Re: Server gehackt
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 ja hallo erstmal,... Am Sonntag, 29. August 2004 14:00 schrieb Martin Schmitz: > On Thursday 26 August 2004 14:09, Jan Luehr wrote: > > 7. Wenn du das Loch findest, schließe es. Falls nicht, so besteht > > immer wieder die Gefahr, dass dieses nochmal passiert. Solltest du es > > nicht finden, steige auf OpenBSD um. > > Warum sollte er ausgerechnet OpenBSD verwenden, wo doch deren > Hauptentwicklung - OpenSSH - in den letzten Jahren immer wieder durch > gravierende Sicherheitslücken aufgefallen ist? Wer ein wirklich > überschaubares, extrem wartungsfreundliches OS einsetzen möchte, dem > empfehle ich NetBSD. Oder, wenn es wirklich um Sicherheit geht, Trusted > Solaris. OpenBSD war ein Beispiel. Auch wenn OpenSSH sich nicht wirklich mit Ruhm bekleckert hat, so denke ich, dass die Behandlung des Codes (u.a. revisiting, etc.) unter OpenBSD besser abläuft als bei Linux. (Nun flamewars zu führen ob nun NetBSD, OpenBSD oder FressBSD, oder BSD, oder oder oder nun das sicherer Unix ist, hat imho auf einer Debian-Liste kaum einen Raum) Achja, Trusted Solaris hatte ich auch erwähnt. Ich hatte aber das Gefühl, dass hier eine Intel-Plattform verwendet wird. Keep smiling yanosz -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) iQIVAwUBQTrq/9AHMQ8GQaYRAQJnBA//TSrcuXCP88v8mZxygVQD/x8dAp8tTNJ3 he3ysPUh+f8PPcC8R2jGiJwrfj6yab8cbXAUQ9geX4FixSeww7OGf0LfGsuRhCfK OCnHbAm7wb3HfkM4eblE1BGG+H8MP5fFvgM6dQr/JhgSP2HyilvrtV/zmcH2D2Bl 6Sa1SR/k0yVDTyLlXdIZeu1lHEKeLumUcQI7LVjifjL3KdfiT+U4JlpHF26R6gdg XSRpXYK2id6zwSwfuN43pWaPO6Slw+7v3VhZl+H2Uq7zZdbVTaiavxytprJxugCZ rizOLKNsOx44XIuG2HTbaz9xXLRd7t/wJq4sJMw4m0BqWH5GjgbZNiExZbLHrPIW QejChLxHuAsKqPp6/YYvtmDpyKzWeJ1ZVPJh+voDKSIehgcHSfVVJXTn0jE9MNvi EVpAAR1e7/N9jSVuUf7yK6jjzck8h8WlJR48Wa81vfgAb7xkDWqfqgRIFIzXk/Rb C9yjrM2CWxGX1ytmNyoT9gs7F+nPddwIgF9k6hmCLf3DcKOpb1CwcVR0CTCqV1jV 0DMoDYSm3t7U81x8CJVQ6xhq88jRkjRHZjyyMZsaJOkt3GKlyj/fuKqBlsI3siu1 INJmMxNQYsMae2JwApvc3RM1ThwSez7O7qu3oW4eCR+8sBue33FAjYEkJcnqJrhz 0WLEi0WtkAQ= =FPF5 -END PGP SIGNATURE-
Re: Server gehackt
On Thursday 26 August 2004 14:09, Jan Luehr wrote: > 7. Wenn du das Loch findest, schließe es. Falls nicht, so besteht > immer wieder die Gefahr, dass dieses nochmal passiert. Solltest du es > nicht finden, steige auf OpenBSD um. Warum sollte er ausgerechnet OpenBSD verwenden, wo doch deren Hauptentwicklung - OpenSSH - in den letzten Jahren immer wieder durch gravierende Sicherheitslücken aufgefallen ist? Wer ein wirklich überschaubares, extrem wartungsfreundliches OS einsetzen möchte, dem empfehle ich NetBSD. Oder, wenn es wirklich um Sicherheit geht, Trusted Solaris. Gruß, Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
Christian Schmied <[EMAIL PROTECTED]> writes: [...] > Ich kann mir nur vorstellen das es an qmail [...] lag. Wenn Du das beweisen kannst, bekommst Du echtes Geld von DJB. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
* Mathias Tauber <[EMAIL PROTECTED]> [040826 11:17]: > spricht eigentlich was gegen: > mv /etc/rc2.d/S20inetd /etc/rc2.d/_S20inetd Sollte der inetd mal aktualisiert werden, war alle Mühe vergebens. Yours sincerely, Alexander signature.asc Description: Digital signature
Re: Server gehackt
ja hallo erstmal,... Am Mittwoch, 25. August 2004 09:19 schrieb Christian Schmied: > Hallo, > > ich habe seit gestern Nacht ein über 700MB größeres Transfervolumen auf > meinem Server. > > Alles Durchsehen der Log-Dateien hat nichts gebracht. > > Mittels nmap habe einen neuen Port entdeckt: Port 88 Kerberos-sec > und mit top finde ich ein Programm, das seit über sechs Stunden läuft und > scan-a heißt. Ok. 1. Schritt Verbindung zum inet physikalisch trennen. - Rechner nicht herunterfahren! 2. Neuen Server (anderes Gerät) mit Backups installieren Mondo - Mindi falls verfügbar. Dieser soll die Dienste übernehmen. 3. Gehe auch ww.chkrootkit.org Lade dir das dortige Programm herunter. Übersetze es statisch! auf einem sauberen System. Packe zudem dieses und alle benötigten Binaries (die dortige Doku lesen!) auf eine CD / einen USB-Stick und lasse das Programm durchlaufen. 4. Stelle fest, welche Programme im Arbeitsspeicher sind, geladen sind, checke die IDS-Systeme (welche Dateien wurden geändert) 5. Vergleich den geladenen Kernel mit einem Memory-Abbild (guck mal system.map) Liste alle geladenen Module, Programme, Bibliotheken auf und druck es am besten direkt aus. 6. Boote das System mit Knoppix und untersuche das System per Hand (und gründlich) auf Kompromitierungen. Welche Dateien sind dort, welche müssen dort sein. Stimmen die md5-Summen der Dateien mit denen von den aus den Debian-Paketen überein. 7. Wenn du das Loch findest, schließe es. Falls nicht, so besteht immer wieder die Gefahr, dass dieses nochmal passiert. Solltest du es nicht finden, steige auf OpenBSD um. fup2 [EMAIL PROTECTED] ([EMAIL PROTECTED] , www.securityfocus.com) oder de.comp.security.misc solltest du damit Probleme haben. > Ich musste den Server neu aufsetzen, da ich ihn heute noch für eine andere > Sache benötige. Trotzdem würde ich gerne wissen ob mit den beiden obigen > Aussagen jemand von euch was anfangen kann? Siehe oben. Alles andere ist fahrlässig. > > Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja 99,9%) > wasserdicht bekommt? http://www.debian.org/doc/manuals/securing-debian-howto/ http://www.grsecurity.org oder http://www.openbsd.org Trusted Solaris ist auch ganz nett. Keep smiling yanosz
Re: Server gehackt
Hallo Mathias, Mathias Tauber, 26.08.2004 (d.m.y): > In welcher Konstellation macht es eigentlich Sinn, den inetd einzusetzen? Man kann darueber Dienste starten lassen, die nicht als eigenstaendige Daemons laufen, z.B. diverse POP3- oder IMAP-Server. Falls die Dienste keine eigenen "Zugriffsbeschraenkungen" mitbringen, kann man mit Hilfe des (x)inetd auch den tcpd dazwischenschalten, mit dem man dann die Zugriffsberechtigungen auf den jeweiligen Dienst host- und/oder netzwerkbasiert erteilen kann. Mehr dazu kannst Du z.B. "man tcpd" entnehmen. Gruss, Christian -- Wie man sein Kind nicht nennen sollte: Marc Arov signature.asc Description: Digital signature
Re: Server gehackt
Mathias Tauber wrote: spricht eigentlich was gegen: mv /etc/rc2.d/S20inetd /etc/rc2.d/_S20inetd Eigentlich nicht ... ich mache das der Sauberkeit halber aber immer mit "rcconf" MfG Patrick -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
Danke für die Infos von Euch allen! Eine Frage noch: Wie bereits erwähnt, habe ich den inetd noch nie gebraucht. Ich dachte mir dann natürlich, runter mit dem Ding, aber da kommen dann wichtige Abhängigkeiten dazu. server01:~# apt-get remove netkit-inetd -s Reading Package Lists... Done Building Dependency Tree... Done The following packages will be REMOVED: apache logrotate mailx netbase netkit-inetd postfix postfix-ldap postfix-pcre samba squid 0 packages upgraded, 0 newly installed, 10 to remove and 0 not upgraded. Remv apache (1.3.26-0woody5 Debian-Security:3.0/stable) Remv squid (2.4.6-2woody2 Debian-Security:3.0/stable) Remv samba (2.2.3a-13 Debian-Security:3.0/stable) Remv logrotate (3.5.9-8 Debian:3.0r2/stable) Remv mailx (1:8.1.2-0.20020411cvs-1 Debian:3.0r2/stable) Remv postfix-ldap (1.1.11-0.woody3 Debian:3.0r2/stable, Debian-Security:3.0/stable) [postfix ] Remv postfix (1.1.11-0.woody3 Debian:3.0r2/stable, Debian-Security:3.0/stable) [postfix-pcre ] Remv postfix-pcre (1.1.11-0.woody3 Debian:3.0r2/stable, Debian-Security:3.0/stable) Remv netbase (4.07 Debian:3.0r2/stable) Remv netkit-inetd (0.10-9 Debian:3.0r2/stable) Kann man den trotzdem irgendwie entfernen? Weil so macht das ja keinen Sinn... Grüße Mathias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
Mathias Tauber wrote: Oder erkennt der inetd, dass ein Dienst angesprochen wird, welcher nicht läuft und startet ihn dann automatisch? ja, genau das macht er. -- Address:Daniel Baumann, Burgunderstrasse 3, CH-4562 Biberist Email: [EMAIL PROTECTED] Internet: http://people.panthera-systems.net/~daniel-baumann/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
Mathias Tauber schrieb: >>> ... macht es ... Sinn, den inetd einzusetzen? >> wenn daemons nach bedarf gestartet werden sollen. > Was macht der inetd denn anders als z.B. '/etc/init.d/ab_und_zu_dienst start'? > Nur ein Prozess! Sonst benötigt man einen Prozess für jeden Dienst! > Oder erkennt der inetd, dass ein Dienst angesprochen wird, welcher nicht läuft > und startet ihn dann automatisch? > Nicht ganz. Der Vorgang ist etwas anders, aber der Effekt ist der gleiche. Gruß Uli -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
