Re: OT: Rechner geknackt- aber wie?
Hallo dirk.finkeldey, dirk.finkeldey, 29.01.2006 (d.m.y): Liege ich falsch in der Annahme das der MasterKey (befindet sich auf deinen USB Stick) lediglich zur ligitimation des PublicKey dient und selbst garnicht in Verwendung ist ? Ja, liegst Du. Man erzeugt sich ein SSH-Schluesselpaar, das aus oeffentlichem und privatem Schluessel besteht. Den oeffentlichen legt man auf die Zielmaschine(n), den privaten behaelt man. Stell Dir das einfach so vor, dass der oeffentliche Schluessel eher das Schloss ist, das sich dann nur mit dem privaten Schluessel aufschliessen laesst. Den privaten Schluessel kann man dann zusaetzlich mit einer Passphrase sichern, so dass man zum erfolgreichen Aufbau der SSH-Verbindung nicht nur etwas haben muss (den privaten Key), sondern auch etwas wissen muss (die Passphrase). Dachte auch das der Masterkey nur verwendet wird um d(i)e(n) PublicKey(s) zu zertificieren und danach nicht mehr benötigt wird. Da verwechselst Du irgendwie SSL und SSH sowie evtl PGP/GPG... Gruss, Christian Schmidt -- * Joey fällt um Joey address[..], 3 Jan '101/address Joey Bitte sagt mir, daß das nicht nach Y2k-Bug aussieht. signature.asc Description: Digital signature
Re: OT: Rechner geknackt- aber wie?
Christian Schmidt schrieb: Hallo dirk.finkeldey, dirk.finkeldey, 29.01.2006 (d.m.y): Liege ich falsch in der Annahme das der MasterKey (befindet sich auf deinen USB Stick) lediglich zur ligitimation des PublicKey dient und selbst garnicht in Verwendung ist ? Ja, liegst Du. Man erzeugt sich ein SSH-Schluesselpaar, das aus oeffentlichem und privatem Schluessel besteht. Den oeffentlichen legt man auf die Zielmaschine(n), den privaten behaelt man. Stell Dir das einfach so vor, dass der oeffentliche Schluessel eher das Schloss ist, das sich dann nur mit dem privaten Schluessel aufschliessen laesst. Den privaten Schluessel kann man dann zusaetzlich mit einer Passphrase sichern, so dass man zum erfolgreichen Aufbau der SSH-Verbindung nicht nur etwas haben muss (den privaten Key), sondern auch etwas wissen muss (die Passphrase). Aha, schonn wieder was gelehrnt. Dachte auch das der Masterkey nur verwendet wird um d(i)e(n) PublicKey(s) zu zertificieren und danach nicht mehr benötigt wird. Da verwechselst Du irgendwie SSL und SSH sowie evtl PGP/GPG... Danke für die Klarstellung, währe wirklich ärgerlich durch unwissenheit falsche wege zu gehen. Gruss, Christian Schmidt Mit freundlichen Grüßen Dirk Finkeldey
Re: OT: Rechner geknackt- aber wie?
ja hallo erstmal,... Am Samstag, 28. Januar 2006 19:11 schrieb Markus Heller: Hallo Gemeinde, Ist wohl user geblieben. Glück gehabt. Generell gilt: Rechner nicht ausschalten Habe den Einbruch leider mit 2 Tagen Verspätung bemerkt, aber es ist auch eher ein Bastelsystem. es kursiert da in der letzten Zeit ein SSH2-Dictionary-Angriff. Da hat jemand eine große Liste an Namen und Bezeichnungen, die er kombiniert für Accounts und Passwds verwendet. Bei mir wurde so schon mal ein Account mit einem vergleichsweise schwachen passwd geknackt. Also: SSH schützt nicht unbedingt. Man braucht auch ein gutes Passwd! Ich weiß - ich schreibe auch schon fleißig abuse Mails. Wenn man Zugriff auf den Rechner hat und er sich nicht in einem x-beliebigen Rack in irgendeinem Rechenzentrum befindet, gilt: Internet-Stecker abstöpseln, aber nicht ausschalten! Mein Hacker hat dann von einem Server in Rumänien dieses SSH-Scan-Kit nachgeladen. Allerdings hat er es im Shared Memory entpackt und von dort aus gestartet, und da ich die Dummheit begangen habe, den Rechner zu rebooten, waren alle Beweise weg! Nun weiß ich nicht, wen er alles noch angegriffen hat. Tja - was soll man dazu sagen? Keep smiling yanosz
Re: OT: Rechner geknackt- aber wie?
