote:
> Dieter Franzke schrieb:
> 
> >
> >>na aber, eine Festplatte ist kein Motherboard. Festplatte ist was
> >>völlig anderes, es gibt ja schließlich in verschiedenen
> >>Unternehmen auch für verschiedene User eigene Wechselfestplatten.
> >>Ich habe hier eine Festplatte mit einem kompletten System in der
> >>Hinterhand, da erwarte ich, dass das funktioniert, wenn ich die
> >>mal brauche.
> >>   
> >>
> >
> >mal langsam: wenn er die Festplatte in einen anderen Rechner steckt 
> >hat das System doch ein anderes Motherbord...
> >oder sehe ich da was falsch?
> > 
> >
> 
> 
> nja, nein und ja, das System auf der Wechselplatte ist natürlich vorher 
> in dem gleichen Rechner erstellt worden und liegt als Reserve im 
> Schrank, oder bei dem Unternehmensbeispiel sind die Festplatten alle mit 
> ein und dem gleichen System erstellt worden.

Es ging um den Wechsel der Platte von PII zu Amd 800, nicht um deine
Platte. Lies mal die Postings genau durch. Übrigens hat man grad auch in
Unternehmen selten homogene Rechnerstrukturen, so das auch da mit
Sicherheit eine Platte nicht ausreicht. Und unter Linux hast du mit den
Standardkerneln i.A. kein Problem damit das ganze System auszutauschen,
weil die Treiber alle Modular im Kernel eingebaut sind. Außerdem sind
sämtliche Debian-Pakete für i386 gebaut, sprich die laufen auf allen
i386 kompatiblen PC's.

Andreas

-- 
Ich brauche keinen Butler. Ich habe eine junge Frau!
-- Thomas Doll
(Diese ist mittlerweile übrigens mit Olaf Bodden verheiratet.)


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-21 Diskussionsfäden Andreas Pakulat
On 20.Jul 2003 - 20:17:36, Björn Gaworski wrote:
> neuinstallieren muss, was ich jetzt unter Linux tun muss. Ich hab generell noch nie 
> neuinstalliert seit es Win2k gibt, außer ich
> hatte neue Hardware, das verkraftet Windows nicht, wenn man die Mainboards wechselt, 
> ist halt pech.

Also so pauschal kann man das ja nun nicht stehen lassen. Ich hab meinem
PIII schonmal ein neues Motherboard spendiert und W2K hat nicht
gemeckert. Allerdings war das auch nur ein Herstellerwechsel von
Gigabyte zu Asus, wobei der Chipsatz derselbe geblieben ist. W98
hingegen hat nichtmal das verkraftet.

Andreas

-- 
Packungsaufschriften US-amerikanischer Produkte:
Auf MARKS & SPENCER BREAD PUDDING:
Produkt wird nach dem Erwärmen heiß sein.


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-21 Diskussionsfäden Dieter Franzke
Hi,

Am Montag, 21. Juli 2003 10:27 schrieb Ulrich Wiederhold:
> Hallo,
>
> * Peter Schubert <[EMAIL PROTECTED]> [030720 21:25]:
> > Dieter Franzke schrieb:
> > Linux aber auch nicht ;-)
> > Das dürfte kein System wegstecken.
> > Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da
> > verwette ich meinen Hintern dagegen, dass danach auch nichts
> > mehr geht.
>
> Hat hier funktioniert. Natürlich habe ich vorher einen
> entsprechenden neuen Kernel kompiliert (Sockel7 Board auf Athlon
> XP Board).

fasse mal zusammen:

wenn du einen modularen Kernel hast, der alle Treiber als module 
laden kann (z.B: die berüchtigten SuSE-Kernel, die aber wirklich 
auch alles mit sich rumschleppen...) und dazu noch mit ner 
knackigen initrd daherkommt, stehen deine Chancen ausgezeichnet

Haste aber nen Eigenbau, angepasst an deine Hardware sieht's 
schlecht aus, dann wird's wohl definitiv nicht gehen.

Unter Windows stehen die chancen mit älteren Versionen besser, da 
die neuen nicht intelligent genug sind zu merken, dass sie statt 
gar keinen ide-controller-treiber zu laden, nur den 
Standard-Treiber laden müssten

Ist halt Windows, dumm und träge...:)))

Dieter
-- 
registered linuxuser 199810
publickey: http://www.eyenovation.de/people/franzke/franzke.asc
TCPA keine Chance! --->  http://www.againsttcpa.com/


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-21 Diskussionsfäden Frank Lorenzen
On Mon, Jul 21, 2003 at 11:06:54AM +0200, Björn Gaworski wrote:
> So, mir ist gerade aufgefallen, das ich wahrscheinlich die Emailadresse vom 
> Einbrecher hab. Ich konnte nämlich vom Linuxrechner über
> sendmail nix versenden, weil ich das nicht konfiguriert hatte. Und jetzt steht im 
> Syslog ne Fehlermeldung, dass eine Email an
> [EMAIL PROTECTED] nicht gesendet werden konnte, wegen irgendwelcher 
> Domäneneinstellungen.

Schau dir mal den Inhalt der Mail an! Siehts evtl. nach Spam aus?

> Jetzt brauch ich mir nur noch überlegen, was ich dem blöden Idioten schreibe ;-)

Falls es wirklich seine E-Mail Adresse ist, dann lass deiner Phantasie
freien lauf ;-)

> __
> Björn Gaworski


gruss
f


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-21 Diskussionsfäden Björn Gaworski
So, mir ist gerade aufgefallen, das ich wahrscheinlich die Emailadresse vom Einbrecher 
hab. Ich konnte nämlich vom Linuxrechner über
sendmail nix versenden, weil ich das nicht konfiguriert hatte. Und jetzt steht im 
Syslog ne Fehlermeldung, dass eine Email an
[EMAIL PROTECTED] nicht gesendet werden konnte, wegen irgendwelcher 
Domäneneinstellungen.

Jetzt brauch ich mir nur noch überlegen, was ich dem blöden Idioten schreibe ;-)
__
Björn Gaworski



-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-21 Diskussionsfäden Ulrich Wiederhold
Hallo,
* Peter Schubert <[EMAIL PROTECTED]> [030720 21:25]:
> Dieter Franzke schrieb:
> Linux aber auch nicht ;-)
> Das dürfte kein System wegstecken.
> Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette 
> ich meinen Hintern dagegen, dass danach auch nichts mehr geht.

Hat hier funktioniert. Natürlich habe ich vorher einen entsprechenden
neuen Kernel kompiliert (Sockel7 Board auf Athlon XP Board).

Uli

-- 
'The box said, 'Requires Windows 95 or better', so I installed Linux - TKK 5


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-21 Diskussionsfäden linux4michelle
Am 09:35 2003-07-21 +0200 hat Marcus Frings geschrieben:
>
>* Michelle Konzack <[EMAIL PROTECTED]> wrote:
>
>> Nutze seit 1999 Linux + FreeBSD wurde ebenfals noch nie gehackt, 
>
>Hast Du nicht noch ein Betriebsystem vergessen?
>
>,
>| X-Mailer: QUALCOMM Windows Eudora Light Version 3.0.6 (16)
>`
>
>:-)

+O:-(=)

Auf dem wurde auch nicht eingebrochen...
Aber ich verwende die 16Bit kiste eigentlich nur fuer das Entwickeln 
von Embedded Systems unter Dos... 

Und da ich zum Testen eine Dos-Box brauche genuegt WfW 3.11 

Du glaubst doch nicht, das ich den Quatsch von M$ mitmache und jesde 
Jahr mehr als 1000 Euro fuer Softwareschrott ausgebe. Abgesehen 
davon hat mein WfW bereits 6 Tage uptime...

Wer sagt denn, das es keine uptime.exe und uptime.sys (tsr) gibt... 
Fehlt eigentlich nur uprecord.exe...

Ach ja, da mutt irgendwie schwierigkeiten hat, diese Schrottigen 
HTML-Mails anzuzeigen, verwende ich WfW ebenfals...

Mein www.wfw-user.org lief uebrigends auch auf wfw 3.11 mit Win32s 
und TCP32b sowie Xitami, wftpd, slmail und winircd. Groeste uptime 
war so um die 40 Tage. - Sprich unter Win kommt es immer darauf an, 
was Du machst. Aber wenn Du pro Tag hundert mal Aufschluck, Infernal 
Exploder oder Winwuerg aufrufst, dann muste halt ein paarmal 
rebooten...

Schoene Woche
Michelle


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-21 Diskussionsfäden Roland Kruggel
Am Sonntag Juli 20 2003 21:25 schrieb Peter Schubert:
> Dieter Franzke schrieb:
> >>Und schon gar nicht so,
> >>das ich neuinstallieren muss, was ich jetzt unter Linux tun muss.
> >>Ich hab generell noch nie neuinstalliert seit es Win2k gibt,
> >>außer ich hatte neue Hardware, das verkraftet Windows nicht, wenn
> >>man die Mainboards wechselt, ist halt pech.
>
> Linux aber auch nicht ;-)
> Das dürfte kein System wegstecken.
> Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette
> ich meinen Hintern dagegen, dass danach auch nichts mehr geht.

Jetzt bist du Hinternlos :)
Es geht. Allerdings nicht immer. Hängt wohl von dem Chipsatz ab. Habe es 
selbst schon gemacht. (Überigens unter Windows gehts auch)

cu

-- 
Roland Kruggel  mailto: [EMAIL PROTECTED]
System: AMD 1200Mhz, Debian woody, 2.4.20, KDE 3.1


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-21 Diskussionsfäden Marcus Frings
* Michelle Konzack <[EMAIL PROTECTED]> wrote:

> Nutze seit 1999 Linux + FreeBSD wurde ebenfals noch nie gehackt, 

Hast Du nicht noch ein Betriebsystem vergessen?

,
| X-Mailer: QUALCOMM Windows Eudora Light Version 3.0.6 (16)
`

:-)

Gruß,
Marcus
-- 
Rafael: "Wieviele Welten müssen noch brennen, bevor Du genug hast, Gabriel?" -
Gabriel: "Nur noch eine. Diese. Ich bin nicht gierig."


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Michelle Konzack
Am 21:25 2003-07-20 +0200 hat Peter Schubert geschrieben:
>
>Dieter Franzke schrieb:
>
>>
>>>Und schon gar nicht so,
>>>das ich neuinstallieren muss, was ich jetzt unter Linux tun muss.
>>>Ich hab generell noch nie neuinstalliert seit es Win2k gibt,
>>>außer ich hatte neue Hardware, das verkraftet Windows nicht, wenn
>>>man die Mainboards wechselt, ist halt pech.
>>>
>Linux aber auch nicht ;-)
>Das dürfte kein System wegstecken.
>Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette 
>ich meinen Hintern dagegen, dass danach auch nichts mehr geht.