Moin, Mathias Tauber schrieb: >>>spricht eigentlich was gegen: >>> >>> mv /etc/rc2.d/S20inetd /etc/rc2.d/_S20inetd >>> >> >> >> ich würde update-rc.d inetd remove empfehlen... > > Wird er dann lediglich aus allen RC's entfernt, oder > macht der Befehl mehr? genau, alle symbolischen Links werden entfernt. - Thorsten -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
am 26.08.2004, um 11:45:27 +0200 mailte Mathias Tauber folgendes: > Was macht der inetd denn anders als z.B. '/etc/init.d/ab_und_zu_dienst > start'? > > Oder erkennt der inetd, dass ein Dienst angesprochen wird, welcher nicht > läuft > und startet ihn dann automatisch? So in etwa. Er lauscht am Port und startet bei Bedarf den nötigen Dienst. man inetd Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Tel. NL Heynitz: 035242/47212 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
spricht eigentlich was gegen: mv /etc/rc2.d/S20inetd /etc/rc2.d/_S20inetd ich würde update-rc.d inetd remove empfehlen... Wird er dann lediglich aus allen RC's entfernt, oder macht der Befehl mehr? -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
In welcher Konstellation macht es eigentlich Sinn, den inetd einzusetzen? wenn daemons nach bedarf gestartet werden sollen. Was macht der inetd denn anders als z.B. '/etc/init.d/ab_und_zu_dienst start'? Oder erkennt der inetd, dass ein Dienst angesprochen wird, welcher nicht läuft und startet ihn dann automatisch? -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
Moin, Mathias Tauber schrieb: > spricht eigentlich was gegen: > > mv /etc/rc2.d/S20inetd /etc/rc2.d/_S20inetd > ich würde update-rc.d inetd remove empfehlen... - Thorsten -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
Mathias Tauber wrote: In welcher Konstellation macht es eigentlich Sinn, den inetd einzusetzen? wenn daemons nach bedarf gestartet werden sollen. -- Address:Daniel Baumann, Burgunderstrasse 3, CH-4562 Biberist Email: [EMAIL PROTECTED] Internet: http://people.panthera-systems.net/~daniel-baumann/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
Servus, Debian stable installieren - regelmäßig Sicherheitsupdates einspielen - unnötige Services deaktiveren (inetd.conf) - falls ssh benötigt wird, keine einfachen User/PW Kombinationen verwenden (gerade da in letzter Zeit die ssh "Attacken" zunehmen) bzw. gleich Keys erstellen - Firewall (iptables) - Intrusion detection system (z.b. aide) spricht eigentlich was gegen: mv /etc/rc2.d/S20inetd /etc/rc2.d/_S20inetd So mach ich das immer, kommentiere sogar noch zusätzlich die Einträge in der inetd.conf aus. Ich habe den noch nie gebraucht. In welcher Konstellation macht es eigentlich Sinn, den inetd einzusetzen? Grüße Mathias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
Am 2004-08-25 10:11:02, schrieb Robin Haunschild: > Hallo, > Nur mal so aus Interesse? Wo ist "@Work"? Welche Firma / Organisation braucht > sooo viele "Fallbacks"? Ist schon mal etwas passiert? > Hört sich alles nett an, aber bringt es auch etwas / wurden die sauberen > Festplatten mit Ersatzsystemen schon mal benötigt? Ich mach zwar nur alle 24 Stunden ein Backup, aber ich habe ebenfals Wochenbackups. Und für den Fall, das ich längere zeit in den Urlaub gehen sollte, stelle ich sogar das löschen alter bachups ab... Bei nem Backup Server mit 8 mal 300 GByte im Raid-5 ist das ja kein Problem... Und so teuer sind die Platten auch wieder nicht. Selbst die Server die ich in Paris habe (u.a. postgresql mit fast 100 GByte) läßt sich in kürzester Zeit wieder herstellen. Abgesehen davon gibt es jede menge Firmen, die es sich nicht leisten können, wenn Server ne Stunde ausfallen... Die Firma für die ich gelegentlich in Strasbourg arbeite, würde pro Server pro Stunde rund 60.000 ¤ verlieren. Jetzt lass mal nen Hackangriff auf die 150 Server ablaufen... Die Firma hat jeden Server dreimal... Plus ein gewaltiges NAS als Backup in einer ANDEREN Stadt (Angebunden über eine private Dual STM-1) > Viele Grüße > > Robin Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: Server gehackt
Auf dem Server läuft die stable Version. Offene Ports 9 discard 13 daytime 22 ssh 37 time zusätzlich dazu habe ich qmail aus den Resourcen ohne Erweiterungspatches kompilert. Der smtpd liefen mit den entsprechenden usern wie bei qmail üblich, also nicht root Dazu noch vpopmail. Ebenso nicht unter root. Spamassassin habe ich aus der testing Version. Einloggen geschieht über ssh als root mit einem 15 stelligen Passwort, Sonderzeichen und Zahlen (meiner Meinung nicht knackbar) Die Security-Updates habe ich regelmäßig gefahren. Ich kann mir nur vorstellen das es an qmail, oder vpopmail lag. Alles andere ist nur Grundsystem. Patrick Petermair <[EMAIL PROTECTED]> wrote: Christian Schmied wrote:> Mittels nmap habe einen neuen Port entdeckt: Port 88 Kerberos-sec> und mit top finde ich ein Programm, das seit über sechs Stunden läuft > und scan-a heißt.Also scan-a sagt mir nichts. Für die Zukunft: Mit "netstat -tulpa" kannst du dir die offenen Ports ansehen inkl. des jeweiligen Prozesses, der auf diesem Port lauscht. Ein "last" ist auch recht hilfreich, um zu sehen, ob irgendein Account gekapert wurde.Ein Profi verwischt seine Spuren aber so gut, dass man ohne vorherige grundlegende Vorsichtsmaßnahmen nichts mehr entdeckt.> Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja > 99,9%) wasserdicht bekommt?Debian stable installieren - regelmäßig Sicherheitsupdates einspielen - unnötige Services deaktiveren (inetd.conf) - falls ssh benötigt wird, < BR>keine einfachen User/PW Kombinationen verwenden (gerade da in letzter Zeit die ssh "Attacken" zunehmen) bzw. gleich Keys erstellen - Firewall (iptables) - Intrusion detection system (z.b. aide)Ach ja, was auch nicht fehlen darf ist der obligatorische Hinweis aufs Debian Security HOW-TO:http://www.debian.org/doc/manuals/securing-debian-howto/index.en.htmlBtw: Welche Dienste hast du auf dem Server denn so laufen?MfGPatrick-- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl) Gesendet von Yahoo! Mail - Jetzt mit 100MB kostenlosem Speicher
Re: Server gehackt
Christian Schmied wrote: Mittels nmap habe einen neuen Port entdeckt: Port 88 Kerberos-sec und mit top finde ich ein Programm, das seit über sechs Stunden läuft und scan-a heißt. Also scan-a sagt mir nichts. Für die Zukunft: Mit "netstat -tulpa" kannst du dir die offenen Ports ansehen inkl. des jeweiligen Prozesses, der auf diesem Port lauscht. Ein "last" ist auch recht hilfreich, um zu sehen, ob irgendein Account gekapert wurde. Ein Profi verwischt seine Spuren aber so gut, dass man ohne vorherige grundlegende Vorsichtsmaßnahmen nichts mehr entdeckt. Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja 99,9%) wasserdicht bekommt? Debian stable installieren - regelmäßig Sicherheitsupdates einspielen - unnötige Services deaktiveren (inetd.conf) - falls ssh benötigt wird, keine einfachen User/PW Kombinationen verwenden (gerade da in letzter Zeit die ssh "Attacken" zunehmen) bzw. gleich Keys erstellen - Firewall (iptables) - Intrusion detection system (z.b. aide) Ach ja, was auch nicht fehlen darf ist der obligatorische Hinweis aufs Debian Security HOW-TO: http://www.debian.org/doc/manuals/securing-debian-howto/index.en.html Btw: Welche Dienste hast du auf dem Server denn so laufen? MfG Patrick -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