On Sun, Jan 29, 2006 at 03:46:17AM +0100, Sven Hartge wrote: SSH-Keys sind ja schön und gut, aber außerhalb der Kontrolle des Admins. Paßwörter kann er immerhin kontrollieren, aber ob jemand einen Key ohne Paßwort auf einem unsicheren Rechner liegen hat, nicht. Das Argument ist natürlich korrekt, aber es greift hier in diesem speziellen Falle nicht. Es greift, wenn bei der Empfehlung, anstelle von Paßwörtern SSH-Keys zu verwenden, mitschwingt, daß diese das System sicherer machen. Wie ich noch aus Uni-Geschichten weiß, gab es da durchaus Rechner, die von innen gehackt wurden, weil andere Rechner gehackt wurden, auf denen SSH-Keys lagen. Shade and sweet water! Stephan -- | Stephan SeitzE-Mail: [EMAIL PROTECTED] | | WWW: http://fsing.rootsland.net/~stse/| | PGP Public Keys: http://fsing.rootsland.net/~stse/pgp.html | signature.asc Description: Digital signature
Re: OT: Rechner geknackt- aber wie?
Hi! On Sun, 29 Jan 2006 12:00:35 +0100 Stephan Seitz [EMAIL PROTECTED] wrote: Wie ich noch aus Uni-Geschichten weiß, gab es da durchaus Rechner, die von innen gehackt wurden, weil andere Rechner gehackt wurden, auf denen SSH-Keys lagen. Deswegen befindet sich mein Key ja auch *ausschließlich* auf meinem USB-Stick. ;) LG, Ace -- () ASCII Ribbon Campaign - against HTML mail /\- against Microsoft attachments http://www.efn.no/html-bad.html http://www.goldmark.org/netrants/no-word/attach.html signature.asc Description: PGP signature
Re: OT: Rechner geknackt- aber wie?
Hi! On Sat, 28 Jan 2006 23:22:17 +0100 Stephan Seitz [EMAIL PROTECTED] wrote: Und wie kontrollierst du die Sicherheit der Schlüssel deiner User? In meinem speziellen Fall bin ich - neben meiner Freundin - der einzige User auf dem Server und der einzige, der per SSH rein kommt. Bei Servern mit diversen bis vielen Usern ist dies natürlich in der Tat ein Problem mit den Schlüsseln. Ich denke, da würde ich vor allem mit changeroots arbeiten (und dafür dann doch wieder mit Passwörtern). Einem User eine Shell anzubieten (und dann noch von außen) ist natürlich grundsätzlich eine sicherheitstechnisch extrem kritische Angelegenheit. LG, Ace -- () ASCII Ribbon Campaign - against HTML mail /\- against Microsoft attachments http://www.efn.no/html-bad.html http://www.goldmark.org/netrants/no-word/attach.html signature.asc Description: PGP signature
Re: OT: Rechner geknackt- aber wie?
Ace Dahlmann schrieb: Hi! On Sun, 29 Jan 2006 12:00:35 +0100 Stephan Seitz [EMAIL PROTECTED] wrote: Wie ich noch aus Uni-Geschichten weiß, gab es da durchaus Rechner, die von innen gehackt wurden, weil andere Rechner gehackt wurden, auf denen SSH-Keys lagen. Deswegen befindet sich mein Key ja auch *ausschließlich* auf meinem USB-Stick. ;) Liege ich falsch in der Annahme das der MasterKey (befindet sich auf deinen USB Stick) ,lediglich zur ligitimation des PublicKey dient und selbst garnicht in Verwendung ist ? Dachte auch das der Masterkey nur verwendet wird um d(i)e(n) PublicKey(s) zu zertificieren und danach nicht mehr benötigt wird. Hätte anderfalls eine signierung / zertifizierung von PublicKeys überhaupt einen Sinn ? LG, Ace Mit freundlichen Grüßen Dirk Finkeldey
Re: OT: Rechner geknackt- aber wie?