Interessant !

Ich habe drei Workstationen verscheidener Leistungsklassen (P 200MMX, 
Duron 500 und Athlon 1400) somit auch drei verschiedene Mainboards. 

Nun verwende ich IDE-Racks um die Festplatten zu wechseln, sprich 
andere OS auszuprobieren oder die Distries unter einer anderen 
Performance zu testen. 

Habe noch nie Probleme beim Wechseln der Mainboards gehabt. 

Ich gehe mal davon aus, das Du in Deiner lilo.conf irgendwelche 
exotischen HD Parameter angegeben hast... 

Meine IBM IC35L120AV lauft sogar auf einem ECS UM8810P-AIO (v2.0), 
sprich auf einem 486dx4/100. Der Kontoller schaft ja unter DOS/Win 
nur 8,4 GByte... 

Michelle

-- 
Registered Linux-User #280138 with the Linux Counter, http://counter.li.org.
+--+
| Michelle's Internet-ServiceInh.  Michelle Konzack|
| FunkLAN-Providerin   |
+--+


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Michelle Konzack
Hallo Dieter, 

Am 20:32 2003-07-20 +0200 hat Dieter Franzke geschrieben:

>ich nutze seit 1996 nur Linux und BSD und wurde auch noch nicht 
>gehackt, hatte noch nie Viren..

Nutze seit 1999 Linux + FreeBSD wurde ebenfals noch nie gehackt, 
habe mittlerweile eine Sammlung von mehr als 8000 verschiederner 
Vieren als Collection auf dem Computer und einmal hatte ich 
Probleme mit der franzoesischen Justiz wegen einem 'offenem' 
INCOMING Verzeichnis auf meinem proftpd... Sprich, da hat jemand 
Kinderpornos abgelegt, von seinen Kunden saugen lassen und nach 
24 Stunden wieder geloescht... Hatte tonnen weise Logdateien, 
aber nichts auf dem FTP-Server !!!

Schoene gruesse
Michelle


-- 
Registered Linux-User #280138 with the Linux Counter, http://counter.li.org.
+--+
| Michelle's Internet-ServiceInh.  Michelle Konzack|
| FunkLAN-Providerin   |
+--+


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Michelle Konzack
Am 19:24 2003-07-20 +0200 hat =?iso-8859-15?Q?Bj=F6rn_Gaworski?=
geschrieben:
>
>Hallo,
>
>> * Björn Gaworski <[EMAIL PROTECTED]> [030720 15:43]:

>> Linux ist so sicher, wie der Administrator es einstellt.
>
>Ich dachte immer Linux Standard Policy ist verbiete alles! Ich habe es
>bestimmt nicht so eingerichtet, das jeder sich auf meiner Linuxkiste sich
>einen Account einrichten darf ;)

???

Das ist BSD-Philosofphie !!!

Da installierste FreeBSD und nichts geht ;-))

Da kannste dir dann erst mal die kanzen Ports zusammensuchen, 
die de brauchst und dann freigeben... Bei mir laufen nur noch 
zwei Rechnuer unter FreeBSD weils einfach zu nervig ist. 


Michelle

-- 
Registered Linux-User #280138 with the Linux Counter, http://counter.li.org.
+--+
| Michelle's Internet-ServiceInh.  Michelle Konzack|
| FunkLAN-Providerin   |
+--+


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Björn Gaworski
> Vermutlich hat der Einbrecher ein rootkit installiert, welches auch
> diverse Programme wie ps, ls und andere ersetzt. Da du nicht weißt,
> was da alles geändert wurde, ist die einzige Lösung, plattmachen und
> neu installieren.

Man lernt nie aus, von Rootkits hab ich nämlich vorher noch nie was gehört, ist bis 
jetzt an mir vorbei gegangen, das es unter Linux
ein solches Sicherheistproblem gibt.

> In Zukunft danach auch debian-security[1] lesen, damit du rechtzeitig
> mitkriegst, wenn es Sicherheitslücken gibt und diese stopfen kannst,
> *bevor* sie ausgenutzt werden. Insbesondere dann wenn du Dienste im
> Internet anbietest.

Debian nutze ich seit 4 oder 5 Wochen, da ich jetzt weiß, das es debian-security gibt 
werd ich das natürlich machen.

> PS: Stell bitte das HTML ab, es ist überflüssig.

HTML? Ich sende als "Nur-Text" (Ich kenn die OE-News Probs)

> PPS: Zum plattmachen und neuinstallieren gibt es keine Alternative.

Das denke ich auch, mir gings darum die Daten zu sichern, ich werds mit Knoppix 
versuchen, die Platte mounten und dann die Daten
übers Netz sichern

Vielen Dank für den Security Link

__
Björn



-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Björn Gaworski
> Hallo Björn,
>
> Am 20. Juli 2003 schrieb Björn Gaworski:
> > Punkt 2: Ich bin dämlich, denn ich denke Samba läuft, wenn man es
> > nicht verhindert als Standard auf allen NICs, oder? Dann hatte ich
> > nämlich ne schöne Windowsfreigabe nach außen und es gibt ja wirklich
> > genug Windowsfreigaben-Portscanner.
>
> Aha, das hatte ich schon in meiner ersten Mail vermutet. Ein gut
> bekanntes Problem, das sowohl in stable, aber noch viel länger in
> testing existiert hat. Ergo: Sicherheitspatches einspielen und auch die
> anderen hier gegebenen Tipps beachten!
>
> Torsten

Yo, vielen Dank, ich dachte nämlich bis jetzt immer, das die neusten Security Patches 
automatisch in stable oder testing eingespielt
sind. War ja wohl ein Trugschluss. Ich hatte vorher auch noch nie von Debian.Security 
gehört, wie gesagt, Debian nutz ich seit 4
Wochen :D

__
Björn



-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Gerhard Schromm
On Sun, 20 Jul 2003, Björn Gaworski told this:
> Wie kann das sein? Und vor allem wie bekomme ich mein System wieder
> zum laufen? Und was könnten mögliche Lücken sein, das jemand einen
> Account auf dem Rechner anlegt und so einen Mist baut?

Vermutlich hat der Einbrecher ein rootkit installiert, welches auch
diverse Programme wie ps, ls und andere ersetzt. Da du nicht weißt,
was da alles geändert wurde, ist die einzige Lösung, plattmachen und
neu installieren.

In Zukunft danach auch debian-security[1] lesen, damit du rechtzeitig
mitkriegst, wenn es Sicherheitslücken gibt und diese stopfen kannst,
*bevor* sie ausgenutzt werden. Insbesondere dann wenn du Dienste im
Internet anbietest.
 
bye Gerhard

PS: Stell bitte das HTML ab, es ist überflüssig.
PPS: Zum plattmachen und neuinstallieren gibt es keine Alternative.
PPPS: Wenn du den Kram analysieren willst, kannst du vorher ein
  Backup, von einem sauberen System aus (zB. Knoppix von CD),ziehen.

Footnotes: 
[1]  oder eine andere Quelle über die man von Sicherheitslecks
 erfahren kann. 


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Martin Samesch
Hallo Peter,

On Sun, Jul 20, 2003 at 09:25:12PM +0200, Peter Schubert wrote:
> Dieter Franzke schrieb:
>
> >>Und schon gar nicht so,
> >>das ich neuinstallieren muss, was ich jetzt unter Linux tun muss.
> >>Ich hab generell noch nie neuinstalliert seit es Win2k gibt,
> >>außer ich hatte neue Hardware, das verkraftet Windows nicht, wenn
> >>man die Mainboards wechselt, ist halt pech.
> >>
> Linux aber auch nicht ;-)
> Das dürfte kein System wegstecken.
> Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette 
> ich meinen Hintern dagegen, dass danach auch nichts mehr geht.

DX-2/80 (MB?) -> Asus P5A -> DFI-K6XV3+/66 -> Elitegroup K7S5A ->
Gigabyte GA-7DXR

Eine Neuinstallation war aber nie nötig (Erstinstallation '98).

OK, nach dem letzten MB-Wechsel konnte ich X wg. fehlender
Chipsatz-Unterstützung für drm nicht mehr starten. Nach 10-15 Minuten
lief aber wieder alles, außer das kürzlich wg. LabVIEW installierte
W2K. Was solls, LabVIEW gibts ja auch für Linux.

Deinen Hintern darfst Du behalten. ;-)

Gruß,
Martin


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Torsten Werner
Hallo Björn,

Am 20. Juli 2003 schrieb Björn Gaworski:
> Punkt 2: Ich bin dämlich, denn ich denke Samba läuft, wenn man es
> nicht verhindert als Standard auf allen NICs, oder? Dann hatte ich
> nämlich ne schöne Windowsfreigabe nach außen und es gibt ja wirklich
> genug Windowsfreigaben-Portscanner.

Aha, das hatte ich schon in meiner ersten Mail vermutet. Ein gut
bekanntes Problem, das sowohl in stable, aber noch viel länger in
testing existiert hat. Ergo: Sicherheitspatches einspielen und auch die
anderen hier gegebenen Tipps beachten!

Torsten

-- 
Torsten Werner  +49 162 3123004
[EMAIL PROTECTED]  http://www.twerner42.de


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Peter Schubert
Dieter Franzke schrieb:

Hi,

Am Sonntag, 20. Juli 2003 22:02 schrieb Peter Schubert:
 

Dieter Franzke schrieb:
   

- ich habe hier drei Computer an einem DSL-Router Netgear
614v2 hängen, gilt der Router für die Computer als irgendein
Dienst ?
   

nein, aber läuft irgendwas auf dem router??
 

wie meinst Du das ?? Ich habe das Gerät rangehängt, meinen
Einwahllogin eingegeben und das wars.
Was heißt - läuft irgendwas ? Was kann da z.B. laufen auf dem
router ?
   

Möglichkeiten wären: webserver (viele lassen sich über nen
webbrowser konfigurieren), dhcp-server, nameserver...
 

DHCP-Server !? Kann das sein, die Computer sind alle über DHCP
eingerichtet. Also doch ein Unsicherheitsfaktor? Lt. Manual war
das aber erforderlich. Ich glaube, ich nehme mir das Manual
nochmal her. Jetzt kommt mir doch etwas Unsicherheit auf...
   

meine mail (PM) richtig lesen:

gefährlich nur dann, wenn diese Dienste auch nach aussen angeboten 
werden

Sofern die nur intern laufen ist alles okay..

o.k. das klingt gut, danke, nach außen geht nichts, d.h. wird nichts 
angeboten

Gruss
Peter


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)


Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Peter Schubert
Dieter Franzke schrieb:


na aber, eine Festplatte ist kein Motherboard. Festplatte ist was
völlig anderes, es gibt ja schließlich in verschiedenen
Unternehmen auch für verschiedene User eigene Wechselfestplatten.
Ich habe hier eine Festplatte mit einem kompletten System in der
Hinterhand, da erwarte ich, dass das funktioniert, wenn ich die
mal brauche.
   

mal langsam: wenn er die Festplatte in einen anderen Rechner steckt 
hat das System doch ein anderes Motherbord...
oder sehe ich da was falsch?
 



nja, nein und ja, das System auf der Wechselplatte ist natürlich vorher 
in dem gleichen Rechner erstellt worden und liegt als Reserve im 
Schrank, oder bei dem Unternehmensbeispiel sind die Festplatten alle mit 
ein und dem gleichen System erstellt worden.