Hallo, am Mittwoch, 25. August 2004 09:58 schrieb Rainer Bendig: > Hi Christian Schmied, *, > > Christian Schmied wrote on Wed Aug 25, 2004 at 09:19:05AM +0200: > > Mittels nmap habe einen neuen Port entdeckt: Port 88 Kerberos-sec > > und mit top finde ich ein Programm, das seit über sechs Stunden läuft und > > scan-a heißt. > > Mit dem Schema hatte ich bislang noch nichts ... > > > Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja > > 99,9%) wasserdicht bekommt? > > Alles ausser den benötigten Ports sperren. @Work ist es so > eingerichtet, dass es zwei externe Firewalls gibt (Einmal der > komplette DSL Zugang, dann die IPRanges für die Clients bzw. Server > und nochmal eine auf jedem Server installiert wurde). > > Remoteadministration via SSH ist hier (selbst im Firmennetz) nur über > eine IPSEC verbindung möglich. > > Alle 3h läuft hier (paranoider weise) nen Prozess um rootkits > aufzudecken (chkrootkit). > > Zusätzlich stehen für den Fall eines Falles "saubere" Festplatten, mit > einem lauffähigen System bereit. Dazu werden die Neu angefallenen > Daten alle 12h via rsync auf nem externen Server geschrieben. Backups > sind im Zeitraum von einer Woche vorhanden. Sprich wir sind in der Lage > die Rechner innerhalb von 3 - 6 Minuten wieder am Start zu haben, und > zusätzlich noch in einem angemessenen Rahmen die Nutzerdaten > wiederherzustellen. Nur mal so aus Interesse? Wo ist "@Work"? Welche Firma / Organisation braucht sooo viele "Fallbacks"? Ist schon mal etwas passiert? Hört sich alles nett an, aber bringt es auch etwas / wurden die sauberen Festplatten mit Ersatzsystemen schon mal benötigt? Viele Grüße Robin -- Robin Haunschild <[EMAIL PROTECTED]> http://www.tuxschild.de [EMAIL PROTECTED] .''`. Ha Psi ist gleich Eh Psi : :' :-Niemals aufgeben, niemals kapitulieren- `. `'`*Linux* - apt-get into it `- Bitte senden Sie mir keine Word-, Excel- oder PowerPoint-Anhänge. Siehe http://www.fsf.org/philosophy/no-word-attachments.de.html
Re: Server gehackt
Hi Christian Schmied, *, Christian Schmied wrote on Wed Aug 25, 2004 at 09:19:05AM +0200: > Mittels nmap habe einen neuen Port entdeckt: Port 88 Kerberos-sec > und mit top finde ich ein Programm, das seit über sechs Stunden läuft und scan-a > heißt. Mit dem Schema hatte ich bislang noch nichts ... > Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja 99,9%) > wasserdicht bekommt? Alles ausser den benötigten Ports sperren. @Work ist es so eingerichtet, dass es zwei externe Firewalls gibt (Einmal der komplette DSL Zugang, dann die IPRanges für die Clients bzw. Server und nochmal eine auf jedem Server installiert wurde). Remoteadministration via SSH ist hier (selbst im Firmennetz) nur über eine IPSEC verbindung möglich. Alle 3h läuft hier (paranoider weise) nen Prozess um rootkits aufzudecken (chkrootkit). Zusätzlich stehen für den Fall eines Falles "saubere" Festplatten, mit einem lauffähigen System bereit. Dazu werden die Neu angefallenen Daten alle 12h via rsync auf nem externen Server geschrieben. Backups sind im Zeitraum von einer Woche vorhanden. Sprich wir sind in der Lage die Rechner innerhalb von 3 - 6 Minuten wieder am Start zu haben, und zusätzlich noch in einem angemessenen Rahmen die Nutzerdaten wiederherzustellen. -- so long, Rainer Bendig aka mindz PGP/GPG key (ID: 0xCC7EA575) http://DigitallyImpressed.com Get it from wwwkeys.de.pgp.net for contacting me take a look on http://digitallyimpressed.com/contact -- Don't reply to this e-mail address and please don't cc to me on lists. If we meet on a list, you can be sure that i am already on the list. -- Beauty is truth, truth beauty, that is all Ye know on earth, and all ye need to know. -- John Keats -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Martin Heinrich skribis: > Wenn man z.B. per apt-get updatet und die Kiste gekillt wird? Das > ist interessant... Mit www-data als Owner? -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Am Son, 2003-09-28 um 22.10 schrieb Seffen Lorch: > Du (Mario Duve) schriebst: > > > Also, ein telnetd ist von mir nicht installiert. > > Habe ich noch nie auf einem Linuxsystem gemacht. > > > Telnet ist auch nicht von ausses erreichbar, da geblockt > > in accesslist des Routers! > > Wiso blockst Du was, das nicht läuft? Ist doch der normale Weg erst mal alles zu blocken, und dann die benötigten Ports zu öffen. Telnet wurde nicht gebraucht, also ist der Port immer noch geblockt. -- Matthias Hentges Cologne / Germany [www.hentges.net] -> PGP welcome, HTML tolerated ICQ: 97 26 97 4 -> No files, no URL's My OS: Debian Woody. Geek by Nature, Linux by Choice signature.asc Description: Dies ist ein digital signierter Nachrichtenteil
Re: Server gehackt?
Mario Duve skribis: >> Wem gehören die Dateien? > > die gehören www-data Ich kenne keinen vernünftigen Grund, warum ein Apache einen telnet-Dämon nach /tmp schreiben sollte. Der Rechner sieht gehackt aus. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
On Sun, Sep 28, 2003 at 10:08:53PM +0200, Seffen Lorch wrote: > Du (Dieter Franzke) schriebst: > > 1. Linux ist per default sicherer als Windows > > Naja, kommt auf die Distribution an. Aber Linux ist der Kernel und dass > er von Außen einem Exploit erlegen ist, hab ich noch nicht gehört. Doch, der berühmte Ping of Death ist so ein Fall. > > 2. Linux ist keineswegs vor Angrifen gefeit > > Der Kernel? Oder das außenrum? Wenn die ssh nan Schuß hat, ist *BSD auch > kompromitierbar. Nicht zwangsläufig. -- LuMriX - XML Search Engine - http://www.lumrix.net/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Du (Mario Duve) schriebst: > Also, ein telnetd ist von mir nicht installiert. > Habe ich noch nie auf einem Linuxsystem gemacht. > Telnet ist auch nicht von ausses erreichbar, da geblockt > in accesslist des Routers! Wiso blockst Du was, das nicht läuft? cu Steffen -- BOFH excuse #402: Secretary sent chain letter to all 5000 employees. pgp0.pgp Description: PGP signature
Re: Server gehackt?
Du (Dieter Franzke) schriebst: > 1. Linux ist per default sicherer als Windows Naja, kommt auf die Distribution an. Aber Linux ist der Kernel und dass er von Außen einem Exploit erlegen ist, hab ich noch nicht gehört. > 2. Linux ist keineswegs vor Angrifen gefeit Der Kernel? Oder das außenrum? Wenn die ssh nan Schuß hat, ist *BSD auch kompromitierbar. > 3. Man muss halt darauf achten, Sicherheitslecks durch Einspielen > von Updates zu schließen ACK. > 4. Kein System ist absolut sicher, ist nur ne Frage vom Ergeiz, > Ausdauer und krimineller Energie des Angreifers...:)) Und vom Netzstecker und ob der Rechner läuft \scnr > 5. Das größte Sicherheitsproblem sitzt immer vor der Tastatur. ACK. > 6. Ich nutze *BSD, weil es in dieser Hinsicht noch etwas > vertrauenserweckender erscheint)). > Zumindest meine Firefalls laufen immer auf BSD. Hmmm... Warum? > 7. Wer ein System vor 2 Jahren aufgesetzt hat und nie > Sicherheitspatches eingespielt hat, ist nicht besser dran als so > mancher Win-User. Da müssen keine 2 Wochen sein, wenn es drauf ankommt. > 8. Sicherheit erfordert immer "aktives" Eingreifen. ... resp. Handeln. cu Steffen -- BOFH excuse #14: sounds like a Windows problem, try calling Microsoft support pgp0.pgp Description: PGP signature
Re: Server gehackt?
On Sun Sep 28 07:33PM, Mario Duve wrote:
[gehackter Rechner?]
> Also, im moment sieht es so aus. Nach einem Standtortwechsel des betroffenen
> PC,
> fährt dieser nich mehr hoch.
>
> request_module[ppp0]: fork failed, errno 1
>
> STRG+c gehts weiter bis modprobe: Can't locate module ppp0
> STRG+c gehts weiter bis zum start von Postfix, danach geht es nicht
> mehr weiter, auch ein wechsel auf eine andere Console ist nicht mehr
> möglich.
>
> Habe Postfix jetzt aus den runlevels gelöscht, habe nun wieder ein promt.
> wie könnte ich jetzt weiter verfahren?
Naja, wie in meiner vorigen Mail beschrieben. Welche Dienste laufen auf
dem Rechner? Auf welchen Ports wird gelauscht? Gibt es Auffälligkeiten
in /bin, /usr/bin usw. (zB auffällige Timestamps) ? Laufen ungewöhnliche
Prozesse? Was ich vorhin noch vergessen hatte, hast du die besagten
Dateien aus /tmp noch? was sagt 'file telnet{d,d.1,d.2}'? Wenn es
binaries sein sollten, lass mal 'strings drüber laufen, das gibt einem
oft einen ersten Anhaltspunkt, um was für binaries es sich handelt.
Wenn du eine Standard Woody Installation hast kannst du die md5sums
evtl. mit denen von der CD vergleichen.
Hast du dir mal die logfiles in /var/log genauer angeguckt? Ungefährer
Einbruchszeitpunkt könnte in etwa der sein, als die besagten Dateien in
/tmp/ angelegt wurden.
Findet 'chkrootkit' etwas?
Es wäre schon sinnvoll, rauszufinden _wie_ der Rechner gehackt wurde,
denn sonst hast du auch nach einer Neuinstallation evtl. das gleiche
Sicherheitsloch im System. Da die Dateien www-data gehören, liegt es
- wie gesagt - nahe, daß sich über den WebServer Zugriff verschafft
wurde. Ältere Versionen von OpenSSL hatten Sicherheitslöcher, deshalb
meine Frage nach den installierten Versionen.
Zu den oben genannten Fehlermeldungen kann ich leider nicht viel sagen.