ja hallo erstmal,... Am Freitag, 27. Januar 2006 16:00 schrieb Tim Boneko: Jan Luehr schrieb: blieb er user oder wurde er root? Ist wohl user geblieben. Glück gehabt. Generell gilt: Rechner nicht ausschalten Habe den Einbruch leider mit 2 Tagen Verspätung bemerkt, aber es ist auch eher ein Bastelsystem. Ok, dann hattest du entweder einen account mit einem schwachen Kennwort, einen Fehler in deiner SSH-Konfiguration oder einen sehr alten sshd. Was für services liefen noch? Wäre ein remote-Root-Exploit, über den der account erstellt wurde denkbar? Keep smiling yanosz
Re: OT: Rechner geknackt- aber wie?
Hallo Gemeinde, Ist wohl user geblieben. Glück gehabt. Generell gilt: Rechner nicht ausschalten Habe den Einbruch leider mit 2 Tagen Verspätung bemerkt, aber es ist auch eher ein Bastelsystem. es kursiert da in der letzten Zeit ein SSH2-Dictionary-Angriff. Da hat jemand eine große Liste an Namen und Bezeichnungen, die er kombiniert für Accounts und Passwds verwendet. Bei mir wurde so schon mal ein Account mit einem vergleichsweise schwachen passwd geknackt. Also: SSH schützt nicht unbedingt. Man braucht auch ein gutes Passwd! Wenn man Zugriff auf den Rechner hat und er sich nicht in einem x-beliebigen Rack in irgendeinem Rechenzentrum befindet, gilt: Internet-Stecker abstöpseln, aber nicht ausschalten! Mein Hacker hat dann von einem Server in Rumänien dieses SSH-Scan-Kit nachgeladen. Allerdings hat er es im Shared Memory entpackt und von dort aus gestartet, und da ich die Dummheit begangen habe, den Rechner zu rebooten, waren alle Beweise weg! Nun weiß ich nicht, wen er alles noch angegriffen hat. Viele Grüße Markus
Re: OT: Rechner geknackt- aber wie?
Hi! On Sat, 28 Jan 2006 19:11:45 +0100 Markus Heller [EMAIL PROTECTED] wrote: Also: SSH schützt nicht unbedingt. Man braucht auch ein gutes Passwd! Ich würde einen nach außen offenen SSH-Port nur noch mit Public-Key-Auth only betreiben. LG, Ace -- () ASCII Ribbon Campaign - against HTML mail /\- against Microsoft attachments http://www.efn.no/html-bad.html http://www.goldmark.org/netrants/no-word/attach.html signature.asc Description: PGP signature
Re: OT: Rechner geknackt- aber wie?
Am Samstag, 28. Januar 2006 19:57 schrieb Ace Dahlmann: Hi! On Sat, 28 Jan 2006 19:11:45 +0100 Markus Heller [EMAIL PROTECTED] wrote: Also: SSH schützt nicht unbedingt. Man braucht auch ein gutes Passwd! Ich würde einen nach außen offenen SSH-Port nur noch mit Public-Key-Auth only betreiben. Würde ich auch dringend empfehlen - und wenn Du die Möglichkeit hast würde ich auch nen anderen Port nehmen - dann hast zumindest mal von vielen Script-Kiddies Ruhe. -- fvgi242ss | wlanhacking.de
Re: OT: Rechner geknackt- aber wie?
Hi! On Sat, 28 Jan 2006 19:59:24 +0100 Jochen Kaechelin [EMAIL PROTECTED] wrote: Würde ich auch dringend empfehlen - und wenn Du die Möglichkeit hast würde ich auch nen anderen Port nehmen - dann hast zumindest mal von vielen Script-Kiddies Ruhe. Jo, ich nutze folgende Kombination: 1. SSH nur noch mit Key (der sich nur auf meinem USB-Stick befindet). 2. SSH (nach außen hin) auf einem hohen Port - weit über 10.000. 3. sshdfilter[1] installiert, der solche Angriffsversuche mit iptables im Keim erstickt. LG, Ace [1] http://www.csc.liv.ac.uk/~greg/sshdfilter/ -- () ASCII Ribbon Campaign - against HTML mail /\- against Microsoft attachments http://www.efn.no/html-bad.html http://www.goldmark.org/netrants/no-word/attach.html signature.asc Description: PGP signature
Re: OT: Rechner geknackt- aber wie?