Peter



--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)


Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Björn Gaworski
> Stephan Dietl schrieb:
>
> >Hallo!
> >
> >Peter Schubert <[EMAIL PROTECTED]> schrieb:
> >
> >
> >>Linux aber auch nicht ;-)
> >>Das dürfte kein System wegstecken.
> >>Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette
> >>ich meinen Hintern dagegen, dass danach auch nichts mehr geht.
> >>
> >>
> >
> >
> >
> >Habe mal eine Festplatte von einem P II System auf einem AMD 800
> >angesteckt, ausser dpkg-reconfigure xserver-xfree86 war nichts nötig :)
> >
> >OS war Debian GNU/Linux Woody mit bf24 IIRC.
> >
> >
> >
> >
> >
> >
> na aber, eine Festplatte ist kein Motherboard. Festplatte ist was völlig
> anderes, es gibt ja schließlich in verschiedenen Unternehmen auch für
> verschiedene User eigene Wechselfestplatten. Ich habe hier eine
> Festplatte mit einem kompletten System in der Hinterhand, da erwarte
> ich, dass das funktioniert, wenn ich die mal brauche.
>
> Peter

Hihi, lies mal genau: er meinte er hat eine Platte, die in einem PII lief, in einen 
AMD800 gesteckt. Also er hat nicht nur das
Mainboard gewechselt, sondern praktisch den ganzen Rechner, nur aus der Persepektive 
der Platte :)

Hab aber auch zuerst das selbe verstanden, wie du.

__
Björn



-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Björn Gaworski
> Dieter Franzke schrieb:
>
> >
> >>Und schon gar nicht so,
> >>das ich neuinstallieren muss, was ich jetzt unter Linux tun muss.
> >>Ich hab generell noch nie neuinstalliert seit es Win2k gibt,
> >>außer ich hatte neue Hardware, das verkraftet Windows nicht, wenn
> >>man die Mainboards wechselt, ist halt pech.
> >>
> Linux aber auch nicht ;-)
> Das dürfte kein System wegstecken.
> Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette
> ich meinen Hintern dagegen, dass danach auch nichts mehr geht.
>
> Peter

Naja, wenn wir ehrlich sind, würde man vor dem tauschen alle neuen Treiber 
installieren, die nach dem Wechsel benötigt werden, wirds
laufen. Zwar nicht besonders toll, also eher mies, aber es würd booten. Hab ich schon 
gemacht, funktioniert ;)

__
Björn



-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Stephan Dietl
Hallo!

PeterSchubert <[EMAIL PROTECTED]> schrieb:
> na aber, eine Festplatte ist kein Motherboard. Festplatte ist was völlig 
> anderes, es gibt ja schließlich in verschiedenen Unternehmen auch für 
> verschiedene User eigene Wechselfestplatten. Ich habe hier eine 
> Festplatte mit einem kompletten System in der Hinterhand, da erwarte 
> ich, dass das funktioniert, wenn ich die mal brauche.

Lies bitte mein Posting nochmal *genau* durch,danke.



Ciao,

Steve
-- 
www.cargal.org
GnuPG-key-ID: 0x051422A0
"Be the change you want to see in the world"-Mahatma Gandhi
Jabber-ID: [EMAIL PROTECTED]


pgp0.pgp
Description: PGP signature


Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Björn Gaworski



> ich nutze 
seit 1996 nur Linux und BSD und wurde auch noch nicht> gehackt, hatte 
noch nie Viren..>> Dieterhehe, natürlich! so mein 
ich das ja auch nicht. das sind so oder so beschränkte sichtweisen. das kann 
einem mit jedem betriebssystempassieren, denn nix ist 100% sicher, 
niemals.Wie sagt mein Prof noch immer: "In jedem programmierten Stück 
Software ist mindestens ein Fehler."Also auch in dem Patch 
:D__Björn


Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Dieter Franzke
Hi,

Am Sonntag, 20. Juli 2003 22:02 schrieb Peter Schubert:
> Dieter Franzke schrieb:
> - ich habe hier drei Computer an einem DSL-Router Netgear
>  614v2 hängen, gilt der Router für die Computer als irgendein
>  Dienst ?
> >>>
> >>>nein, aber läuft irgendwas auf dem router??
> >>
> >>wie meinst Du das ?? Ich habe das Gerät rangehängt, meinen
> >>Einwahllogin eingegeben und das wars.
> >>Was heißt - läuft irgendwas ? Was kann da z.B. laufen auf dem
> >>router ?
> >
> >Möglichkeiten wären: webserver (viele lassen sich über nen
> >webbrowser konfigurieren), dhcp-server, nameserver...
>
> DHCP-Server !? Kann das sein, die Computer sind alle über DHCP
> eingerichtet. Also doch ein Unsicherheitsfaktor? Lt. Manual war
> das aber erforderlich. Ich glaube, ich nehme mir das Manual
> nochmal her. Jetzt kommt mir doch etwas Unsicherheit auf...

meine mail (PM) richtig lesen:

gefährlich nur dann, wenn diese Dienste auch nach aussen angeboten 
werden

Sofern die nur intern laufen ist alles okay..

Dieter


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Dieter Franzke
Hi,

Am Sonntag, 20. Juli 2003 21:58 schrieb Peter Schubert:
> Stephan Dietl schrieb:
> >Hallo!
> >
> >Peter Schubert <[EMAIL PROTECTED]> schrieb:
> >>Linux aber auch nicht ;-)
> >>Das dürfte kein System wegstecken.
> >>Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da
> >> verwette ich meinen Hintern dagegen, dass danach auch nichts
> >> mehr geht.
> >
> >
> >
> >Habe mal eine Festplatte von einem P II System auf einem AMD 800
> >angesteckt, ausser dpkg-reconfigure xserver-xfree86 war nichts
> > nötig :)
> >
> >OS war Debian GNU/Linux Woody mit bf24 IIRC.
> >
> >
>
> na aber, eine Festplatte ist kein Motherboard. Festplatte ist was
> völlig anderes, es gibt ja schließlich in verschiedenen
> Unternehmen auch für verschiedene User eigene Wechselfestplatten.
> Ich habe hier eine Festplatte mit einem kompletten System in der
> Hinterhand, da erwarte ich, dass das funktioniert, wenn ich die
> mal brauche.

mal langsam: wenn er die Festplatte in einen anderen Rechner steckt 
hat das System doch ein anderes Motherbord...
oder sehe ich da was falsch?


Dieter


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Peter Schubert
Dieter Franzke schrieb:


- ich habe hier drei Computer an einem DSL-Router Netgear 614v2
hängen, gilt der Router für die Computer als irgendein Dienst ?
   

nein, aber läuft irgendwas auf dem router??
 

wie meinst Du das ?? Ich habe das Gerät rangehängt, meinen
Einwahllogin eingegeben und das wars.
Was heißt - läuft irgendwas ? Was kann da z.B. laufen auf dem
router ?
   

Möglichkeiten wären: webserver (viele lassen sich über nen 
webbrowser konfigurieren), dhcp-server, nameserver...

DHCP-Server !? Kann das sein, die Computer sind alle über DHCP eingerichtet.
Also doch ein Unsicherheitsfaktor? Lt. Manual war das aber erforderlich. 
Ich glaube, ich nehme mir das Manual nochmal her. Jetzt kommt mir doch 
etwas Unsicherheit auf...

Peter



--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)


Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Peter Schubert
Stephan Dietl schrieb:

Hallo!

Peter Schubert <[EMAIL PROTECTED]> schrieb:
 

Linux aber auch nicht ;-)
Das dürfte kein System wegstecken.
Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette 
ich meinen Hintern dagegen, dass danach auch nichts mehr geht.
   



Habe mal eine Festplatte von einem P II System auf einem AMD 800
angesteckt, ausser dpkg-reconfigure xserver-xfree86 war nichts nötig :)
OS war Debian GNU/Linux Woody mit bf24 IIRC.



 

na aber, eine Festplatte ist kein Motherboard. Festplatte ist was völlig 
anderes, es gibt ja schließlich in verschiedenen Unternehmen auch für 
verschiedene User eigene Wechselfestplatten. Ich habe hier eine 
Festplatte mit einem kompletten System in der Hinterhand, da erwarte 
ich, dass das funktioniert, wenn ich die mal brauche.

Peter

--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)


Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Lukas Kolbe
Am Son, 2003-07-20 um 21.25 schrieb Peter Schubert:

> Linux aber auch nicht ;-)
> Das dürfte kein System wegstecken.
> Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette 
> ich meinen Hintern dagegen, dass danach auch nichts mehr geht.

Warum sollte es nicht gehen? Solange der Kernel generisch genug
konfiguriert ist (und das sind die Standard-Kernel), gibt es ueberhaupt
keine Probleme damit. Evtl. muss die X-Konfiguration angepasst werden,
aber sonst? 

> Peter
-- 
bye
  Lukas


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Dieter Franzke
Hi,

Am Sonntag, 20. Juli 2003 21:25 schrieb Peter Schubert:
> Dieter Franzke schrieb:
> >>Und schon gar nicht so,
> >>das ich neuinstallieren muss, was ich jetzt unter Linux tun
> >> muss. Ich hab generell noch nie neuinstalliert seit es Win2k
> >> gibt, außer ich hatte neue Hardware, das verkraftet Windows
> >> nicht, wenn man die Mainboards wechselt, ist halt pech.
>
> Linux aber auch nicht ;-)
> Das dürfte kein System wegstecken.
> Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da
> verwette ich meinen Hintern dagegen, dass danach auch nichts mehr
> geht.

..hat bei mir schon öfter funktioniert

Dieter


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Stephan Dietl
Hallo!

Peter Schubert <[EMAIL PROTECTED]> schrieb:
> Linux aber auch nicht ;-)
> Das dürfte kein System wegstecken.
> Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette 
> ich meinen Hintern dagegen, dass danach auch nichts mehr geht.



Habe mal eine Festplatte von einem P II System auf einem AMD 800
angesteckt, ausser dpkg-reconfigure xserver-xfree86 war nichts nötig :)

OS war Debian GNU/Linux Woody mit bf24 IIRC.