gruß,
andreas
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Andreas Meiner wrote: > Hi, > > On Sun Sep 28 06:53PM, Mario Duve wrote: >> Matthias Peick wrote: >>> Mario Duve skribis: >>> Also, ein telnetd ist von mir nicht installiert. Habe ich noch nie auf einem Linuxsystem gemacht. Telnet ist auch nicht von ausses erreichbar, da geblockt in accesslist des Routers! Warum soll ich mir keine Sorgen machen? Wer weiss was da noch versucht wurde. >>> >>> Wem gehören die Dateien? >> >> die gehören www-data > > Ich habe den Thread nur überflogen, aber daß ist schon bedenklich. > Es könnte darauf hindeuten, daß ein potentzieller Einbrecher > sich über einen Bug im WebServer Zugriff verschafft hat. > Hast du einen Web Server laufen, zB Apache mit SSL? Wenn ja, > in welcher Version (dpkg -l |grep apache)? > > Ansonsten bietet es sich an, mit 'netstat -anp' zu gucken, was für > Dienste auf deinem Rechner laufen, evtl. mit einem portscan > abgleichen, ob du der Ausgabe von netstat vertrauen kannst (wird oft > durch eine trojanisierte Version ersetzt). mit 'ps auxww' kannst du > gucken, ob gerade 'komische' Prozesse laufen. Gerne wird auch > /sbin/ifconfig ersetzt, um zu verhindern, daß ifconfig dir sagt, ob > deine Netzwerkkarte im promiscuous mode läuft. Ein 'strings > /sbin/ifconfig |grep PROMISC' gibt Auskunft. > > Natürlich ist, wie schon gesagt, die beste Methode, die Cheksums zu > vergleichen, wenn du diese aber bisher noch nicht erstellt hast, hat > es leider wenig Sinn. > > Anonsten, wie schon erwähnt, den Rechner vom Netz trennen. Eigentlich > bietet es sich an, möglichst schnell ein Disk Image zu erstellen, für > spätere forensische Untersuchungen, zB nach gelöschten Dateien suchen > usw. Also, im moment sieht es so aus. Nach einem Standtortwechsel des betroffenen PC, fährt dieser nich mehr hoch. request_module[ppp0]: fork failed, errno 1 STRG+c gehts weiter bis modprobe: Can't locate module ppp0 STRG+c gehts weiter bis zum start von Postfix, danach geht es nicht mehr weiter, auch ein wechsel auf eine andere Console ist nicht mehr möglich. Habe Postfix jetzt aus den runlevels gelöscht, habe nun wieder ein promt. wie könnte ich jetzt weiter verfahren? -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Hi, On Sun Sep 28 06:53PM, Mario Duve wrote: > Matthias Peick wrote: > > Mario Duve skribis: > > > >> Also, ein telnetd ist von mir nicht installiert. > >> Habe ich noch nie auf einem Linuxsystem gemacht. > >> > >> Telnet ist auch nicht von ausses erreichbar, da geblockt > >> in accesslist des Routers! > >> > >> Warum soll ich mir keine Sorgen machen? Wer weiss was da > >> noch versucht wurde. > > > > Wem gehören die Dateien? > > die gehören www-data Ich habe den Thread nur überflogen, aber daß ist schon bedenklich. Es könnte darauf hindeuten, daß ein potentzieller Einbrecher sich über einen Bug im WebServer Zugriff verschafft hat. Hast du einen Web Server laufen, zB Apache mit SSL? Wenn ja, in welcher Version (dpkg -l |grep apache)? Ansonsten bietet es sich an, mit 'netstat -anp' zu gucken, was für Dienste auf deinem Rechner laufen, evtl. mit einem portscan abgleichen, ob du der Ausgabe von netstat vertrauen kannst (wird oft durch eine trojanisierte Version ersetzt). mit 'ps auxww' kannst du gucken, ob gerade 'komische' Prozesse laufen. Gerne wird auch /sbin/ifconfig ersetzt, um zu verhindern, daß ifconfig dir sagt, ob deine Netzwerkkarte im promiscuous mode läuft. Ein 'strings /sbin/ifconfig |grep PROMISC' gibt Auskunft. Natürlich ist, wie schon gesagt, die beste Methode, die Cheksums zu vergleichen, wenn du diese aber bisher noch nicht erstellt hast, hat es leider wenig Sinn. Anonsten, wie schon erwähnt, den Rechner vom Netz trennen. Eigentlich bietet es sich an, möglichst schnell ein Disk Image zu erstellen, für spätere forensische Untersuchungen, zB nach gelöschten Dateien suchen usw. Gruß, Andreas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
> Verdächtig wird das ganze durch die Tatsache, dass der telnetd im > Ausgangsposting in /tmp liegt, und dass nochmal zwei Dateien mit > gleichen Namen und .1 bzw .2 dahinter. Das sieht nach download > per wget aus. Wenn der O-Poster das nicht selbst gemacht hat, > dann war das ein Trojaner oder ein Einbrecher. > Wenn man z.B. per apt-get updatet und die Kiste gekillt wird? Das ist interessant... Aber probieren werd ichs erstmal nich... :-D Gruss Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Matthias Peick wrote: > Mario Duve skribis: > >> Also, ein telnetd ist von mir nicht installiert. >> Habe ich noch nie auf einem Linuxsystem gemacht. >> >> Telnet ist auch nicht von ausses erreichbar, da geblockt >> in accesslist des Routers! >> >> Warum soll ich mir keine Sorgen machen? Wer weiss was da >> noch versucht wurde. > > Wem gehören die Dateien? die gehören www-data -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Soeren D. Schulze wrote: Florian Ragwitz schrieb: On Sun, Sep 28, 2003 at 03:13:09PM +0200, Soeren D. Schulze wrote: [...] debsums könnte für sowas hilfreich sein. Das überprüft aber wohl auch nur die md5 Summen der installierten Pakete. Der Rest bleibt unüberprüft. Das kann man ja mit which sehen. Wenn z.B. which ls /usr/local/bin/ls ausgibt, man aber die coreutils nicht selber von den Original-Sourcen kompiliert hat, dürfte das verdächtig sein ... Und wenn 'which' manipuliert ist? Und wenn 'debsums' manipuliert ist? Und wenn '...' manipuliert ist? Hat man ein Problem... Stefan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Peter Schubert wrote: [...] Hallo, Ihr macht einen unbedarften ahnungslosen Pinguin mit eurem telnetd ja richtig unsicher Don't panic! 42! We appologize for the inconvenience :) Ich habe gerade mal nachgesehen, ich habe sowas auch... :-( :-( :-( 1. Telnet ist an sich nichts schlimmes. Es ist eine möglichkeit einen Computer über das Netz fernzusteuern. Per Shell-Befehlen, als würde man davor sitzen. 2. Die Telnet-Verbindung ist unverschlüsselt (auch Passwörter). Deshalb wird i.d.R. 'ssh' verwendet, das im Prinzip das gleiche tut, nur verschlüsselt ( -> sicherer ) Im Verzeichnis /usr/lib/ ist ein Ordner telnetd, aber der ist leer, gottseidank Dann habe im Verzeichnis /usr/sbin/ eine ausführbare Datei in.telnetd. Warscheinlich ist es bei der Installation angelegt worden. Aktuelle Distributionen aktivieren soweit ich weiß keinen telnet-server (= telnetd). Was nun? Habe ich jetzt auch so einen Virus oder so einen Trojaner, oder was ist das? Ich habe das aber nie (bewußt) installiert. Verdächtig wird das ganze durch die Tatsache, dass der telnetd im Ausgangsposting in /tmp liegt, und dass nochmal zwei Dateien mit gleichen Namen und .1 bzw .2 dahinter. Das sieht nach download per wget aus. Wenn der O-Poster das nicht selbst gemacht hat, dann war das ein Trojaner oder ein Einbrecher. Aber wie gesagt: Nicht panisch machen lassen :) Stefan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
On Sun, Sep 28, 2003 at 06:05:31PM +0200, Peter Schubert wrote: > Ihr macht einen unbedarften ahnungslosen Pinguin mit eurem telnetd ja > richtig unsicher Normalerweise ist der telnetd völlig okay. Der soll TELNET-Verbindungen annehmen, wenn du das möchtest. Der Nachteil von TELNET ist lediglich, dass die Verbindung damit unverschlüsselt abgeht. Deshalb sollte man lieber SSH nehmen wenn möglich. > Ich habe gerade mal nachgesehen, ich habe sowas auch... :-( :-( :-( Klar, ist ja normalerweise auch installiert. > Im Verzeichnis /usr/lib/ ist ein Ordner telnetd, aber der ist leer, > gottseidank Das wäre auch keine Beweis für nix. > Dann habe im Verzeichnis /usr/sbin/ eine ausführbare Datei in.telnetd. > Was nun? Habe ich jetzt auch so einen Virus oder so einen Trojaner, oder > was ist das? Ich habe das aber nie (bewußt) installiert. Wenn du den TELNET-Dienst nicht brauchst, dann editier die /etc/inetd.conf und kommentiere die Zeile aus, die du nicht brauchst. Dann ein "telinit q" und der Dienst läuft nicht mehr. Christoph -- ~ ~ ".signature" [Modified] 3 lines --100%--3,41 All -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Soeren D. Schulze wrote: Sebastian D.B. Krause schrieb: "Soeren D. Schulze" <[EMAIL PROTECTED]> wrote: Dieter Franzke schrieb: [...] Kann man nicht einfach die Checksummen überprüfen? Hab gehört, das soll irgendwie gehen, weiß aber nicht genau, wie. Tripwire etc. Bringt natürlich auch nur was, wenn man das Programm von einem unabhängigen Medium startet. Wozu gibts KNOPPIX? ;-) Die Checksummen müssen von Tripwire _vorher_ berechnet werden. Auf dem zu überprüfenden System, bevor es jeglicher Gefahr ausgesetzt war. Das ist in diesem Fall wahrscheinlich zu spät :) Stefan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Florian Ragwitz schrieb: On Sun, Sep 28, 2003 at 03:13:09PM +0200, Soeren D. Schulze wrote: Kann man nicht einfach die Checksummen überprüfen? Hab gehört, das soll irgendwie gehen, weiß aber nicht genau, wie. debsums könnte für sowas hilfreich sein. Das überprüft aber wohl auch nur die md5 Summen der installierten Pakete. Der Rest bleibt unüberprüft. Grüße Florian Das kann man ja mit which sehen. Wenn z.B. which ls /usr/local/bin/ls ausgibt, man aber die coreutils nicht selber von den Original-Sourcen kompiliert hat, dürfte das verdächtig sein ... Sören -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Dieter Franzke wrote: Hi, Am Sonntag, 28. September 2003 17:27 schrieb Martin Heinrich: Sieht so aus, als ob ein "Trojaner" sich bei dir eingenistet hat. Sind die 3 Dateien Binaerdateien? Sollte telnetd 170613K gross sein, hast du wohl ein etwas groesseres Problem... Hallo, Ihr macht einen unbedarften ahnungslosen Pinguin mit eurem telnetd ja richtig unsicher Ich habe gerade mal nachgesehen, ich habe sowas auch... :-( :-( :-( Im Verzeichnis /usr/lib/ ist ein Ordner telnetd, aber der ist leer, gottseidank Dann habe im Verzeichnis /usr/sbin/ eine ausführbare Datei in.telnetd. Was nun? Habe ich jetzt auch so einen Virus oder so einen Trojaner, oder was ist das? Ich habe das aber nie (bewußt) installiert. Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Sebastian D.B. Krause schrieb: "Soeren D. Schulze" <[EMAIL PROTECTED]> wrote: Dieter Franzke schrieb: Wenn dein Rechner wirklich ungebetenen Besuch hatte, ist allerdings damit zu rechnen, dass auch unter Umständen die üblichen Programme a la ls, find, last und die logfiles modifiziert worden sind. Sollte dein VErdacht auch nur ansatzweise begrundet sein, wirst du um ne komplette Neuinstallation nicht umhinkommen. Kann man nicht einfach die Checksummen überprüfen? Hab gehört, das soll irgendwie gehen, weiß aber nicht genau, wie. Tripwire etc. Bringt natürlich auch nur was, wenn man das Programm von einem unabhängigen Medium startet. Wozu gibts KNOPPIX? ;-) Sören -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Udo Müller schrieb am Sonntag, 28. September 2003 um 15:59:23 +0200: > > > >stand aber nirgendwo, daß ein telnetd lief. Und ein laufender > >Telnet-Daemon ist für mich kein Indiz, daß sich jemand keine Gedanken > >um Sicherheit macht. > > Zumindest macht sich derjenige keine Gedanken um sein Passwort. > > >Übrigens ist ssh auch kein Allzweckheilmittel. Sowohl telnet als auch > >ftp, r-tools usw. haben ihre Daseinsberechtigung. > > Telnet hat es nur noch, wenn man Printserver o.ä. konfigurieren muss. > Meist geht das aber via http. Wozu also telnet? > Wir nutzen telnet sehr viel, aber nur in nicht von aussen zugänglichen Netzen. telnet ist einfach schneller, bzw. wird ssh von manchen Geräten leider nicht unterstützt. -- Jörg Friedrich Viele Menschen verwechseln Sonder-Angebote mit etwas Besonderem. -- Karin Berwind -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Hi, Am Sonntag, 28. September 2003 17:27 schrieb Martin Heinrich: > > Sieht so aus, als ob ein "Trojaner" sich bei dir eingenistet > > hat. Sind die 3 Dateien Binaerdateien? > > Sollte telnetd 170613K gross sein, hast du wohl ein > > etwas groesseres Problem... > > Hi, > > kannst du das etwas näher erläutern? Was ist das für nen > Trojaner? Wie kann man schauen ob der bei einem auch drauf ist? > Wodurch kann man sich den geholt haben? holen kannste dir so ein Ding, wenn du nicht immer die neusten Security-patches aufspielst. Gerade telnetd hatte in der Vergangenheit mehrere Schwachstellen, die genutzt werden konnten. Falls Bordmittel noch zuverlässlich funktionieren sollten, kannst du erstmal mittels netstat schauen, welche ports offen sind. Dann kannst du mal mit den bekannten ports von bekannten trojanern vergleichen. Andere Werkzeuge sind z.B. lsof ciao dieter PS: gib mal bei google als suchbegriff trojan oder trojaner ein.. -- On this machine no Windows system will survive and FreeBSD POWER reigns UNLIMITED... -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
> Sieht so aus, als ob ein "Trojaner" sich bei dir eingenistet > hat. Sind die 3 Dateien Binaerdateien? > Sollte telnetd 170613K gross sein, hast du wohl ein > etwas groesseres Problem... Hi, kannst du das etwas näher erläutern? Was ist das für nen Trojaner? Wie kann man schauen ob der bei einem auch drauf ist? Wodurch kann man sich den geholt haben? Gruss Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Am Son, 28 Sep 2003, schrieb Mario Duve: > Hallo, > > Ich habe in /tmp 3 Dateien gefunden, die mir da nicht so > richtig gefallen. telnetd telnetd.1 telnetd.2 > > Jetzt frage ich mich, wie diese Datein da hingekommen sind, > und ob ich mir jetzt Sorgen um meinen Server machen muss? > Hallo Mario Sieht so aus, als ob ein "Trojaner" sich bei dir eingenistet hat. Sind die 3 Dateien Binaerdateien? Sollte telnetd 170613K gross sein, hast du wohl ein etwas groesseres Problem... Grüsse PeteR -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Thorsten Haude skribis: > * Peter Schubert <[EMAIL PROTECTED]> [2003-09-28 12:06]: >>ich dachte immer Linux sei so sicher, dass nicht möglich ist ??? > > Ich kenne niemanden, der das ernsthaft behauptet. Korrektur: Ich kenne niemanden, der das ernsthaft und kompetent behauptet. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Joerg Friedrich wrote: Joerg Rossdeutscher schrieb am Sonntag, 28. September 2003 um 12:55:27 +0200: Am So, den 28.09.2003 schrieb Peter Schubert um 12:06: ich dachte immer Linux sei so sicher, dass nicht möglich ist ??? *Neuinstallation* , offen gesagt, das klingt böse ebenso wie das, was in dem Falle bei dem Microsoft-Schrott erforderlich ist. Ist das nicht etwas übertrieben...? Sicherheit ist immer relativ, und nichts ist absolut sicher. Ein Tolle Aussage! Vor allem stimmt sie! Ist das nicht toll? Sicherheit ist immer nur eine Frage des Aufwandes. 100%ige Sicherheit erreicht man nur durch Nicht-Aufstellen des Rechners. Daß auf dem Gerät anscheinend ein Telnet-Daemon läuft, zeigt eigentlich recht deutlich, daß sich hier um Sicherheit keine großen Gedanken gemacht wurden, und sowas ist dann die Konsequenz. Warum läuft da nicht (wenn überhaupt) stattdessen ssh? Wieso ist der Dienst überhaupt Richtung Internet freigegeben (Ich gehe davon mal aus, sonst würde sich der Betreffende ja keine Sorgen machen). stand aber nirgendwo, daß ein telnetd lief. Und ein laufender Telnet-Daemon ist für mich kein Indiz, daß sich jemand keine Gedanken um Sicherheit macht. Zumindest macht sich derjenige keine Gedanken um sein Passwort. Übrigens ist ssh auch kein Allzweckheilmittel. Sowohl telnet als auch ftp, r-tools usw. haben ihre Daseinsberechtigung. Telnet hat es nur noch, wenn man Printserver o.ä. konfigurieren muss. Meist geht das aber via http. Wozu also telnet? Wenn man Türen aufmacht, spazieren Leute durch. Egal, ob auf der Klingel "Linux" oder "Mac OS" oder "Windows" steht. Ack. Ja, die Frage ist nur, ob die Türen schon eingebaut sind oder bisher nur die Löcher in der Wand und ich die Türen noch einbauen und dann schließen muss. :) Gruss Udo -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Mario Duve skribis: > Also, ein telnetd ist von mir nicht installiert. > Habe ich noch nie auf einem Linuxsystem gemacht. > > Telnet ist auch nicht von ausses erreichbar, da geblockt > in accesslist des Routers! > > Warum soll ich mir keine Sorgen machen? Wer weiss was da > noch versucht wurde. Wem gehören die Dateien? -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
On Sun, Sep 28, 2003 at 03:13:09PM +0200, Soeren D. Schulze wrote: > Kann man nicht einfach die Checksummen überprüfen? > Hab gehört, das soll irgendwie gehen, weiß aber nicht genau, wie. debsums könnte für sowas hilfreich sein. Das überprüft aber wohl auch nur die md5 Summen der installierten Pakete. Der Rest bleibt unüberprüft. Grüße Florian signature.asc Description: Digital signature
Re: Server gehackt?
"Soeren D. Schulze" <[EMAIL PROTECTED]> wrote: > Dieter Franzke schrieb: >> Wenn dein Rechner wirklich ungebetenen Besuch hatte, ist allerdings >> damit zu rechnen, dass auch unter Umständen die üblichen Programme a >> la ls, find, last und die logfiles modifiziert worden sind. >> Sollte dein VErdacht auch nur ansatzweise begrundet sein, wirst du >> um ne komplette Neuinstallation nicht umhinkommen. > > Kann man nicht einfach die Checksummen überprüfen? > Hab gehört, das soll irgendwie gehen, weiß aber nicht genau, wie. Tripwire etc. Bringt natürlich auch nur was, wenn man das Programm von einem unabhängigen Medium startet. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Dieter Franzke schrieb: Wenn dein Rechner wirklich ungebetenen Besuch hatte, ist allerdings damit zu rechnen, dass auch unter Umständen die üblichen Programme a la ls, find, last und die logfiles modifiziert worden sind. Sollte dein VErdacht auch nur ansatzweise begrundet sein, wirst du um ne komplette Neuinstallation nicht umhinkommen. Kann man nicht einfach die Checksummen überprüfen? Hab gehört, das soll irgendwie gehen, weiß aber nicht genau, wie. Sören -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Joerg Friedrich wrote: auf dem gleichen Rechner hat weder das Update auf 98 noch NT überstanden, auch NT -> 2000 war nicht möglich... *grins* - ich höre unseren Admin im Unternehmen noch ganz laut jammern und fluchen, der sich mit dem Update damals vor Jahren von NT4 auf Win2k aber wirklich auf jedem Rechner angeschissen hatte !! Was Du schreibst stimmt, der musste nach seinen eigenen Angaben nahezu am Ende jeden Rechner platt machen!! Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Peter Schubert schrieb am Sonntag, 28. September 2003 um 12:06:30 +0200: > Dieter Franzke wrote: > > > >Wenn dein Rechner wirklich ungebetenen Besuch hatte, > -- > >Sollte dein VErdacht auch nur ansatzweise begrundet sein, wirst du > >um ne komplette Neuinstallation nicht umhinkommen. > > > Hallo, Ihr beiden, > ich dachte immer Linux sei so sicher, dass nicht möglich ist ??? > *Neuinstallation* , offen gesagt, das klingt böse ebenso wie das, was in > dem Falle bei dem Microsoft-Schrott erforderlich ist. > Ist das nicht etwas übertrieben...? Nein das ist wie andere schon schrieben, keinesfalls übertrieben. Du spielst wahrscheinlich eher auf die Aussage an, daß man Linux vernünftig updaten kann und bei Microsoft eine Neuinstallation fällig ist. Das kann ich zumindest für Debian GNU/Linux nur bestätigen. Die Debian-Installation auf meinem Rechner zuhause ist von 1996 (oder 1997?), hat schon diverse Updates/Upgrades mitgemacht und ist auch auf immer größerer Platten umgezogen. Es läuft noch immer... Das damals bestehende Win95 auf dem gleichen Rechner hat weder das Update auf 98 noch NT überstanden, auch NT -> 2000 war nicht möglich... -- Jörg Friedrich Aufmerksamkeit ist die höchste aller Fertigkeiten und Tugenden. -- Johann Wolfgang von Goethe -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Joerg Rossdeutscher schrieb am Sonntag, 28. September 2003 um 12:55:27 +0200: > Am So, den 28.09.2003 schrieb Peter Schubert um 12:06: > > ich dachte immer Linux sei so sicher, dass nicht möglich ist ??? > > *Neuinstallation* , offen gesagt, das klingt böse ebenso wie das, was in > > dem Falle bei dem Microsoft-Schrott erforderlich ist. > > Ist das nicht etwas übertrieben...? > > Sicherheit ist immer relativ, und nichts ist absolut sicher. Ein Tolle Aussage! > vernünftig administriertes Linux-System ist sicherer als ein vernünftig > adminstriertes Windows, weil transparenter. Das würde ich so sicher nicht unterschreiben, wenn man wie Du eine vernünftige System-Administration voraussetzt, halte ich jedes moderne BS für sicher. > Aber "hinstellen und > vergessen" geht mit _keinem_ System. ja. > Daß auf dem Gerät anscheinend ein Telnet-Daemon läuft, zeigt eigentlich > recht deutlich, daß sich hier um Sicherheit keine großen Gedanken > gemacht wurden, und sowas ist dann die Konsequenz. Warum läuft da nicht > (wenn überhaupt) stattdessen ssh? Wieso ist der Dienst überhaupt > Richtung Internet freigegeben (Ich gehe davon mal aus, sonst würde sich > der Betreffende ja keine Sorgen machen). Du hast die Ausgangsmail nicht genau gelesen. Auf dem entsprechenden Rechner waren verdächtige Dateien im Verzeichnis /tmp aufgetaucht, es stand aber nirgendwo, daß ein telnetd lief. Und ein laufender Telnet-Daemon ist für mich kein Indiz, daß sich jemand keine Gedanken um Sicherheit macht. Übrigens ist ssh auch kein Allzweckheilmittel. Sowohl telnet als auch ftp, r-tools usw. haben ihre Daseinsberechtigung. > Wenn man Türen aufmacht, spazieren Leute durch. Egal, ob auf der Klingel > "Linux" oder "Mac OS" oder "Windows" steht. > Ja, die Frage ist nur, ob die Türen schon eingebaut sind oder bisher nur die Löcher in der Wand und ich die Türen noch einbauen und dann schließen muss. -- Jörg Friedrich -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Also, ein telnetd ist von mir nicht installiert. Habe ich noch nie auf einem Linuxsystem gemacht. Telnet ist auch nicht von ausses erreichbar, da geblockt in accesslist des Routers! Warum soll ich mir keine Sorgen machen? Wer weiss was da noch versucht wurde. - Original Message - From: "Joerg Rossdeutscher" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Sunday, September 28, 2003 12:55 PM Subject: Re: Server gehackt? -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Hi, Am Sonntag, 28. September 2003 12:06 schrieb Peter Schubert: > Dieter Franzke wrote: > >Wenn dein Rechner wirklich ungebetenen Besuch hatte, > > -- > > >Sollte dein VErdacht auch nur ansatzweise begrundet sein, wirst > > du um ne komplette Neuinstallation nicht umhinkommen. > > > >ciao > > > >dieter > > Hallo, Ihr beiden, > ich dachte immer Linux sei so sicher, dass nicht möglich ist ??? > *Neuinstallation* , offen gesagt, das klingt böse ebenso wie das, > was in dem Falle bei dem Microsoft-Schrott erforderlich ist. > Ist das nicht etwas übertrieben...? 1. Linux ist per default sicherer als Windows 2. Linux ist keineswegs vor Angrifen gefeit 3. Man muss halt darauf achten, Sicherheitslecks durch Einspielen von Updates zu schließen 4. Kein System ist absolut sicher, ist nur ne Frage vom Ergeiz, Ausdauer und krimineller Energie des Angreifers...:)) 5. Das größte Sicherheitsproblem sitzt immer vor der Tastatur. 6. Ich nutze *BSD, weil es in dieser Hinsicht noch etwas vertrauenserweckender erscheint)). Zumindest meine Firefalls laufen immer auf BSD. 7. Wer ein System vor 2 Jahren aufgesetzt hat und nie Sicherheitspatches eingespielt hat, ist nicht besser dran als so mancher Win-User. 8. Sicherheit erfordert immer "aktives" Eingreifen. ciao dieter -- On this machine no Windows system will survive and FreeBSD POWER reigns UNLIMITED... -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Am So, den 28.09.2003 schrieb Peter Schubert um 12:06: > ich dachte immer Linux sei so sicher, dass nicht möglich ist ??? > *Neuinstallation* , offen gesagt, das klingt böse ebenso wie das, was in > dem Falle bei dem Microsoft-Schrott erforderlich ist. > Ist das nicht etwas übertrieben...? Sicherheit ist immer relativ, und nichts ist absolut sicher. Ein vernünftig administriertes Linux-System ist sicherer als ein vernünftig adminstriertes Windows, weil transparenter. Aber "hinstellen und vergessen" geht mit _keinem_ System. Daß auf dem Gerät anscheinend ein Telnet-Daemon läuft, zeigt eigentlich recht deutlich, daß sich hier um Sicherheit keine großen Gedanken gemacht wurden, und sowas ist dann die Konsequenz. Warum läuft da nicht (wenn überhaupt) stattdessen ssh? Wieso ist der Dienst überhaupt Richtung Internet freigegeben (Ich gehe davon mal aus, sonst würde sich der Betreffende ja keine Sorgen machen). Wenn man Türen aufmacht, spazieren Leute durch. Egal, ob auf der Klingel "Linux" oder "Mac OS" oder "Windows" steht. Gruß, Ratti -- -o)fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_Vhttp://www.gesindel.de https://sourceforge.net/projects/fontlinge/ signature.asc Description: Dies ist ein digital signierter Nachrichtenteil
Re: Server gehackt?
Am Sonntag, 28. September 2003 12:06 schrieb Peter Schubert: > Dieter Franzke wrote: > >Wenn dein Rechner wirklich ungebetenen Besuch hatte, > >Sollte dein VErdacht auch nur ansatzweise begrundet sein, wirst du > >um ne komplette Neuinstallation nicht umhinkommen. > ich dachte immer Linux sei so sicher, dass nicht möglich ist ??? Der Unsicherheitsfaktor sitzt vor dem Rechner . Nein, im Ernst, eine Linuxinstallation ist nur so sicher, wie die Bugfixes gegriffen haben, so sie denn installiert sind. > *Neuinstallation* , offen gesagt, das klingt böse ebenso wie das, was in > dem Falle bei dem Microsoft-Schrott erforderlich ist. > Ist das nicht etwas übertrieben...? Wenn er nicht _alle_ komprimitierten "Teile" seines Systems findet, unumgänglich. Gruß, Thorsten -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Peter Schubert schreibt: > *Neuinstallation* , offen gesagt, das klingt böse ebenso wie das, > was in dem Falle bei dem Microsoft-Schrott erforderlich ist. Ist > das nicht etwas übertrieben...? Nein. ,[ http://www.cert.org/tech_tips/root_compromise.html#E.1 ] | Keep in mind that if a machine is compromised, anything on that | system could have been modified, including the kernel, binaries, | datafiles, running processes, and memory. In general, the only way to | trust that a machine is free from backdoors and intruder | modifications is to reinstall the operating system from the | distribution media and install all of the security patches before | connecting back to the network. ` -- --Jhair Public Key fingerprint: 81FF 3ADF BF6B CECB C593 4018 27AE D7D2 BAA6 00D0 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Moin, * Peter Schubert <[EMAIL PROTECTED]> [2003-09-28 12:06]: >ich dachte immer Linux sei so sicher, dass nicht möglich ist ??? Ich kenne niemanden, der das ernsthaft behauptet. Thorsten -- A: Top posters Q: What's the most annoying thing about email these days? pgp0.pgp Description: PGP signature
Re: Server gehackt?
Dieter Franzke wrote: Wenn dein Rechner wirklich ungebetenen Besuch hatte, -- Sollte dein VErdacht auch nur ansatzweise begrundet sein, wirst du um ne komplette Neuinstallation nicht umhinkommen. ciao dieter Hallo, Ihr beiden, ich dachte immer Linux sei so sicher, dass nicht möglich ist ??? *Neuinstallation* , offen gesagt, das klingt böse ebenso wie das, was in dem Falle bei dem Microsoft-Schrott erforderlich ist. Ist das nicht etwas übertrieben...? Gruss Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Hallo. Am Sonntag, 28. September 2003 11:27 schrieb Mario Duve: > Ich habe in /tmp 3 Dateien gefunden, die mir da nicht so > richtig gefallen. telnetd telnetd.1 telnetd.2 > Jetzt frage ich mich, wie diese Datein da hingekommen sind, > und ob ich mir jetzt Sorgen um meinen Server machen muss? Schau mal, wann sie erstellt wurden und vergleiche mit den Logfiles. Gruß, Thorsten -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Hi, Am Sonntag, 28. September 2003 11:27 schrieb Mario Duve: > Hallo, > > Ich habe in /tmp 3 Dateien gefunden, die mir da nicht so > richtig gefallen. telnetd telnetd.1 telnetd.2 > > Jetzt frage ich mich, wie diese Datein da hingekommen sind, > und ob ich mir jetzt Sorgen um meinen Server machen muss? allgemeine Verhaltensmaßregeln für so einen fall: 1. Rechner unbedingt vom Netz nehmen 2. Logfile-Analyse (sofern die nicht schon korrumpiert sind) 3. Schauen wer alles eingeloggt war (last, w, who) 4. Suchen nach veränderten Dateien (find...) 5. chkrootkit laufen lassen 6. In Zukunft dafür sorgen, dass a) vielleicht ein sentry läuft b) aide installiert ist c) tripwire installiert Wenn dein Rechner wirklich ungebetenen Besuch hatte, ist allerdings damit zu rechnen, dass auch unter Umständen die üblichen Programme a la ls, find, last und die logfiles modifiziert worden sind. Sollte dein VErdacht auch nur ansatzweise begrundet sein, wirst du um ne komplette Neuinstallation nicht umhinkommen. ciao dieter -- On this machine no Windows system will survive and FreeBSD POWER reigns UNLIMITED... -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Moin, * Mario Duve <[EMAIL PROTECTED]> [2003-09-28 11:27]: >Ich habe in /tmp 3 Dateien gefunden, die mir da nicht so >richtig gefallen. telnetd telnetd.1 telnetd.2 > >Jetzt frage ich mich, wie diese Datein da hingekommen sind, >und ob ich mir jetzt Sorgen um meinen Server machen muss? Was steht denn drin? Was sagt 'ls -lisa'? Thorsten -- People who thinks quotes are witty are fucking morons. - turmeric pgp0.pgp Description: PGP signature
Re: Server gehackt????