On Sat, Jan 28, 2006 at 07:57:15PM +0100, Ace Dahlmann wrote: Ich würde einen nach außen offenen SSH-Port nur noch mit Public-Key-Auth only betreiben. Und wie kontrollierst du die Sicherheit der Schlüssel deiner User? SSH-Keys sind ja schön und gut, aber außerhalb der Kontrolle des Admins. Paßwörter kann er immerhin kontrollieren, aber ob jemand einen Key ohne Paßwort auf einem unsicheren Rechner liegen hat, nicht. Shade and sweet water! Stephan -- | Stephan SeitzE-Mail: [EMAIL PROTECTED] | | WWW: http://fsing.rootsland.net/~stse/| | PGP Public Keys: http://fsing.rootsland.net/~stse/pgp.html | signature.asc Description: Digital signature
Re: OT: Rechner geknackt- aber wie?
On Sat, Jan 28, 2006 at 11:22:17PM +0100, Stephan Seitz wrote: On Sat, Jan 28, 2006 at 07:57:15PM +0100, Ace Dahlmann wrote: Ich würde einen nach außen offenen SSH-Port nur noch mit Public-Key-Auth only betreiben. Und wie kontrollierst du die Sicherheit der Schlüssel deiner User? SSH-Keys sind ja schön und gut, aber außerhalb der Kontrolle des Admins. Paßwörter kann er immerhin kontrollieren, aber ob jemand einen Key ohne Paßwort auf einem unsicheren Rechner liegen hat, nicht. Ob er sie irgendwo aufgeschrieben hat aber auch nicht. Der Unterschied zwischen einem Schlüssel und einem Paßwort liegt ja nur darin, daß ich mir den Key nicht selbst aussuchen und nicht merken kann (und er ist idR. länger). Höhere Sicherheit braucht dann Biometrie (mit ganz eigenen Problemen) oder zB. Smartcards. -- Martin Hermanowski http://mh57.de/martin signature.asc Description: Digital signature
Re: OT: Rechner geknackt- aber wie?
On 28.01.06 23:22:17, Stephan Seitz wrote: On Sat, Jan 28, 2006 at 07:57:15PM +0100, Ace Dahlmann wrote: Ich würde einen nach außen offenen SSH-Port nur noch mit Public-Key-Auth only betreiben. Und wie kontrollierst du die Sicherheit der Schlüssel deiner User? Indem man sie ihnen vorgibt, jedenfalls den initialen. SSH-Keys sind ja schön und gut, aber außerhalb der Kontrolle des Admins. Zumindestens den initialen Schluessel kannst du kontrollieren. Danach natuerlich nicht mehr, da koennte man aber entsprechende Nutzungsbedingungen formulieren wonach die Nutzer die Schluessel nicht veraendern duerfen Paßwörter kann er immerhin kontrollieren, Nein, jeder User kann sein Passwort aendern wenn er will. Klaro kannst du naechlich john laufen lassen und alle Leute mit schwachem Passwort automatisch kicken, aber dasselbe kannst du mit obigem machen - nur eben mit md5sum o.ae. auf die Schluessel-Datei. Andreas -- Chicken Little was right. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OT: Rechner geknackt- aber wie?