Ciao,

Steve
-- 
www.cargal.org
GnuPG-key-ID: 0x051422A0
"Be the change you want to see in the world"-Mahatma Gandhi
Jabber-ID: [EMAIL PROTECTED]


pgp0.pgp
Description: PGP signature


Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Peter Schubert
Dieter Franzke schrieb:


Und schon gar nicht so,
das ich neuinstallieren muss, was ich jetzt unter Linux tun muss.
Ich hab generell noch nie neuinstalliert seit es Win2k gibt,
außer ich hatte neue Hardware, das verkraftet Windows nicht, wenn
man die Mainboards wechselt, ist halt pech.
Linux aber auch nicht ;-)
Das dürfte kein System wegstecken.
Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette 
ich meinen Hintern dagegen, dass danach auch nichts mehr geht.

Peter



--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)


Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Dieter Franzke
Hi,


Am Sonntag, 20. Juli 2003 20:17 schrieb Björn Gaworski:
..

> Ich möchte jetzt nicht die öde Lawine lostreten, was besser ist,
> nur hab ich vor Linux (ich benutz es seit nem halben jahr)
> Windows als Routing-OS gehabt und benutz Windows auch so als
> Workstation. Ich wurde noch nie gehackt. 

..purer Zufall, Glück gehabt oder nicht gemerkt...

>Und schon gar nicht so,
> das ich neuinstallieren muss, was ich jetzt unter Linux tun muss.
> Ich hab generell noch nie neuinstalliert seit es Win2k gibt,
> außer ich hatte neue Hardware, das verkraftet Windows nicht, wenn
> man die Mainboards wechselt, ist halt pech.

ich nutze seit 1996 nur Linux und BSD und wurde auch noch nicht 
gehackt, hatte noch nie Viren..

Dieter


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Björn Gaworski
> Also: immer auf dem laufenden bleiben.
> Oder man hat das windows-feeling: öfter mal neu installieren
>
>
> Dieter

Ich möchte jetzt nicht die öde Lawine lostreten, was besser ist, nur hab ich vor Linux 
(ich benutz es seit nem halben jahr) Windows
als Routing-OS gehabt und benutz Windows auch so als Workstation. Ich wurde noch nie 
gehackt. Und schon gar nicht so, das ich
neuinstallieren muss, was ich jetzt unter Linux tun muss. Ich hab generell noch nie 
neuinstalliert seit es Win2k gibt, außer ich
hatte neue Hardware, das verkraftet Windows nicht, wenn man die Mainboards wechselt, 
ist halt pech.

__
Björn



-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Dieter Franzke
Hi,

Am Sonntag, 20. Juli 2003 18:31 schrieb Peter Schubert:
..

> wenn ich so mitlese, als reiner privater Workstation-Quäler, der
> lediglich ins WEB selbst und allein reingeht
>
> - könnte ich nicht rigoros *ALLE* Dienste nach aussen dicht
> machen ?

ja

> - ich habe hier drei Computer an einem DSL-Router Netgear 614v2
> hängen, gilt der Router für die Computer als irgendein Dienst ?

nein, aber läuft irgendwas auf dem router??

> Dann würde ich nämlich mal nachsehen wollen, bei Brunner
> "Linux-Security" steht ja ne Menge drin, wie mans macht, dann
> würde ich bei allen drei Computern *ALLE* Dienste nach aussen
> unterbinden wollen, so welche offen sind.

Sofern du von aussen nicht auf deine Rechner zugreifen willst, 
kannst du die Dienste, die du intern brauchst auf deine internen 
Interfaces binden.


Dieter


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Dieter Franzke
Hi,

Am Sonntag, 20. Juli 2003 19:28 schrieb Björn Gaworski:

> Ich hab soviele Howtos gelesen und meine iptables schon korrekt
> eingestellt. Es waren nur die Ports offen, die benötigt waren.
> Alles andere wurde abgewiesen, was soll man noch mehr machen?

..das hilft gegen sog. exploits wenig.
ZB: samba oder apache.
Alte versionen haben da Sicherheitslücken.
Man sollte wenn man solche Dienste nach außen offen hat immer die 
aktuellen security-fixes einspielen.
Immer schön verfolgen...
Altes samba oder Apache: wenn du die Dienste anbietest hilft dir 
auch die beste Firewall nichts.
Über die exploits kann man in der Regel rootrechte erlangen und 
schon ist geschehen...

Also: immer auf dem laufenden bleiben.
Oder man hat das windows-feeling: öfter mal neu installieren


Dieter


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Frank Lorenzen
On Sun, Jul 20, 2003 at 07:26:57PM +0200, Björn Gaworski wrote:
> Wer Lust hat kann das unten nochmal alles lesen, mein Kommentar dazu:
> 
> Linux sicher zu halten ist wohl viel komplizierter, als ich es mir
> vorgestellt habe. Ist ja ein Fulltimejob ;) Mal sehen ob ich dazu noch zeit

Ganz in Gegenteil. Ich wollte keine Angst schüren oder so, ich habe nur
versucht, zugegeben ein wenig wortreich, darzustellen, daß ein Rechner
nicht durch das Aufspielen von Linux sicher wird.

Bei Debian Stable ist das mit der "SSecurity" wirkliches "easy-going":
Due solltest eine Handvoll (wirklich nur _eine_ Handvoll) Regeln beim
konfigurieren beachten. Du solltest die Updates von security.debian.org
benutzen und einfach 1mal am Tag, sofern du auch an diesem Tag ins
Internet gehst per apt-get bzw. dselect verfügbare Updates einspielen.
Das ist wirklich Kindergeburtstag: apt-get update; apt-get upgrade oder
mit dselect >update< ausführen, >select<, Leertaste, Schauen was er
updaten will, Return, >Install< ausführen. Das wars. Damit hälst Du dein
Sytstem aktuell.

Im gegesatz dazu, mußt du dir bei anderen Unices/Linuxen erstmal deine
Updates zusammensuchen. Das machen Debian und die Security-Maintainer
alles für dich. Du mußt es nur nutzen und von Hand anstoßen. Und selbst
daß kann man automatisieren.

> hab, ansonsten geh ich halt nie mehr ins Internet *lüg*

Hihi.
Alles halb so wild. *KEINE PANIK*
Ich wollte dich nur aus einer eventuellen Traumwelt "Linux ist sicher"
herausstoßen. DAS ist nämlich das Gefährliche.

Tu ein wenig aktives für die Sicherheit deiner Rechner. Es ist bei
Debian gar nicht schwer.

> Björn


gruss
f


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Björn Gaworski
Ich wollte es so einrichten, das nach außen hin nur SSH und der Apache zu
erreichen sind. Außerdem hab ich den Port 21 und 5000-5050 (für ICQ) an nen
anderen Rechner weitergeleitet.

So hab ich das dann auch gemacht. Wie schon weiter oben zu gegeben und von
jemand anderem vermutet, denke ich mal das es irgendwie mit Samba zu tun
haben muss, weil der als einziger nicht gewollter Serverdienst nach außen
lief.

Den Rest kann ich nicht blocken, den brauch ich.
__
Björn


> Alexander Schmehl schrieb:
>
> >
> >
> >Das ist lediglich der letzte Schritt. Bevor man sich mit Firewalls
> >beschäfftigt, sollte man sich erstmal allgemeiner um seinen Rechner
> >kümmern: Welche Dienste muss ich nach aussen und nach innen anbieten?
> >Wie konfiguriere ich sie so? Wie dekativiere ich nicht gewollte
> >Dienste? etc. pp.
> >
> >Yours sincerely
> >  Alexander
> >
> >
> >
> wenn ich so mitlese, als reiner privater Workstation-Quäler, der
> lediglich ins WEB selbst und allein reingeht
>
> - könnte ich nicht rigoros *ALLE* Dienste nach aussen dicht machen ?
>
> - ich habe hier drei Computer an einem DSL-Router Netgear 614v2 hängen,
> gilt der Router für die Computer als irgendein Dienst ?
>
> Dann würde ich nämlich mal nachsehen wollen, bei Brunner
> "Linux-Security" steht ja ne Menge drin, wie mans macht, dann würde ich
> bei allen drei Computern *ALLE* Dienste nach aussen unterbinden wollen,
> so welche offen sind.
>
> Macht so etwas Sinn ?
>
> Gruss
> Peter



-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Andreas Kretschmer
am  Sun, dem 20.07.2003, um 19:24:22 +0200 mailte Björn Gaworski folgendes:
> > Linux ist so sicher, wie der Administrator es einstellt.
> 
> Ich dachte immer Linux Standard Policy ist verbiete alles! Ich habe es

Nein, das ist von Distri zu Distri schon unterschiedlich. Was IMHO
default zu 100% sicher ist: KNOPPIX. Da lauscht nix nach außen.

Ein Debian, als 'normaler UNIX-Server' installiert, hat schon einige
Ports nach außen auf. Ich weiß nicht, wie sich original-debian-SAMBA
verhält.

Als Admin muß man das halt prüfen, wenn ich in $FIRMA eine Kiste
irgendwo ans Internet lasse, mache ich generell und sofort zur Kontrolle
einen Portscan von außen auf die Kiste. Auch sollte man das regelmäßig
prüfen, manchmal gibt es $KOLLEGEN, die meinen, auf einem
Portfilter/iptables später mal noch eben schnell Webmin installieren zu
müssen...


Andreas
-- 
Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau-
fenden Pinguins aus artgerechter Freilandhaltung.   Er ist garantiert frei
von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA
Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-)


pgp0.pgp
Description: PGP signature


Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Björn Gaworski
> Danach HOWTO's ueber Firewaling lesen und es auch tun...
>
> Michelle

Ich hab soviele Howtos gelesen und meine iptables schon korrekt eingestellt.
Es waren nur die Ports offen, die benötigt waren. Alles andere wurde
abgewiesen, was soll man noch mehr machen?