Wednesday, August 14, 2002, 7:39:32 PM, Carsten Dirk wrote: > Apache/1.3.6 (Unix) PHP/4.0.3pl1 PHP/3.0.16 mod_perl/1.21 mod_ssl/2.2.8 >OpenSSL/0.9.2b > Sendmail 8.9.3 Huh? Was ist das denn für ein System? Potato? Waren alle bekannten Sicherheitsfixes für Deine angebotenen Dienste installiert? Ich bin mir sicher, daß es zu Deinen daemons etliche gab. Gruß, Marcus -- Fickle minds, pretentious attitudes and ugly | PGP-Key: [DH/DSS] 4096-bit make-up on ugly faces... The Gothgoose | Key-ID: 0xE10F502E Of The Week: http://www.gothgoose.net| Encrypted mails welcome! -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
On Thu, 15 Aug 2002 13:49:05 +0200 (CEST) Markus Werner <[EMAIL PROTECTED]> wrote: > On Wed, 14 Aug 2002, Jens Benecke wrote: > > Moin Jens, [...] > >> NFS über SSL existiert, you know. > I Know, aber nur wenn sich der Client mit einem Cert authentifizieren > muss bevor eine Verbindung zum NFS Server erlaubt, ansonsten macht es > den NFS Server nicht wirklich sicherer. > Ich kenne allerdings nicht die genaue Implemtierung. [...] > Markus Mal im letzten LINUX-Magazin (9/2002 S. 72-77) geblättert? Karl-Heinz hat dort und in einigen Ausgaben zuvor einen wunderbaren Artikel über SSH und seine Anwendungen (z.B. NFS im SSH-Tunnel, S. 76f) geschrieben, sehr zu empfehlen. Gruß Christian -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
On Wed, 14 Aug 2002, Jens Benecke wrote: Moin Jens, > Ich halte das für besser als "by default" 10.000 Dienste zu aktivieren, > die keiner braucht, aber eine _Lösung_ ist das nicht. Aber lieber ist defaultmässig wenig drauf und man muss dann bei bedarf nach installieren, als umgekehrt. > > z.B. der "ultrasichere" openbsd-ftpd, der so gut wie nichts kann. > Zugegeben, proftpd ist sicherheitstechnisch nicht sonderlich top, aber > was nützt mir das, wenn kein anderer ftp-server die benötigten Features > hat? Solange man die Vorteile und Nachteile gegeneinander abgewogen hat ist das auch OK. > > BTW Was ist so schlimm an OpenBSD? > > Die Philosophie, bzw. was daraus geworden ist. Insbes. seit der > openssh-Schlappe. Bei der Philosophie stimme ich dir zu. > Einen Server"hardening" Dienst hat ein Programm, welches weder suid root > läuft noch als Server dient, nicht zu interessieren. Nicht daß licq auf Hmmm... Ich vertrete die Meinung das auf einem Server nur Programme drauf sein müssen die man auch wirklich braucht. > dem Rechner unbedingt erforderlich gewesen wäre (es ist aber: ich will > licq-console per ssh benutzen können, von aussen), aber warum ist denn icq auf nem Server hälte ich nicht für sinnvoll, aber du wirst schon für dich die richtige Entscheidung getroffen haben. > nicht auch gleich gcc rausgeflogen? Compiler haben auf Servern auch nix > zu suchen. GCC hat auf einem Server rein gar nichts zu suchen, da gebe ich dir absolut recht. > > NFS sollte IMHO auch auf keinem Host laufen der von Internet her > > erreichbar ist. > > Und woher weiss harden, daß mein Rechner vom Internet her erreichbar > ist? Und woher weiss harden, was *ich* von meinem Rechner erwarte? IMHO solltest du gefragt werden. >> NFS über SSL existiert, you know. I Know, aber nur wenn sich der Client mit einem Cert authentifizieren muss bevor eine Verbindung zum NFS Server erlaubt, ansonsten macht es den NFS Server nicht wirklich sicherer. Ich kenne allerdings nicht die genaue Implemtierung. > > > > und der FTP Server entfernt wird, damit definitiv NICHT. Und > > > "apt-cache show harden" erklärt auch nicht, warum diese Pakete raus > > > sollen. > > Lese dir doch mal Grundsätzliches zum Thema Sicherheit durch und du > > wirst wissen warum.;-) > > Ich glaube nicht, daß ich in der Hinsicht blutiger Anfänger bin. Es tut mir leid das ich aus deinem Posting geschlossen habe das du nicht so tief in der Materie steckts. Ich wollte dir in keinster Weise zu nahe treten. > > > Aber in der Tat könnte man dem Maintainer vorschlagen einen > > entsprechenden Link in die Beschreibung mit aufzunehmen.:-) > > harden sieht für mich entweder nach einem _sehr_ frühen Stadium aus oder > nach einem mehr oder weniger zufällig zusammengewürfelten Haufen von > Regeln, die der Maintainer für nett hält und damit anderen Leuten > vorschreiben will. > Kann ich nichts zu sagen, da ich mich mit harden für Debian noch nicht näher beschäftig habe. > Gibt es einen _TECHNISCHEN_ Grund, warum licq nicht da sein soll? Ich Hmmm... es ist schliesslich ein ausführbarer Cod,e den du gedenkst zu benutzen und sollte er Sicherheitslücken enthalten könnte das jemand ausnutzen. Ich gehe eher den minimalistischen Ansatz aber wir oben schon erwähnt du wirst deine Gründe haben. cu Markus -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
+ Torsten Werner <[EMAIL PROTECTED]>: > Es geht konkret um #134131. Man könnte es nochmal mit einem Bugreport > gegen das 'Paket' ftp.debian.org probieren. Nein. das wäre das falsche Paket. Dann schon eher 'installation', bin mir aber auch nicht sicher. Ich würde eine Mail mit diesem Problem in debian-devel schreiben. [1] http://www.debian.org/Bugs/Pseudo-Packages Kai -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
On Thursday, 2002-08-15 at 10:02:18 AM (+0200), Johannes Athmer wrote: > Das ist aber wohl der Maintainer und an den hat Reinhard sich ja schon > gewendet. Wird wohl eher jemand aus der "Paketverwaltung" sein. Es geht konkret um #134131. Man könnte es nochmal mit einem Bugreport gegen das 'Paket' ftp.debian.org probieren. Torsten -- Torsten Werner Dresden University of Technology mailto:[EMAIL PROTECTED]telephone: +49 (351) 463 36711 http://www.twerner42.de/ telefax: +49 (351) 463 36809 -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
On Wed, Aug 14, 2002 at 11:30:54PM +0200, Henrik Hasenkamp wrote: > > Auf www.debian.org findest du unter den jeweiligen Packetdownloads immer > einen Ansprechpartner. Ich denke mal das du dich dann an diesen wenden > müsstest. Das ist aber wohl der Maintainer und an den hat Reinhard sich ja schon gewendet. Wird wohl eher jemand aus der "Paketverwaltung" sein. -Johannes msg15500/pgp0.pgp Description: PGP signature
Re: Server gehackt????
Hi MArcus, Marcus Frings schrieb: >>achso was kann man gegen so was unternehmen damit es nicht nochmal >>passiert. Die Dienste die angeboten werden sind: pop3, imap, DNS, WWW, >>SSH. Für jeden Tip bin ich sehr Dangbar!!! > > > Sinnvoll wäre stattdessen gewesen, nicht die Dienste aufzuzählen, > sondern die daemons in ihren jeweiligen Versionen aufzulisten, die diese > Dienste anbieten. Dann könnte man herausfinden, in welchem Dienst die > Sicherheitslücke war oder ob ganz einfach allgemein nur mies > konfiguriert worden war. Apache hat in der letzten Zeit > Sicherheitsprobleme, openssh auch und bind sowie uw-imap sowieso immer. > :-) Zum Thema Sicherheit gibt es eine gute webseite: www.port-scan.de Ist nichts wirklich Neues, aber vor allem der nessus scan schickt nach getaner Arbeit per mail eine ausführliche Mail mit den (evtl.) gefundenen Sicherheitslöchern. Hat mir beim Abdichten des Servers gute Dienste geleistet. Ciao Stefan -- --- Communications powered by FreeBSD --- The Power to Serve -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
On Wed, 2002-08-14 at 23:23, Reinhard Foerster wrote: > On Wed, 14 Aug 2002 22:15:12 +0200, Jens Benecke wrote: > > > Guck dir ein "default install" von OpenBSD an. Kein Wunder, daß da bis > > vor kurz[...] und was nicht? > > Reinhard > Auf www.debian.org findest du unter den jeweiligen Packetdownloads immer einen Ansprechpartner. Ich denke mal das du dich dann an diesen wenden müsstest. Gruss Henrik > -- > Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] > mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl) -- Henrik Hasenkamp Hohenstein 88 42283 Wuppertal Tel: +49/202 7473522 Mobile: +49/179 4554420 mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] -- -- -- -- -- -- -- -- -- -- Ferien auf dem Bauernhof finden nicht nur Kuehe doof.% signature.asc Description: This is a digitally signed message part
Re: Server gehackt????