Stephan Seitz [EMAIL PROTECTED] wrote: On Sat, Jan 28, 2006 at 07:57:15PM +0100, Ace Dahlmann wrote: Ich würde einen nach außen offenen SSH-Port nur noch mit Public-Key-Auth only betreiben. Und wie kontrollierst du die Sicherheit der Schlüssel deiner User? Selbst ein Passwort-Freier SSH-Key kann durch die derzeitigen Brute-Force-Scans nicht überwunden werden. SSH-Keys sind ja schön und gut, aber außerhalb der Kontrolle des Admins. Paßwörter kann er immerhin kontrollieren, aber ob jemand einen Key ohne Paßwort auf einem unsicheren Rechner liegen hat, nicht. Das Argument ist natürlich korrekt, aber es greift hier in diesem speziellen Falle nicht. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://www.svenhartge.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
OT: Rechner geknackt- aber wie?
Tach zusammen, ich musste kürzlich feststellen, dass eine meiner Bastel- Baustellen geknackt wurde: Laut lastlog hatte sich ein Mitglied der Gruppe user von der Domain linuxkiddies.com aus angemeldet. So weit, so scheiße. Jetzt frage ich mich: Wie kann das sein? Bis auf Port 22 ist die Firewall dicht, default-policy für INPUT ist DROP. Genau genommen hat der betreffende User kein ssh eingerichtet. Wie ist der Knabe reingekommen? timbo -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OT: Rechner geknackt- aber wie?
ja hallo erstmal,.. Am Freitag, 27. Januar 2006 15:15 schrieb Tim Boneko: Tach zusammen, ich musste kürzlich feststellen, dass eine meiner Bastel- Baustellen geknackt wurde: Laut lastlog hatte sich ein Mitglied der Gruppe user von der Domain linuxkiddies.com aus angemeldet. So weit, so scheiße. Jetzt frage ich mich: Wie kann das sein? Bis auf Port 22 ist die Firewall dicht, default-policy für INPUT ist DROP. Genau genommen hat der betreffende User kein ssh eingerichtet. Wie ist der Knabe reingekommen? Wenn SSH läuft, dann wahrscheinlich über ssh. blieb er user oder wurde er root? Generell gilt: Rechner nicht ausschalten, vom Netz trennen und genauer untersuchen. Keep smiling yanosz
Re: OT: Rechner geknackt- aber wie?
Also sprach Tim Boneko [EMAIL PROTECTED] (Fri, 27 Jan 2006 15:15:53 +0100): Tach zusammen, ich musste kürzlich feststellen, dass eine meiner Bastel- Baustellen geknackt wurde: Laut lastlog hatte sich ein Mitglied der Gruppe user von der Domain linuxkiddies.com aus angemeldet. So weit, so scheiße. ..sofern du lastlog noch vertrauen kannst. Jetzt frage ich mich: Wie kann das sein? Bis auf Port 22 ist die Firewall dicht, default-policy für INPUT ist DROP. Genau genommen hat der betreffende User kein ssh eingerichtet. Wie ist der Knabe reingekommen? Keinen Schimmer. Vielleicht User/Passwort mal abgefangen, bei einer ftp Sitzung o.ae.? Aber auch das ist alles andere als einfach. Oder eine erfolgreiche ssh brute force (Die koennen sich ueber Stunden hinziehen..). Tipp: Ich lege einen Unmoeglich_zu_erraten_User an und erlaube mit AllowUsers (sshd_config) nur diesem Zugang. Bisher ist's gut gegangen. Rechner vom Netz und genauer untersuchen. timbo sl ritch
Re: OT: Rechner geknackt- aber wie?
Gruesse! * Tim Boneko [EMAIL PROTECTED] schrieb am [27.01.06 15:15]: Tach zusammen, ich musste kürzlich feststellen, dass eine meiner Bastel- Baustellen geknackt wurde: Laut lastlog hatte sich ein Mitglied der Gruppe user von der Domain linuxkiddies.com aus angemeldet. So weit, so scheiße. Irgendwie bringst du da was durcheinander. lastlog listet nur Usernamen auf, keine Gruppen. Und wenn: welcher *User* aus der Gruppe users war es denn? Und über welchen port laut lastlog? Jetzt frage ich mich: Wie kann das sein? Bis auf Port 22 ist die Firewall dicht, default-policy für INPUT ist DROP. Na dann wohl über port 22. Über einen auf deinem System existierenden User mit schwachem Passort. Ggf. zum dokumentierten Zeitpunkt das Syslog gegenchecken. Genau genommen hat der betreffende User kein ssh eingerichtet. Was willst du uns damit sagen? Wie ist der Knabe reingekommen? Wie gesagt, über port 22. Vorgehensweise? Hm, Rechner vom Netz nehmen, Snapshot des Partition(en) erstellen. Check auf Rootkits bzw. Logfile-Check überprüfen. timbo Gruß Gerhard -- Dont't drink and root!