__
Björn



-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Björn Gaworski
Wer Lust hat kann das unten nochmal alles lesen, mein Kommentar dazu:

Linux sicher zu halten ist wohl viel komplizierter, als ich es mir
vorgestellt habe. Ist ja ein Fulltimejob ;) Mal sehen ob ich dazu noch zeit
hab, ansonsten geh ich halt nie mehr ins Internet *lüg*

__
Björn




- Original Message -
From: "Frank Lorenzen" <[EMAIL PROTECTED]>
To: "DEBIAN DE" <[EMAIL PROTECTED]>
Sent: Sunday, July 20, 2003 6:40 PM
Subject: Re: Fw: Einbruch in Rechner


> On Sun, Jul 20, 2003 at 03:43:43PM +0200, Björn Gaworski wrote:
> > Achso, hatte ich vergessen zu erwähnen: die Logfiles sind alle gelöscht
:(
> >
> > Ich find das eh fragwürdig, weil ich Woody installiert hab und nix
> > besonderes verändert oder eingestellt hab. Alle Useraccounts sind durch
> > Passwörter geschützt. Ansich hatte ich immer gedacht Linux wär dann
sicher,
>
> Falsch gedacht.
>
> Es gibt keine größere Lüge als "Linux ist per Default sicher".
> Vorzugsweise werden solche Märchen von einschlägiger Fach- und
> Lachliteratur sowie von allzu eifrigen Predigern des wahren Glaubens
> (Kicher, Gacker, lach, *ROTFL*) verbreitet.
>
> Stets im Hinterkopf behalten:
>
> *) Sicherheit ist ein Prozess, kein Zustand.
> *) Dieser Prozess erreicht _nie_ _nie_ _niemalsnicht_ 100%
>
> Ich bin übrigens der Meinung, daß (Netzwerktechnisch) ein Linux-Rechner
> in unkundigen Händen mehr Schaden anrichten kann als eine Win-Büchse in
> kundigen Händen.
>
> Im speziellen bei Debian sollte man auf folgendes Achten:
> Die Release-Zyklen sind bei Debian relativ groß. Auch die
> "sub-Releases", also 3.0r0, 3.0r1, usw., lassen sich meist viel Zeit.
> Deshalb ist es _unumgänglich_ security.debian.org mit in die apt-quellen
> einzubeziehen. In durch Marketing vorangetriebenen Distributionszyklen
> fällt das nicht so sehr ins Gewicht, da, sofern man immer updated, öfter
> frische und damit meist auch fehlerbereinigte Software ins System kommt.
> Das dabei auch immer mal wieder neue Fehler ins System kommen sollte man
> aber auch niucht vergessen.
> Die Security Updates von Debian stellen hierzu einen "Goldenen
> Mittelweg" da. Hier werden bewußt auch in neue Upstream Versionen
> eingearbeitete Fixes auf die Version in Stable backgeported. Und selbst
> hierbei schleichen sich gelegentlich Fehler ein; Ich kann mich da an
> einen Fix erinner, der 1 Tag später gleich wieder gefixt wurde.
>
> Ein guter und meist auch sehrhilfreicher Tip ist folgender:
> *) Jeder laufende Service sollte nur an die Interfaces gebunden werden,
>auf denen er auch gebraucht wird.
>
> Damit hast du schon mal viel gewonnen. Ein Apache der ein bischen
> Intranet macht muß nicht von Außen erreichbar sein. Damit hast Du
> gleichzeitig eventuelle Apache-Exploits _von Außen_ abgewehrt. Sollte
> jemand von innen einen Angriff fahren bringt die das natürlich nix.
>
> > jetzt bin ich auf jeden Fall ziemlich enttäuscht und 'freue' mich jetzt
> > schon dadrauf alles neu zu installieren.
>
> Das solltest Du auf _jeden_ Fall tun. Mach aber bitte nicht den Fehler
> die Kiste wieder ganz genauso aufzusetzen, den ndann: Gewinn = 0
>
> >
> > Daten waren zum Glück keine drauf und die ganzen Configs aus /etc hab
ich
> > sowieso gesichert.
> >
> > Also kein Verlust. Aber ich will halt wissen, wie so etwas passieren
kann.
> > Aber so wie ich das sehe krieg ich das ohne die Logs eh nicht raus.
>
> Ein Loghost regelt gelegentlich.
>
> > __
> > Björn
>
>
> gruss
> f
>
>
> --
> Haeufig gestellte Fragen und Antworten (FAQ):
> http://www.de.debian.org/debian-user-german-FAQ/
>
> Zum AUSTRAGEN schicken Sie eine Mail an
[EMAIL PROTECTED]
> mit dem Subject "unsubscribe". Probleme? Mail an
[EMAIL PROTECTED] (engl)
>
>



-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Andreas Kretschmer
am  Sun, dem 20.07.2003, um 19:16:27 +0200 mailte Björn Gaworski folgendes:
> Punkt 2: Ich bin dämlich, denn ich denke Samba läuft, wenn man es nicht
> verhindert als Standard auf allen NICs, oder? Dann hatte ich nämlich ne

Ja, aber man kann es zwingen. Allerdings IMHO nicht den nmbd, aber da
bin ich mir nicht ganz sicher. Den smbd aber definitiv.


Andreas
-- 
Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau-
fenden Pinguins aus artgerechter Freilandhaltung.   Er ist garantiert frei
von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA
Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-)


pgp0.pgp
Description: PGP signature


Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Björn Gaworski
Hallo,

> * Björn Gaworski <[EMAIL PROTECTED]> [030720 15:43]:
>
>> Ich find das eh fragwürdig, weil ich Woody installiert hab und nix
>> besonderes verändert oder eingestellt hab. Alle Useraccounts sind durch
>> Passwörter geschützt. Ansich hatte ich immer gedacht Linux wär dann
sicher,
>> jetzt bin ich auf jeden Fall ziemlich enttäuscht und 'freue' mich jetzt
>> schon dadrauf alles neu zu installieren.

> Linux ist so sicher, wie der Administrator es einstellt.

Ich dachte immer Linux Standard Policy ist verbiete alles! Ich habe es
bestimmt nicht so eingerichtet, das jeder sich auf meiner Linuxkiste sich
einen Account einrichten darf ;)

(...)

> Aber so wie ich das sehe krieg ich das ohne die Logs eh nicht raus.

> Wahrscheinlich nicht, aber ich verweise mal auf die Debian Security
> Manual http://www.debian.org/doc/manuals/securing-debian-howto/ (bzw.
> die nicht ganz aktuelle Übersetzung unter
> http://www.cs.uni-frankfurt.de/~schmehl/securing-debian/ ).
>
>
> Yours sincerely
>  Alexander

Danke
Björn



-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Björn Gaworski
Ich werde demnächst mal ein dpkg -l hier reinposten, wenn ich es hinbekommen
habe zu dem rechner wieder eine netzwerkverbindung herzustellen, ich hab
vergessen welche IP Adresse ich der Internetnetzwerkkarte gegeben hab, und
ich kann leider nicht mehr nachschauen, da alle Netzwerktools von mir aus
nicht gestartet werden können.

Mittlerweile habe ich einen Verdacht wie er auf meinen Rechner aufmerksam
geworden ist.

Punkt 1: Der Typ ist dämmlich und benutzt fertige Kiddie-Tools
Punkt 2: Ich bin dämlich, denn ich denke Samba läuft, wenn man es nicht
verhindert als Standard auf allen NICs, oder? Dann hatte ich nämlich ne
schöne Windowsfreigabe nach außen und es gibt ja wirklich genug
Windowsfreigaben-Portscanner.

So denke ich mal, ist das abgelaufen. Dann hat der sich wohl ein Rootkit
besorgt und ein bischen rumgespielt.

__
Björn

P.S. dpkg -l folgt



-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Frank Lorenzen
On Sun, Jul 20, 2003 at 06:49:12PM +0200, Frank Lorenzen wrote:
[...] Snip

Axo,

fast hätt ichs vergessen. Hilfreich könnte sein, wenn du auf dem
kompromittierten Rechner mal ein dpkg -l laufen lässt und die Ausgabe
hier postest. Daraus könnte man zumindest mal schließen, ob es an alter,
anfälliger Software lag, oder doch was ganz anderes war. Ich gehe nicht
davon aus, daß der Angreifer die Paketdatenbank verändert hat um seine
Einbruchsstelle zu verschleiern, obwohl das zugegebenermaßen mal eine
nette Idee wäre ;-)


gruss
f


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Frank Lorenzen
On Sun, Jul 20, 2003 at 06:34:59PM +0200, Peter Schubert wrote:
[...]
> *Altbewährtes" ?
> da müssten ja die Expis ruckzuck drauf kommen ?

Nun, im Unix/linux Bereich geht es zum Glück noch nicht so schlimm zu
wie mit diesen rasend schnellen Würmern unter Windows.
Aber im prinzip hast du recht.
Es gibt einige "ready-to-use" Exploits/Rootkits. Wenn man solche
konsequent einsetzt (wenn viele das einsetzen) wird sicher auch der
"Hilfe ich wurde gerootet" Aufschrei lauter werden.

[...]
> und wie sieht es damit aus, dass es Zufall war, dass er in das besagte 
> System "hineinfiel"... ?
u
Ich gehe sogar davon aus, daß es zufall war das er in _dein_ System rein
ist. Er hat nur nicht per Zufall eine Lücke gefunden.

> Peter

gruss
f


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Frank Lorenzen
On Sun, Jul 20, 2003 at 03:43:43PM +0200, Björn Gaworski wrote:
> Achso, hatte ich vergessen zu erwähnen: die Logfiles sind alle gelöscht :(
> 
> Ich find das eh fragwürdig, weil ich Woody installiert hab und nix
> besonderes verändert oder eingestellt hab. Alle Useraccounts sind durch
> Passwörter geschützt. Ansich hatte ich immer gedacht Linux wär dann sicher,

Falsch gedacht.

Es gibt keine größere Lüge als "Linux ist per Default sicher".
Vorzugsweise werden solche Märchen von einschlägiger Fach- und
Lachliteratur sowie von allzu eifrigen Predigern des wahren Glaubens
(Kicher, Gacker, lach, *ROTFL*) verbreitet.

Stets im Hinterkopf behalten:

*) Sicherheit ist ein Prozess, kein Zustand.
*) Dieser Prozess erreicht _nie_ _nie_ _niemalsnicht_ 100%

Ich bin übrigens der Meinung, daß (Netzwerktechnisch) ein Linux-Rechner
in unkundigen Händen mehr Schaden anrichten kann als eine Win-Büchse in
kundigen Händen.

Im speziellen bei Debian sollte man auf folgendes Achten:
Die Release-Zyklen sind bei Debian relativ groß. Auch die
"sub-Releases", also 3.0r0, 3.0r1, usw., lassen sich meist viel Zeit.
Deshalb ist es _unumgänglich_ security.debian.org mit in die apt-quellen
einzubeziehen. In durch Marketing vorangetriebenen Distributionszyklen
fällt das nicht so sehr ins Gewicht, da, sofern man immer updated, öfter
frische und damit meist auch fehlerbereinigte Software ins System kommt.
Das dabei auch immer mal wieder neue Fehler ins System kommen sollte man
aber auch niucht vergessen.
Die Security Updates von Debian stellen hierzu einen "Goldenen
Mittelweg" da. Hier werden bewußt auch in neue Upstream Versionen
eingearbeitete Fixes auf die Version in Stable backgeported. Und selbst
hierbei schleichen sich gelegentlich Fehler ein; Ich kann mich da an
einen Fix erinner, der 1 Tag später gleich wieder gefixt wurde.