On Wed, 14 Aug 2002 22:15:12 +0200, Jens Benecke wrote: > Guck dir ein "default install" von OpenBSD an. Kein Wunder, daß da bis > vor kurzem nichts anzugreifen war, es wurde einfach nichts installiert. > > Ich halte das für besser als "by default" 10.000 Dienste zu aktivieren, > die keiner braucht, aber eine _Lösung_ ist das nicht. An wen muß man sich eigentlich wenden, wenn man Netzdienste, die für einen 0815-Rechner recht sinnlos sind, aus der Debian-Standardinstallation entfernen möchte. Ich hatte mal einen Bugreport wegen "Priority: standard" beim Paket pidentd geschickt. Der Maintainer hat sich über meinen Wunsch, das Paket aus der default Installation zu nehmen, so ziemlich ausgelacht. Er sei der falsche Ansprechpartner dafür und war drüber hinaus wenig kommunikativ. Bei wem melde ich solche Wünsche an? Wer entscheidet, was in die default install kommt und was nicht? Reinhard -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
* Carsten Dirk <[EMAIL PROTECTED]> [14-08-02 19:39]: Carsten Dirk> Marcus Frings> Sinnvoll wäre stattdessen gewesen, nicht die Dienste aufzuzählen, Carsten Dirk> Marcus Frings> sondern die daemons in ihren jeweiligen Versionen aufzulisten, die diese Carsten Dirk> Marcus Frings> Dienste anbieten. Dann könnte man herausfinden, in welchem Dienst die Carsten Dirk> Marcus Frings> Sicherheitslücke war oder ob ganz einfach allgemein nur mies Carsten Dirk> Marcus Frings> konfiguriert worden war. Apache hat in der letzten Zeit Carsten Dirk> Marcus Frings> Sicherheitsprobleme, openssh auch und bind sowie uw-imap sowieso immer. Carsten Dirk> Marcus Frings> :-) Carsten Dirk> Carsten Dirk> Marcus Frings> Gruß, Carsten Dirk> Marcus Frings> Marcus Carsten Dirk> Marcus Frings> -- Carsten Dirk> Marcus Frings> Fickle minds, pretentious attitudes and ugly | PGP-Key: [DH/DSS] 4096-bit Carsten Dirk> Marcus Frings> make-up on ugly faces... The Gothgoose | Key-ID: 0xE10F502E Carsten Dirk> Marcus Frings> Of The Week: http://www.gothgoose.net| Encrypted mails welcome! Carsten Dirk> Carsten Dirk> Carsten Dirk> Carsten Dirk> Apache/1.3.6 (Unix) PHP/4.0.3pl1 PHP/3.0.16 mod_perl/1.21 mod_ssl/2.2.8 OpenSSL/0.9.2b Carsten Dirk> Sendmail 8.9.3 Das wichtigste fehlt: 'cat /etc/debian_version' Ich würde dir Debian/Woody empfehlen. :-) Gruss Uwe PS: Ich überlege gerade, ob ich deinen Quotingstil übernehme... -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
On Wed, 14 Aug 2002, Wolfgang Kaufmann wrote: > Stimmt. Ich bastele jetzt schnell mal an harden2, dass meidet > Sicherheitslücken, indem es möglichst viele unsichere und > kaputt-funktionale Dienste auf einem Rechner laufen, dass > sich ein Angreifer totlacht. Es ist um Längen effizienter und vorallem > ist man den Angreifer dann wirklich los. *grins* Endlich ein erfolgreiches Mittel > > > Was ist so schlimm an OpenBSD? > > Die Vorurteile? Die sind immer Schlimm. > > Oder war die Frage ernst gemeint? ;-) Sie war ernst gemeint. Wenn er was gegen OpenBSD hat dann soll er es begründen. Bis dann Markus -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
* Thus spoke Markus Werner [14-08-02|14:44]: Hallo, > > Macht harden das gleiche wie OpenBSE? Vermeidung von Sicherheitslücken > > durch Entfernung jeglicher Funktionalität? Stimmt. Ich bastele jetzt schnell mal an harden2, dass meidet Sicherheitslücken, indem es möglichst viele unsichere und kaputt-funktionale Dienste auf einem Rechner laufen, dass sich ein Angreifer totlacht. Es ist um Längen effizienter und vorallem ist man den Angreifer dann wirklich los. > Was ist so schlimm an OpenBSD? Die Vorurteile? Oder war die Frage ernst gemeint? ;-) Tschüss, -- "Jedermann klagt über sein Gedächtnis, niemand über seinen Verstand." -- Francois Duc de La Rochefoucauld -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
Wednesday, August 14, 2002, 6:54:33 PM, Carsten Dirk wrote: > achso was kann man gegen so was unternehmen damit es nicht nochmal > passiert. Die Dienste die angeboten werden sind: pop3, imap, DNS, WWW, > SSH. Für jeden Tip bin ich sehr Dangbar!!! Sinnvoll wäre stattdessen gewesen, nicht die Dienste aufzuzählen, sondern die daemons in ihren jeweiligen Versionen aufzulisten, die diese Dienste anbieten. Dann könnte man herausfinden, in welchem Dienst die Sicherheitslücke war oder ob ganz einfach allgemein nur mies konfiguriert worden war. Apache hat in der letzten Zeit Sicherheitsprobleme, openssh auch und bind sowie uw-imap sowieso immer. :-) Gruß, Marcus -- Fickle minds, pretentious attitudes and ugly | PGP-Key: [DH/DSS] 4096-bit make-up on ugly faces... The Gothgoose | Key-ID: 0xE10F502E Of The Week: http://www.gothgoose.net| Encrypted mails welcome! -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
On Wed, 14 Aug 2002, Jens Benecke wrote: Hallo, > Macht harden das gleiche wie OpenBSE? Vermeidung von Sicherheitslücken > durch Entfernung jeglicher Funktionalität? s/E/D/ Hmmm... du scheints da eine sehr vorgefertigte Meinung zu haben. Woran liegt das ? BTW Was ist so schlimm an OpenBSD? Man muss immer abwegen zwischen Sicherheit und comfort. Was dir wichtiger ist musst du entscheiden. > > Daß licq entfernt wird, damit kann ich leben, aber daß der NFS Server Auf einen Server hat das überhaupt nichts zu suchen! NFS sollte IMHO auch auf keinem Host laufen der von Internet her erreichbar ist. > und der FTP Server entfernt wird, damit definitiv NICHT. Und "apt-cache > show harden" erklärt auch nicht, warum diese Pakete raus sollen. Lese dir doch mal Grundsätzliches zum Thema Sicherheit durch und du wirst wissen warum.;-) Aber in der Tat könnte man dem Maintainer vorschlagen einen entsprechenden Link in die Beschreibung mit aufzunehmen.:-) bis dann Markus -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
On Tue, Aug 13, 2002 at 06:39:02PM +0200, Carsten Dirk wrote: > und ich habe vielle md5-checksum fehler mein Server wurde leider > gehakt obwohl alle patche drauf sind und eigentlich ganz sicher ist. Vielleicht ist jemand durch die Vordertür rein gekommen, sprich über unsichere Passwörter? > Meine Frage wie kann ich rausfinden wie genau hat er das gemacht und > wie kann ich ihn erwischen seine ip rausfinden und so. Evtl. sind in den Backups der Logfiles von den Vortagen irgend welche Vorläufer des Angriffs zu finden. Ansonsten müsste da ein Fachmann ran, der evtl. was finden kann, aufgrund seiner Erfahrung, aber je länger Du da suchst um so mehr Spuren sind am Tatort verwischt. > Und was muss > ich noch machen für die zukunft damit so was nicht passiert? Da wurden Dir ja schon genug Links gezeigt. > Habe ich eine andere möglichkeit auser neue instalation Auf jeden Fall neu installieren. Du weißt nicht, welche Hintertüren dort jemand hinterlassen hat. -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
On Tue, 13 Aug 2002, Carsten Dirk wrote: Hallo Carsten ein paar tips hast du ja schon bekommen. Du solltest generell Backups von deinen Servern machen. Somit kannst du zum einen Nachvollziehen wann er gehackt worden ist und was wichtiger ist du kannst das System in einem Sauberen zustand restoren und musst dann nur noch die änderungen manuell einpflegen. Ausserdem ist ein sysloghost[1] sehr sinnvoll. Schau evtl. auch mal bei www.securityfocus.com nach dort gibt es einige gute Artikel zu diesem Thema. Mehr fällt mir auf die schnelle nicht ein, zumal ich nur 4 Stunden geschlafen habe. cu Markus -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
On Tue, 13 Aug 2002, Carsten Dirk said: > Wolfgang Kaufmann> Entsprechende Administration. > Was verstehst du unter Entsprechende Administration. Werde bitte > genauer!! Das übliche. Nur die Dienste anbieten, die man auch anbieten will. Einschlägige Mailinglisten lesen, damit man rechtzeitig über Sicherheitslücken erfährt und entsprechend handeln. root nur zum administrieren verwenden sonst zu *nichts*. bye Gerhard PS: Dein Quotingstil ist eigenwillig. -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
* Thus spoke Carsten Dirk [13-08-02|18:39]: Hallo, > Habe ich eine andere möglichkeit auser neue instalation und wie kann Nein. > ich mich dagegen schutzen? Entsprechende Administration. Tschüss, -- "Jedermann klagt über sein Gedächtnis, niemand über seinen Verstand." -- Francois Duc de La Rochefoucauld -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
* Stefan Keul <[EMAIL PROTECTED]> [020813 19:22]: > und ich weiss, dass es noch eine securing debian howto gibt. Das suchen > überlasse ich Dir. http://www.debian.org/doc/manuals/securing-debian-howto/ Und/der apt-get install harden -- cu Alex -- PGP key on demand, mailto:[EMAIL PROTECTED] with subject "get pgp-key" msg15289/pgp0.pgp Description: PGP signature
Re: Server gehackt????
Am Dienstag, 13. August 2002 18:39 schrieb Carsten Dirk: > hi, > > hab ein risen Problem mit meinem server. Gestern bekamm ich die > email das der Server überlastet ist Prozessor last und der > smtp nicht leuft. Danach bin ich auf dem Server gegangen und wolte > alles cheken wolte mir die log ansehen und hab folgendes > festgestellt: > /var/log/message ->/dev/null > /var/log/secure ->/dev/null > alles ins nirvana. Dann sind bei mir sofort die alarm > Glocken gegangen. Und hab noch folgendes festgestellt unter > /usr/man/man1/... findet mann folgende Dateien: > out > asus > chipsul > cleaner > ftpaccess > s > scan.tar.gz > see > seekill > synk > w > und ich habe vielle md5-checksum fehler mein Server wurde > leider gehakt obwohl alle patche drauf sind und eigentlich ganz > sicher ist. Meine Frage wie kann ich rausfinden wie genau hat er > das gemacht und wie kann ich ihn erwischen seine ip rausfinden und > so. Und was muss ich noch machen für die zukunft damit so was nicht > passiert? Habe ich eine andere möglichkeit auser neue instalation > und wie kann ich mich dagegen schutzen? ... na, dass sieht ja lustig aus ... http://www.tldp.org/ bietet jede Menge brauchbare Informationen. Zwei davon hab ich auf meiner Platte: Security-HOWTO, Linux Security HOWTO Updated: February 2002. A general overview of security issues that face the administrator of Linux systems. Security-Quickstart-HOWTO, Security Quick-Start HOWTO for Linux Updated: February 2002. An overview of the basic steps required to secure a Linux installation from intrusion. und ich weiss, dass es noch eine securing debian howto gibt. Das suchen überlasse ich Dir. Stefan -- (°> Stefan Keul <[EMAIL PROTECTED]> -(°) -(°) //\ Exchange Server? /\\ /\\ V_/_ Surely exchange them! _\_V _\_V -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