Re: OT: Rechner geknackt- aber wie?
Tim Boneko: ich musste kürzlich feststellen, dass eine meiner Bastel- Baustellen geknackt wurde: Laut lastlog hatte sich ein Mitglied der Gruppe user von der Domain linuxkiddies.com aus angemeldet. So weit, so scheiße. Dann tippe ich mal, dass linuxkiddies.com auch aufgemacht wurde. Könnte für Dich und den Betrieber hilfreich sein, dem Bescheid zu sagen. Das nmap-Ergebnis sieht auch nicht besonders vertrauenserweckend aus. Du weißt nicht, welcher User genau sich angemeldet hat? Jetzt frage ich mich: Wie kann das sein? Bis auf Port 22 ist die Firewall dicht, default-policy für INPUT ist DROP. Genau genommen hat der betreffende User kein ssh eingerichtet. SSH wird nicht auf Userbasis eingerichtet. In der Standardkonfiguration kann sich jeder User echte User (also keine Systemuser wie www-data oder so) von außen mit seinem Passwort anmelden. Einbruchsmöglichkeiten, die mir spontan einfallen: - Verwundbarkeit im TCP/IP-Stack (sehr unwahrscheinlich) - Verwundbarkeit in SSH ohne Authentifizierung (auch recht unwahrscheinlich, außer Du benutzt eine antike Version) - Schlecht gewähltes Passwort Seit mehr als einem Jahr gibt es an wahrscheinlich jedem SSH-Server Anmeldeversuche mit billigen Username-Passwort-Kombinationen. Vielleicht bist du denen zum Opfer gefallen? Abhilfe für die Zukunft schafft für diesen Fall die Einschränkung der User, die sich überhaupt anmelden dürfen und Authentifizierung mit public keys statt Passwort. J. -- I hate myself but have no clear idea why. [Agree] [Disagree] http://www.slowlydownward.com/NODATA/data_enter2.html signature.asc Description: Digital signature
Re: OT: Rechner geknackt- aber wie?
Jan Luehr schrieb: blieb er user oder wurde er root? Ist wohl user geblieben. Generell gilt: Rechner nicht ausschalten Habe den Einbruch leider mit 2 Tagen Verspätung bemerkt, aber es ist auch eher ein Bastelsystem. Keep smiling Ich probier´s... aber das geht mir schon etwas an die Nieren. timbo -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OT: Rechner geknackt- aber wie?
Dann tippe ich mal, dass linuxkiddies.com auch aufgemacht wurde. Könnte für Dich und den Betrieber hilfreich sein, dem Bescheid zu sagen. Dasnmap-Ergebnis sieht auch nicht besonders vertrauenserweckend aus. so ? Ich kann das nicht mal auflösen ... ?? auch der im nic eingetragene DNS kann das nicht .. wie also hast du den (angeblichen) host gescannt (bzw. woher hast du die ip ?) nullman
Re: OT: Rechner geknackt- aber wie?
nullman: Dann tippe ich mal, dass linuxkiddies.com auch aufgemacht wurde. Könnte für Dich und den Betrieber hilfreich sein, dem Bescheid zu sagen. Das nmap-Ergebnis sieht auch nicht besonders vertrauenserweckend aus. so ? Ich kann das nicht mal auflösen ... ?? D'ouh! Ich auch nicht. Habe hier ein merkwürdiges DNS-Problem und bekomme bei nicht gefundenen Hostnamen immer eine interne IP. %) Soviel zu nicht besonders vertrauenserweckend... Ich habe lokal einige Dienste laufen, und gedacht, das stellt jemand alles nach außen zur Verfügung. J. -- If I had to live on a desert island I would take a mobile phone, preferably a Nokia 8810. [Agree] [Disagree] http://www.slowlydownward.com/NODATA/data_enter2.html signature.asc Description: Digital signature
Re: OT: Rechner geknackt- aber wie?