Ein guter und meist auch sehrhilfreicher Tip ist folgender:
*) Jeder laufende Service sollte nur an die Interfaces gebunden werden,
   auf denen er auch gebraucht wird.

Damit hast du schon mal viel gewonnen. Ein Apache der ein bischen
Intranet macht muß nicht von Außen erreichbar sein. Damit hast Du
gleichzeitig eventuelle Apache-Exploits _von Außen_ abgewehrt. Sollte
jemand von innen einen Angriff fahren bringt die das natürlich nix.

> jetzt bin ich auf jeden Fall ziemlich enttäuscht und 'freue' mich jetzt
> schon dadrauf alles neu zu installieren.

Das solltest Du auf _jeden_ Fall tun. Mach aber bitte nicht den Fehler
die Kiste wieder ganz genauso aufzusetzen, den ndann: Gewinn = 0

> 
> Daten waren zum Glück keine drauf und die ganzen Configs aus /etc hab ich
> sowieso gesichert.
> 
> Also kein Verlust. Aber ich will halt wissen, wie so etwas passieren kann.
> Aber so wie ich das sehe krieg ich das ohne die Logs eh nicht raus.

Ein Loghost regelt gelegentlich.

> __
> Björn


gruss
f


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Peter Schubert
Frank Lorenzen schrieb:

Soweit ich das hier mitbekommen habe, war das weder Hacker noch Cracker
sondern einfach irgendein Hirni, der keinen blassen Schimmer hatte.
Das einzig inetressante an der Geschichte ist herauszufinden _wie_ er
ins System gekommen ist. Dabei sollte man sich folgendes im Hinterkopf
behalten:
- Der Typ ist ein Dilletant
- Er hat mit sicherheit nicht irgendeine neue Lücke gefunden, sondern
 was bewährtes genutzt.
- Höchstwahrscheinlich was altbewährtes.
*Altbewährtes" ?
da müssten ja die Expis ruckzuck drauf kommen ?
Die Auswahl dürfte nicht allzugroß sein.

 

und wie sieht es damit aus, dass es Zufall war, dass er in das besagte 
System "hineinfiel"... ?

Peter

--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)


Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Peter Schubert
Alexander Schmehl schrieb:



Das ist lediglich der letzte Schritt. Bevor man sich mit Firewalls
beschäfftigt, sollte man sich erstmal allgemeiner um seinen Rechner
kümmern: Welche Dienste muss ich nach aussen und nach innen anbieten?
Wie konfiguriere ich sie so? Wie dekativiere ich nicht gewollte
Dienste? etc. pp.
Yours sincerely
 Alexander
 

wenn ich so mitlese, als reiner privater Workstation-Quäler, der 
lediglich ins WEB selbst und allein reingeht

- könnte ich nicht rigoros *ALLE* Dienste nach aussen dicht machen ?

- ich habe hier drei Computer an einem DSL-Router Netgear 614v2 hängen, 
gilt der Router für die Computer als irgendein Dienst ?

Dann würde ich nämlich mal nachsehen wollen, bei Brunner 
"Linux-Security" steht ja ne Menge drin, wie mans macht, dann würde ich 
bei allen drei Computern *ALLE* Dienste nach aussen unterbinden wollen, 
so welche offen sind.

Macht so etwas Sinn ?

Gruss
Peter


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)


Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Frank Lorenzen
On Sun, Jul 20, 2003 at 04:06:18PM +0200, Peter Schubert wrote:
> Björn Gaworski schrieb:
> 
> >Also es zu merken war nicht schwer: ich hatte nen fremden Useraccount in
> >meinem System, die Netzwerkkarte zum lokalen Netz läuft nicht mehr und ich
> >kann als root keine Netzwerkeinstellungen vornehmen.
> >
> >__
> >Björn
> >
> > 
> >
> mal von der reinen menschlichen Logik her -
> 
> dann muss der "Einbrecher" aber ein ziemlicher Idiot sein, wenn er noch 
> einen eigenen und damit "hausfremden" User-Account hinterläßt. Hat das 
> eventuell Linux nicht selbst angelegt und es war einer der vielen vielen 
> Nutzer, die Linux namentlich vorhält?

Ich hörte noch nie davon, daß das System einen Systemuser "musti" hat.

> Also, ich dachte nur, wenn ich irgendwo in einen fremden Rechner 
> reinkriechen würde, würde ich doch nicht noch einen Haufen Spuren 
> hinterlassen.
> Aber wie gesagt, dass ist die naive logische Denkweise eines Anfängers. 
> Hacker haben eventuell eine andere Logik ;-)

Soweit ich das hier mitbekommen habe, war das weder Hacker noch Cracker
sondern einfach irgendein Hirni, der keinen blassen Schimmer hatte.

Das einzig inetressante an der Geschichte ist herauszufinden _wie_ er
ins System gekommen ist. Dabei sollte man sich folgendes im Hinterkopf
behalten:
- Der Typ ist ein Dilletant
- Er hat mit sicherheit nicht irgendeine neue Lücke gefunden, sondern
  was bewährtes genutzt.
- Höchstwahrscheinlich was altbewährtes.

Die Auswahl dürfte nicht allzugroß sein.
 
> 
> Gruss
> Peter
> 

gruss
f


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Alexander Schmehl
* Michelle Konzack <[EMAIL PROTECTED]> [030720 15:16]:

>> Wie kann das sein? Und vor allem wie bekomme ich mein System wieder
> zum laufen? Und was könnten mögliche Lücken sein, das jemand einen
> Account auf dem Rechner anlegt und so einen Mist baut? 
> Die einzige 100%ige Loesung:Neu installieren !!!

Nein, das ist mit Sicherheit eine schlechte Lösung. Er hat es einmal
geschafft, ein System aufzusetzen, dass exploitable war, wenn er es
wieder so macht, ist wird es das mit allerhöchster Wahrscheinlichkeit
wieder sein.


> >Ich steh vor einem Rätsel!
> Danach HOWTO's ueber Firewaling lesen und es auch tun...

Das ist lediglich der letzte Schritt. Bevor man sich mit Firewalls
beschäfftigt, sollte man sich erstmal allgemeiner um seinen Rechner
kümmern: Welche Dienste muss ich nach aussen und nach innen anbieten?
Wie konfiguriere ich sie so? Wie dekativiere ich nicht gewollte
Dienste? etc. pp.

Yours sincerely
  Alexander


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Alexander Schmehl
* Björn Gaworski <[EMAIL PROTECTED]> [030720 15:43]:

> Ich find das eh fragwürdig, weil ich Woody installiert hab und nix
> besonderes verändert oder eingestellt hab. Alle Useraccounts sind durch
> Passwörter geschützt. Ansich hatte ich immer gedacht Linux wär dann sicher,
> jetzt bin ich auf jeden Fall ziemlich enttäuscht und 'freue' mich jetzt
> schon dadrauf alles neu zu installieren.

Linux ist so sicher, wie der Administrator es einstellt.


> Also kein Verlust. Aber ich will halt wissen, wie so etwas passieren kann.

Klartext-Protokolle benutzt? Nicht die aktuellen Sicherheits-Updates
eingespielt? Schlecht gepflegte Backports eingespielt?


> Aber so wie ich das sehe krieg ich das ohne die Logs eh nicht raus.

Wahrscheinlich nicht, aber ich verweise mal auf die Debian Security
Manual http://www.debian.org/doc/manuals/securing-debian-howto/ (bzw.
die nicht ganz aktuelle Übersetzung unter
http://www.cs.uni-frankfurt.de/~schmehl/securing-debian/ ).


Yours sincerely
  Alexander


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Marcus Frings
* Michelle Konzack <[EMAIL PROTECTED]> wrote:

> Danach HOWTO's ueber Firewaling lesen und es auch tun...

Und was soll das bringen, wenn der mit Absicht nach außen angebotene
Dienst exploitable ist?

Gruß,
Marcus
-- 
"Tu aus das Licht, tu aus. Doch ist erst dein Licht ausgetan,
nie find ich den Prometheusfunken wieder."


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Thomas Templin
On Sunday 20 July 2003 15:28, Peter Schubert wrote:
> >>> Ich werd das System jetzt neu installieren.
> >>
> >> Sofern du nicht offentsichtliches in den Logdateien gefunden
> >> hast, wirst du dann aber nicht herausfinden, wie dein System
> >> kompromitiert wurde, und es eigentlich nur eine Frage der
> >> Zeit, bis jemand die gleiche Lücke wieder ausnutzt.
> >>
> >>
> >> Yours sincerely
> >>  Alexander
>
> mich würde mal als relativem Anfänger und glücklicherweise
> wahrscheinlich auch nocht nicht aus dem Internet "Überfallenen"
> interessieren:
>
> - woran merkt man eindeutig, dass man von jemanden aus dem Web
> beklaut wurde oder so ?
Im schlechtesten Fall gar nicht. Ich kenne da Beispiele in denen 
Firmen das erst gemerkt haben nachdem sie von aussen darauf 
aufmerksam gemacht wurden.
>   Wo wird das angezeigt ?
Wie schon gesagt erst mal nirgendwo.
> - kann man sich mit einem DSL- Router, von dem der Hersteller
> behauptet, er habe Firewall-Funktion (NETGEAR),
>   als sicher zurücklehnen? Selbst habe ich da wenig eingestellt.
> Nur so ein Portscanner im WEB hat festgestellt, dass ich
>   rundherum dicht wäre.
Es ist eine irrige Annahme zu glauben durch eine Firewall hätte man 
alle Probleme vom Hals. Netzwerk-Sicherheit ist kein Gegenstand 
wie ein Schloss oder wie die Hersteller solcher Geräte zum Teil 
anpreisen, eine Black Box an der ominöse Lichter blinken und die 
ab und zu mal zu schweren sakralen Klängen ein wenig 
gespenstischen Rauch von sich gibt. Netzwerk-Sicherheit ist ein 
ständiger Prozess eine Umgebung auf dem aktuellen Stand der Zeit 
zu halten

> - Wie kann man das überhaupt selbst so testen, dass man sich
> hundertprozentig drauf verlassen kann ? Reichen diese
>   Online-Portscanner aus dem Internet ?
Für jemanden der sich von zu Hause ins Internet einwählt ist das 
erst einmal schon ein Weg um zu erkennen ob irgendwelche Dienste, 
über die Ports, nach aussen hin angeboten werden die da nichts zu 
suchen haben. http://scan.sygatetech.com/ ist da nicht schlecht.
Auf einer Maschine auf der keine Dienste nach aussen angeboten 
werden könnte man sogar auf eine Firewall verzichten.

