Guten Tag Carsten Dirk, Am Mittwoch, 14. August 2002 um 18:47 schrieben Sie:
Carsten Dirk> Guten Tag Dirk Prösdorf, Carsten Dirk> Am Mittwoch, 14. August 2002 um 08:58 schrieben Sie: Dirk Prösdorf>> On Tue, Aug 13, 2002 at 06:39:02PM +0200, Carsten Dirk wrote: >>> und ich habe vielle md5-checksum fehler mein Server wurde leider >>> gehakt obwohl alle patche drauf sind und eigentlich ganz sicher ist. Dirk Prösdorf>> Vielleicht ist jemand durch die Vordertür rein gekommen, sprich über Dirk Prösdorf>> unsichere Passwörter? >>> Meine Frage wie kann ich rausfinden wie genau hat er das gemacht und >>> wie kann ich ihn erwischen seine ip rausfinden und so. Dirk Prösdorf>> Evtl. sind in den Backups der Logfiles von den Vortagen irgend welche Dirk Prösdorf>> Vorläufer des Angriffs zu finden. Dirk Prösdorf>> Ansonsten müsste da ein Fachmann ran, der evtl. was finden kann, Dirk Prösdorf>> aufgrund seiner Erfahrung, aber je länger Du da suchst um so mehr Spuren Dirk Prösdorf>> sind am Tatort verwischt. >>> Und was muss >>> ich noch machen für die zukunft damit so was nicht passiert? Dirk Prösdorf>> Da wurden Dir ja schon genug Links gezeigt. >>> Habe ich eine andere möglichkeit auser neue instalation Dirk Prösdorf>> Auf jeden Fall neu installieren. Du weißt nicht, welche Hintertüren dort Dirk Prösdorf>> jemand hinterlassen hat. Carsten Dirk> wir habe schon ersatz server den wollen wir jetz als köder nutzten was Carsten Dirk> würdet ihr so empfehlen ich will rausfinden wo komt er her. Ich ahb Carsten Dirk> auch rausgefunden das ein Rootkit namens TuxKit Ver 1.0 auch Carsten Dirk> modefiziert drauf instaliert wurde. Jetz will ich nur ein den Typ Carsten Dirk> finden. Hab schon Tcpdump im hintergrund verstekt und er logt alles Carsten Dirk> das Problemm ist später mit dem auswertung! Oder kennt jemand eine Carsten Dirk> andere alternative wie ich es rausfinden kann wer das war? Carsten Dirk> -- Carsten Dirk> Mit freundlichen Grüssen Carsten Dirk> Carsten Dirk mailto:[EMAIL PROTECTED] achso was kann man gegen so was unternehmen damit es nicht nochmal passiert. Die Dienste die angeboten werden sind: pop3, imap, DNS, WWW, SSH. Für jeden Tip bin ich sehr Dangbar!!! -- Mit freundlichen Grüssen Carsten Dirk mailto:[EMAIL PROTECTED] -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)