Gruesse! * Jochen Schulz [EMAIL PROTECTED] schrieb am [27.01.06 16:39]: nullman: Dann tippe ich mal, dass linuxkiddies.com auch aufgemacht wurde. Könnte für Dich und den Betrieber hilfreich sein, dem Bescheid zu sagen. Das nmap-Ergebnis sieht auch nicht besonders vertrauenserweckend aus. so ? Ich kann das nicht mal auflösen ... ?? D'ouh! Ich auch nicht. Habe hier ein merkwürdiges DNS-Problem und bekomme bei nicht gefundenen Hostnamen immer eine interne IP. %) Das ist ja auch eine Domain und kein Hostname (den hatte der OP nämlich nicht genannt). Die Domain ist sehr wohl eingetragen. Gruß Gerhard -- MSCI = M$cro Soft Certificated Installer
Re: OT: Rechner geknackt- aber wie?
Gerhard Brauer schrieb: Irgendwie bringst du da was durcheinander. lastlog listet nur Usernamen auf, keine Gruppen. Äh ja, da steht auch der username drin. Habe mich nur etwas umständlich ausgedrückt. michael heißt der User, zugriff auf ssh2. Was willst du uns damit sagen? Dass ich bis gerade eben geglaubt hatte, ohne ssh- Identität in ~/.ssh sei ein ssh- Login nicht möglich... Wieder was gelernt! Vorgehensweise? Hm, Rechner vom Netz nehmen, Snapshot des Partition(en) erstellen. Check auf Rootkits bzw. Logfile-Check überprüfen. Ist schon erledigt. Danke für die erhellende Antwort! So eine Sch... timbo -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
RE: OT: Rechner geknackt- aber wie?
Oh weia! Damit sich die User nicht einloggen können musst Du in /etc/passwd /bin/bash durch z.B. /bin/false ersetzen oder gleich /dev/null... ;-) Grüsse Sascha -Original Message- From: Tim Boneko [mailto:[EMAIL PROTECTED] Sent: Friday, January 27, 2006 5:37 PM To: Gerhard Brauer Cc: debian-user-german@lists.debian.org Subject: Re: OT: Rechner geknackt- aber wie? Gerhard Brauer schrieb: Irgendwie bringst du da was durcheinander. lastlog listet nur Usernamen auf, keine Gruppen. Äh ja, da steht auch der username drin. Habe mich nur etwas umständlich ausgedrückt. michael heißt der User, zugriff auf ssh2. Was willst du uns damit sagen? Dass ich bis gerade eben geglaubt hatte, ohne ssh- Identität in ~/.ssh sei ein ssh- Login nicht möglich... Wieder was gelernt! Vorgehensweise? Hm, Rechner vom Netz nehmen, Snapshot des Partition(en) erstellen. Check auf Rootkits bzw. Logfile-Check überprüfen. Ist schon erledigt. Danke für die erhellende Antwort! So eine Sch... timbo -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german- [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OT: Rechner geknackt- aber wie?
Jochen Schulz schrieb: D'ouh! Ich auch nicht. Habe hier ein merkwürdiges DNS-Problem und bekomme bei nicht gefundenen Hostnamen immer eine interne IP. %) Falls ihr eine IP braucht: 66.111.57.70 Inzwischen hat mich Gerhard Brauer auf die richtige Fährte gebracht, ich habe mein Wissen über ssh als lückenhaft und den betreffenden Rechner als unsicher neu einstufen müssen. Urks... Danke für eure Mitarbeit! timbo -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OT: Rechner geknackt- aber wie?
Richard Mittendorfer schrieb: Keinen Schimmer. Vielleicht User/Passwort mal abgefangen, bei einer ftp Sitzung o.ae.? Aber auch das ist alles andere als einfach. Oder eine erfolgreiche ssh brute force (Die koennen sich ueber Stunden hinziehen..). Siehe meine Antwort an G. Brauer! Danke fürs Mitdenken, timbo -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OT: Rechner geknackt- aber wie?