> Fragen über Fragen, aber dazu sind die Experten hier ja da, dass
> man sie ausdrückt, oder ? ;-)
Ich kann ein Buch aus dem dpunkt-Verlag dazu empfehlen: "Linux 
Sicherheit" von Tobias Klein. Mit annähernd 1000 Seiten recht 
umfangreich und auf deutsch.

Tschüss,
Thomas


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Marcus Frings
Du plenkst. Bitte abstellen!
[Plenken = Leerzeichen zwischen Wort und Satzzeichen einfügen]

* [EMAIL PROTECTED] (Peter Schubert) wrote:
> Marcus Frings schrieb:
>>* [EMAIL PROTECTED] (Peter Schubert) wrote:

>>>- woran merkt man eindeutig, dass man von jemanden aus dem Web beklaut
>>>wurde oder so ?

>>Merkwürdiges Verhalten des Rechners bzw. regelmäßiges Durchsehen der
>>relevanten Logdateien sollten erste Anlaufpunkte für Auffälligkeiten
>> sein.

> evtl. mal welche Dateien, wo ?
> /etc/xyz.

Schau Dir mal an, was alles so in /var/log/ herumfliegt.

>>>  Wo wird das angezeigt ?

>>Logdateien, "nicht erwartetes" Verhalten/merkwürdige Rechte bzw. Größen
>>von Systemdateien.

> im Verzeichnis /var/ ?

Kann überall sein. Bekannte Kandidaten sind aber eher /dev/, /(s)bin
und /usr/(s)bin.


>>Ich würde mich eher an die Newsgroup de.comp.security.firewall wenden.

> das ist ein guter Hinweis, Danke. Ich hoffe nur, dass dort nicht nur
> Windows-User drin sind.

LOL! Danke, gesiggt! Du wirst Dich noch wundern, wenn Du die Gruppe
liest.

Gruß,
Marcus
-- 
"Du kannst doch nicht Frauen und Kinder erschiessen!" - "Das ist leicht. Du
darfst nur nicht so weit vorhalten! Hahahaha... Krieg ist die Hölle!"


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Michelle Konzack
Hallo Bjoern, 

Am 12:29 2003-07-20 +0200 hat Björn Gaworski geschrieben:

>Wie kann das sein? Und vor allem wie bekomme ich mein System wieder
zum laufen? Und was könnten mögliche Lücken sein, das jemand einen
Account auf dem Rechner anlegt und so einen Mist baut? 

Die einzige 100%ige Loesung:Neu installieren !!!

>Ich steh vor einem Rätsel!

Danach HOWTO's ueber Firewaling lesen und es auch tun...

Michelle

-- 
Registered Linux-User #280138 with the Linux Counter, http://counter.li.org.
+--+
| Michelle's Internet-ServiceInh.  Michelle Konzack|
| FunkLAN-Providerin   |
+--+


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Peter Schubert
Björn Gaworski schrieb:

Also es zu merken war nicht schwer: ich hatte nen fremden Useraccount in
meinem System, die Netzwerkkarte zum lokalen Netz läuft nicht mehr und ich
kann als root keine Netzwerkeinstellungen vornehmen.
__
Björn
 

mal von der reinen menschlichen Logik her -

dann muss der "Einbrecher" aber ein ziemlicher Idiot sein, wenn er noch 
einen eigenen und damit "hausfremden" User-Account hinterläßt. Hat das 
eventuell Linux nicht selbst angelegt und es war einer der vielen vielen 
Nutzer, die Linux namentlich vorhält?
Also, ich dachte nur, wenn ich irgendwo in einen fremden Rechner 
reinkriechen würde, würde ich doch nicht noch einen Haufen Spuren 
hinterlassen.
Aber wie gesagt, dass ist die naive logische Denkweise eines Anfängers. 
Hacker haben eventuell eine andere Logik ;-)

Gruss
Peter
--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)


Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Peter Schubert
Marcus Frings schrieb:

* [EMAIL PROTECTED] (Peter Schubert) wrote:

 

- woran merkt man eindeutig, dass man von jemanden aus dem Web beklaut
wurde oder so ?
   

Merkwürdiges Verhalten des Rechners bzw. regelmäßiges Durchsehen der
relevanten Logdateien sollten erste Anlaufpunkte für Auffälligkeiten
sein. 
 

evtl. mal welche Dateien, wo ?
/etc/xyz.
 

 Wo wird das angezeigt ?
   

Logdateien, "nicht erwartetes" Verhalten/merkwürdige Rechte bzw. Größen
von Systemdateien.
im Verzeichnis /var/ ?
Dort habe ich bemerkt, dass manchmal bis zu einem Gigabyte
"Masse" drinnen war, die aber in der nächsten Sitzung wieder 
verschwunden war.
Kann aber nicht genau sagen, wo.



Ich würde mich eher an die Newsgroup de.comp.security.firewall wenden.

 

das ist ein guter Hinweis, Danke. Ich hoffe nur, dass dort nicht nur 
Windows-User drin sind.

Gruss
Peter
--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)


Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Marcus Frings
Bitte kein ToFu hier! Siehe !

* Björn Gaworski <[EMAIL PROTECTED]> wrote:

> Ich find das eh fragwürdig, weil ich Woody installiert hab und nix
> besonderes verändert oder eingestellt hab. Alle Useraccounts sind durch

Woody zu installieren, reicht alleine nicht. Waren auch die aktuellsten
Sicherheitsupdates drauf?

> Passwörter geschützt. Ansich hatte ich immer gedacht Linux wär dann sicher,

Man muß nicht unbedingt Passwörter zu knacken, um eine Maschine zu
kompromittieren. Schon mal von Remote Root Exploits gehört?

Manches ist sicherer als anderes, aber _nichts_ ist 100% sicher.

> jetzt bin ich auf jeden Fall ziemlich enttäuscht und 'freue' mich jetzt
> schon dadrauf alles neu zu installieren.

Gruß,
Marcus
-- 
"Du kannst doch nicht Frauen und Kinder erschiessen!" - "Das ist leicht. Du
darfst nur nicht so weit vorhalten! Hahahaha... Krieg ist die Hölle!"


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Björn Gaworski
Also es zu merken war nicht schwer: ich hatte nen fremden Useraccount in
meinem System, die Netzwerkkarte zum lokalen Netz läuft nicht mehr und ich
kann als root keine Netzwerkeinstellungen vornehmen.

__
Björn

- Original Message -
From: "Peter Schubert" <[EMAIL PROTECTED]>
To: <[EMAIL PROTECTED]>
Sent: Sunday, July 20, 2003 3:28 PM
Subject: Re: Fw: Einbruch in Rechner


>
> >>> Ich werd das System jetzt neu installieren.
> >>>
> >>
> >>
> >> Sofern du nicht offentsichtliches in den Logdateien gefunden hast,
> >> wirst du dann aber nicht herausfinden, wie dein System kompromitiert
> >> wurde, und es eigentlich nur eine Frage der Zeit, bis jemand die
> >> gleiche Lücke wieder ausnutzt.
> >>
> >>
> >> Yours sincerely
> >>  Alexander
> >
>
> mich würde mal als relativem Anfänger und glücklicherweise
> wahrscheinlich auch nocht nicht aus dem Internet "Überfallenen"
> interessieren:
>
> - woran merkt man eindeutig, dass man von jemanden aus dem Web beklaut
> wurde oder so ?
>   Wo wird das angezeigt ?
> - kann man sich mit einem DSL- Router, von dem der Hersteller behauptet,
> er habe Firewall-Funktion (NETGEAR),
>   als sicher zurücklehnen? Selbst habe ich da wenig eingestellt. Nur so
> ein Portscanner im WEB hat festgestellt, dass ich
>   rundherum dicht wäre.
> - Wie kann man das überhaupt selbst so testen, dass man sich
> hundertprozentig drauf verlassen kann ? Reichen diese
>   Online-Portscanner aus dem Internet ?
>
> Fragen über Fragen, aber dazu sind die Experten hier ja da, dass man sie
> ausdrückt, oder ? ;-)
>
> Gruss
> Peter
>
>
>
> --
> Haeufig gestellte Fragen und Antworten (FAQ):
> http://www.de.debian.org/debian-user-german-FAQ/
>
> Zum AUSTRAGEN schicken Sie eine Mail an
[EMAIL PROTECTED]
> mit dem Subject "unsubscribe". Probleme? Mail an
[EMAIL PROTECTED] (engl)
>
>



-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Björn Gaworski
Achso, hatte ich vergessen zu erwähnen: die Logfiles sind alle gelöscht :(

Ich find das eh fragwürdig, weil ich Woody installiert hab und nix
besonderes verändert oder eingestellt hab. Alle Useraccounts sind durch
Passwörter geschützt. Ansich hatte ich immer gedacht Linux wär dann sicher,
jetzt bin ich auf jeden Fall ziemlich enttäuscht und 'freue' mich jetzt
schon dadrauf alles neu zu installieren.

Daten waren zum Glück keine drauf und die ganzen Configs aus /etc hab ich
sowieso gesichert.

Also kein Verlust. Aber ich will halt wissen, wie so etwas passieren kann.
Aber so wie ich das sehe krieg ich das ohne die Logs eh nicht raus.

__
Björn


- Original Message -
From: "Alexander Schmehl" <[EMAIL PROTECTED]>
To: <[EMAIL PROTECTED]>
Sent: Sunday, July 20, 2003 2:00 PM
Subject: Re: Fw: Einbruch in Rechner


> * Björn Gaworski <[EMAIL PROTECTED]> [030720 13:44]:
>
> > chkrootkit ist nicht installiert, also kann ich das leider nicht
> > starten.
>
> Das ist auch durchaus sinnvoll so. Was nützt es dir einen
> rootkit-Finder installiert zu haben, wenn der, der ein rootkit
> installiert, auch gleich den rootkit-Finder austauschen kann?
>
>
> >  Ich werd das System jetzt neu installieren.
>
> Sofern du nicht offentsichtliches in den Logdateien gefunden hast,
> wirst du dann aber nicht herausfinden, wie dein System kompromitiert
> wurde, und es eigentlich nur eine Frage der Zeit, bis jemand die
> gleiche Lücke wieder ausnutzt.
>
>
> Yours sincerely
>   Alexander
>
>
> --
> Haeufig gestellte Fragen und Antworten (FAQ):
> http://www.de.debian.org/debian-user-german-FAQ/
>
> Zum AUSTRAGEN schicken Sie eine Mail an
[EMAIL PROTECTED]
> mit dem Subject "unsubscribe". Probleme? Mail an
[EMAIL PROTECTED] (engl)
>
>



-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Marcus Frings
* [EMAIL PROTECTED] (Peter Schubert) wrote:

> - woran merkt man eindeutig, dass man von jemanden aus dem Web beklaut
> wurde oder so ?