Gruesse! * Tim Boneko [EMAIL PROTECTED] schrieb am [27.01.06 17:36]: Gerhard Brauer schrieb: Irgendwie bringst du da was durcheinander. lastlog listet nur Usernamen auf, keine Gruppen. Äh ja, da steht auch der username drin. Habe mich nur etwas umständlich ausgedrückt. michael heißt der User, zugriff auf ssh2. Das ist ein Username, der bei BruteForce definitiv versucht wird. Gab es denn bei dir einen solchen User? Was willst du uns damit sagen? Dass ich bis gerade eben geglaubt hatte, ohne ssh- Identität in ~/.ssh sei ein ssh- Login nicht möglich... Wieder was gelernt! Das wäre nur der Fall, wenn der sshd nur Logins über Keys zulassen würde und keine interaktive Anmeldung z.B. über Passwort-Abfrage. Vorgehensweise? Hm, Rechner vom Netz nehmen, Snapshot des Partition(en) erstellen. Check auf Rootkits bzw. Logfile-Check überprüfen. Ist schon erledigt. Danke für die erhellende Antwort! Ist halt bei einem Testrechner die Frage, inwieweit du Zeit zur Spurensuche inverstieren willst. Ansonsten halt plattmachen. Ich gebe aber zu bedenken, daß, wenn der Rechner ins LAN eingebunden war, evtl. jeder Rechner darin potentiell von *innen* angreifbar war bzw. korrumpiert ist. Und da der innere Schutz meist vernachlässigt wird (wir haben ja eine FW!)... So eine Sch... Jep. Das harden-debian-Manual gibt ganz gute Hilfen zur Absicherung und IMHO auch zum Was tun nach eine Einbruch. timbo Gruß Gerhard -- HAL is running Windows...
Re: OT: Rechner geknackt- aber wie?
Am Freitag 27 Januar 2006 17:47 schrieb Tim Boneko: Falls ihr eine IP braucht: 66.111.57.70 Wie war das noch? Sagtest Du nicht was von: Jetzt frage ich mich: Wie kann das sein? Bis auf Port 22 ist die Firewall dicht, default-policy für INPUT ist DROP. desktop:/home/michael# nmap -sS -O 66.111.57.70 Starting Nmap 3.95 ( http://www.insecure.org/nmap/ ) at 2006-01-27 22:27 CET Interesting ports on linuxkiddies.com (66.111.57.70): (The 1655 ports scanned but not shown below are in state: closed) PORT STATESERVICE 21/tcp open ftp 22/tcp open ssh 25/tcp open smtp 53/tcp open domain 80/tcp open http 110/tcp open pop3 143/tcp open imap 443/tcp open https 465/tcp open smtps 631/tcp open ipp 993/tcp open imaps 995/tcp open pop3s 1720/tcp filtered H.323/Q.931 3306/tcp open mysql /tcp open irc-serv Device type: general purpose Running: Linux 2.6.X OS details: Linux 2.6.5 - 2.6.11 Uptime 0.752 days (since Fri Jan 27 04:27:21 2006) Irgendwie sieht das anders aus, oder? -- Mfg, Michael
Re: OT: Rechner geknackt- aber wie?
Hi, Micha Beyer wrote: Am Freitag 27 Januar 2006 17:47 schrieb Tim Boneko: Falls ihr eine IP braucht: 66.111.57.70 das ist die IP von linuxkiddies.com Wie war das noch? Sagtest Du nicht was von: Jetzt frage ich mich: Wie kann das sein? Bis auf Port 22 ist die Firewall dicht, default-policy für INPUT ist DROP. und damit meint der OP sein eigenes System Gruss Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OT: Rechner geknackt- aber wie?
Am Freitag 27 Januar 2006 22:48 schrieb Reinhold Plew: 66.111.57.70 das ist die IP von linuxkiddies.com Wie war das noch? Sagtest Du nicht was von: Jetzt frage ich mich: Wie kann das sein? Bis auf Port 22 ist die Firewall dicht, default-policy für INPUT ist DROP. und damit meint der OP sein eigenes System Okay, hab ich verwechselt. Sorry. -- Mfg, Michael