Merkwürdiges Verhalten des Rechners bzw. regelmäßiges Durchsehen der
relevanten Logdateien sollten erste Anlaufpunkte für Auffälligkeiten
sein. 

>   Wo wird das angezeigt ?

Logdateien, "nicht erwartetes" Verhalten/merkwürdige Rechte bzw. Größen
von Systemdateien.

> - kann man sich mit einem DSL- Router, von dem der Hersteller
> behauptet, er habe Firewall-Funktion (NETGEAR), als sicher
> zurücklehnen?

Nein, natürlich nicht.

> Selbst habe ich da wenig eingestellt. Nur so ein Portscanner im WEB
> hat festgestellt, dass ich rundherum dicht wäre.
> - Wie kann man das überhaupt selbst so testen, dass man sich
> hundertprozentig drauf verlassen kann ? Reichen diese
> Online-Portscanner aus dem Internet ?

Einem Onlineportscanner traue ich nicht weiter, als ich ihn werfen
kann. Sie liefern zu oft Falschaussagen. Schau Dir mal nessus oder nmap
an.

> Fragen über Fragen, aber dazu sind die Experten hier ja da, dass man sie
> ausdrückt, oder ? ;-)

Ich würde mich eher an die Newsgroup de.comp.security.firewall wenden.

Gruß,
Marcus
-- 
"Lungenzüge tief ins Leere
keinen Klepper, keine Mähre
wie der Springer im Spiel der Spiele
Der Tod ist ein Dandy"


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Peter Schubert

Ich werd das System jetzt neu installieren.
  


Sofern du nicht offentsichtliches in den Logdateien gefunden hast,
wirst du dann aber nicht herausfinden, wie dein System kompromitiert
wurde, und es eigentlich nur eine Frage der Zeit, bis jemand die
gleiche Lücke wieder ausnutzt.
Yours sincerely
 Alexander 

mich würde mal als relativem Anfänger und glücklicherweise 
wahrscheinlich auch nocht nicht aus dem Internet "Überfallenen" 
interessieren:

- woran merkt man eindeutig, dass man von jemanden aus dem Web beklaut 
wurde oder so ?
 Wo wird das angezeigt ?
- kann man sich mit einem DSL- Router, von dem der Hersteller behauptet, 
er habe Firewall-Funktion (NETGEAR),
 als sicher zurücklehnen? Selbst habe ich da wenig eingestellt. Nur so 
ein Portscanner im WEB hat festgestellt, dass ich
 rundherum dicht wäre.
- Wie kann man das überhaupt selbst so testen, dass man sich 
hundertprozentig drauf verlassen kann ? Reichen diese
 Online-Portscanner aus dem Internet ?

Fragen über Fragen, aber dazu sind die Experten hier ja da, dass man sie 
ausdrückt, oder ? ;-)

Gruss
Peter


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)


Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Ralf Moll
Hallo Björn,

mache auf jeden Fall erst mal ein dd-Image in ein File oder auf eine 
andere Platte.

Dann kannst du in Ruhe austesten, und dein Original bleibt unverändert. 
Am besten nimmst du eine Knoppix CD und startest mit dem Boot-Parametern 
"noswap", damit dein Swap-File nicht verändert wird. Dann kannst du mit 
dd die Platte auf eine andere kopieren.

Ralf

--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)


Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Peter Schubert
Alexander Schmehl schrieb:

* Björn Gaworski <[EMAIL PROTECTED]> [030720 13:44]:

 

chkrootkit ist nicht installiert, also kann ich das leider nicht
starten.
   

Das ist auch durchaus sinnvoll so. Was nützt es dir einen
rootkit-Finder installiert zu haben, wenn der, der ein rootkit
installiert, auch gleich den rootkit-Finder austauschen kann?
 

Ich werd das System jetzt neu installieren.
   

Sofern du nicht offentsichtliches in den Logdateien gefunden hast,
wirst du dann aber nicht herausfinden, wie dein System kompromitiert
wurde, und es eigentlich nur eine Frage der Zeit, bis jemand die
gleiche Lücke wieder ausnutzt.
Yours sincerely
 Alexander
 



--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)


Re: Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Alexander Schmehl
* Björn Gaworski <[EMAIL PROTECTED]> [030720 13:44]:

> chkrootkit ist nicht installiert, also kann ich das leider nicht
> starten.

Das ist auch durchaus sinnvoll so. Was nützt es dir einen
rootkit-Finder installiert zu haben, wenn der, der ein rootkit
installiert, auch gleich den rootkit-Finder austauschen kann?


>  Ich werd das System jetzt neu installieren.

Sofern du nicht offentsichtliches in den Logdateien gefunden hast,
wirst du dann aber nicht herausfinden, wie dein System kompromitiert
wurde, und es eigentlich nur eine Frage der Zeit, bis jemand die
gleiche Lücke wieder ausnutzt.


Yours sincerely
  Alexander


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Fw: Einbruch in Rechner

2003-07-20 Diskussionsfäden Björn Gaworski

Ich hab den rechner jetzt komplett vom Internet abgetrennt und komm deshalb
mit apt-get nicht weiter. chkrootkit ist nicht installiert, also kann ich
das leider nicht starten.

 Ich werd das System jetzt neu installieren.

 __
Björn Gaworski



-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Torsten Werner
Am 20. Juli 2003 schrieb Björn Gaworski:
> Wie kann das sein? Und vor allem wie bekomme ich mein System wieder
> zum laufen?

chattr -AacDdijsSu /sbin/* /bin/* /usr/sbin/* /usr/bin/*

und dann reinstallieren, aber damit wirst du nicht alles beheben.

> Und was könnten mögliche Lücken sein, das jemand einen Account auf dem
> Rechner anlegt und so einen Mist baut? 

altes samba vielleicht?

-- 
Torsten Werner  +49 162 3123004
[EMAIL PROTECTED]  http://www.twerner42.de


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Eric Marchionni
Björn Gaworski wrote:
Hallo,
hi

Wie kann das sein? Und vor allem wie bekomme ich mein System wieder zum laufen?

Ich steh vor einem Rätsel!
versuch mal chkrootkit:
apt-get install chkrootkit; chkrootkit
dies untersucht dein system nach rootkits.
die ausgabe würde mich interessieren! evtl. kannst du daraus 
schlüsse ziehen.
aber ich denke auch, dass du nicht darum kommst, dein system neu 
aufzusetzen.

gruss
eric
--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)


Re: Einbruch in Rechner

2003-07-20 Diskussionsfäden Werner Gast
Am Son, 2003-07-20 um 12.29 schrieb Björn Gaworski:
> Ich hab einen Linuxrechner, der auf alter Hardware läuft und
> Routingfunktionen in meinem Netzwerk übernimmt.
> Dann stelle ich fest, dass eth0 nicht läuft (für das lokale Netzwerk,
> eth1 ist am DSL Modem angeschlossen). Ich tippe fröhlich ifconfig ein
> und bekomme
> bash: /sbin/ifconfig Datei oder Verzeichnis nicht gefunden
> Stimmt aber nicht ls /sbin/ifconfig zeigt mir das es da ist. Root ist
> der Owner und alle dürfen das Prog ausführen (x gesetzt).
> Nun nach einigem rumprobieren auch mit apt-get (re)install net-tools
> hab ich herausgefunden, das ich ifconfig und netstat nicht löschen
> umbenennen oder sonstwas machen darf. Ich hab anscheinend keine rechte
> darauf, obwohl ich als root angemeldet bin und mir die Eigenschaften
> der Dateien anzeigen, das root der Besitzer ist und alle Rechte hat?
Hallo Bjoern,
vermutlich duerfte es schrierig sein, alle Aenderungen, die ein
Unbekannter vorgenommen hat, zu finden. 
Ich wuerde /var/log sichern, um irgendwann eventuell noch vorhandene
Einbruchspuren nachvollziehen zu koennen. In der Regel wurden aber diese
schon geloescht
und /etc sichern, um Reste eigener Einstellungen ablesen und haendisch
wieder eingeben zu koennen.

Dann wuerde ich von CDs eine Neuinstallation machen und eine Firewall
installieren. Ich benutze Shorewall um iptables zu konfigurieren.
-- 
Werner

Gruesse aus Egestorf in der Lueneburger Heide
http://www.heidefewo.de


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)



Einbruch in Rechner

2003-07-20 Diskussionsfäden Björn Gaworski



Hallo,
 
zuerst einmal stell ich mich kurz vor, da ich neu 
in der Liste bin. Mein Name ist Björn Gaworski, 
Informatikstudent und ziemlich unwissend was Linux betrifft, da ich 
mich diesem Gebiet erst seit neuestem widme.
 
Nun zu meinem Problem:
Ich hab einen Linuxrechner, der auf alter Hardware 
läuft und Routingfunktionen in meinem Netzwerk übernimmt.
 
Heute morgen stehe ich auf und der Router läuft 
nicht. Also melde ich mich dort an und sehe, das es einen User musti gibt. Ich 
hab den nicht angelegt und mir ist auch noch nicht klar, wie er auf den Rechner 
gekommen ist, da der root Account mit nem ziemlich komplizierten Passwort 
geschützt ist (Buchstaben-Zahlen-Sonderzeichen-Kombi) und es ansonsten nur einen 
normalen Benutzeraccount gibt, unter dem ich mich anmelde, wenn ich mal da ran 
muss. Als Serverdienst läuft eigentlich nur der normale Krams: named, dhcpd, 
ssh, mysql, apache, samba und ddclient für die dyndns 
Aktualisierung.
 
Dann stelle ich fest, dass eth0 nicht läuft (für 
das lokale Netzwerk, eth1 ist am DSL Modem angeschlossen). Ich tippe fröhlich 
ifconfig ein und bekomme
 
bash: /sbin/ifconfig Datei oder Verzeichnis nicht 
gefunden
 
Stimmt aber nicht ls /sbin/ifconfig zeigt mir das 
es da ist. Root ist der Owner und alle dürfen das Prog ausführen (x 
gesetzt).
 
Nun nach einigem rumprobieren auch mit apt-get 
(re)install net-tools hab ich herausgefunden, das ich ifconfig und netstat nicht 
löschen umbenennen oder sonstwas machen darf. Ich hab anscheinend keine rechte 
darauf, obwohl ich als root angemeldet bin und mir die Eigenschaften der Dateien 
anzeigen, das root der Besitzer ist und alle Rechte hat?
 
Wie kann das sein? Und vor allem wie bekomme ich 
mein System wieder zum laufen? Und was könnten mögliche Lücken sein, das jemand 
einen Account auf dem Rechner anlegt und so einen Mist baut? 
 
Ich steh vor einem Rätsel!
 
__
Björn Gaworski