Re: Server gehackt
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 ja hallo erstmal,... Am Sonntag, 29. August 2004 14:00 schrieb Martin Schmitz: On Thursday 26 August 2004 14:09, Jan Luehr wrote: 7. Wenn du das Loch findest, schließe es. Falls nicht, so besteht immer wieder die Gefahr, dass dieses nochmal passiert. Solltest du es nicht finden, steige auf OpenBSD um. Warum sollte er ausgerechnet OpenBSD verwenden, wo doch deren Hauptentwicklung - OpenSSH - in den letzten Jahren immer wieder durch gravierende Sicherheitslücken aufgefallen ist? Wer ein wirklich überschaubares, extrem wartungsfreundliches OS einsetzen möchte, dem empfehle ich NetBSD. Oder, wenn es wirklich um Sicherheit geht, Trusted Solaris. OpenBSD war ein Beispiel. Auch wenn OpenSSH sich nicht wirklich mit Ruhm bekleckert hat, so denke ich, dass die Behandlung des Codes (u.a. revisiting, etc.) unter OpenBSD besser abläuft als bei Linux. (Nun flamewars zu führen ob nun NetBSD, OpenBSD oder FressBSD, oder BSD, oder oder oder nun das sicherer Unix ist, hat imho auf einer Debian-Liste kaum einen Raum) Achja, Trusted Solaris hatte ich auch erwähnt. Ich hatte aber das Gefühl, dass hier eine Intel-Plattform verwendet wird. Keep smiling yanosz -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) iQIVAwUBQTrq/9AHMQ8GQaYRAQJnBA//TSrcuXCP88v8mZxygVQD/x8dAp8tTNJ3 he3ysPUh+f8PPcC8R2jGiJwrfj6yab8cbXAUQ9geX4FixSeww7OGf0LfGsuRhCfK OCnHbAm7wb3HfkM4eblE1BGG+H8MP5fFvgM6dQr/JhgSP2HyilvrtV/zmcH2D2Bl 6Sa1SR/k0yVDTyLlXdIZeu1lHEKeLumUcQI7LVjifjL3KdfiT+U4JlpHF26R6gdg XSRpXYK2id6zwSwfuN43pWaPO6Slw+7v3VhZl+H2Uq7zZdbVTaiavxytprJxugCZ rizOLKNsOx44XIuG2HTbaz9xXLRd7t/wJq4sJMw4m0BqWH5GjgbZNiExZbLHrPIW QejChLxHuAsKqPp6/YYvtmDpyKzWeJ1ZVPJh+voDKSIehgcHSfVVJXTn0jE9MNvi EVpAAR1e7/N9jSVuUf7yK6jjzck8h8WlJR48Wa81vfgAb7xkDWqfqgRIFIzXk/Rb C9yjrM2CWxGX1ytmNyoT9gs7F+nPddwIgF9k6hmCLf3DcKOpb1CwcVR0CTCqV1jV 0DMoDYSm3t7U81x8CJVQ6xhq88jRkjRHZjyyMZsaJOkt3GKlyj/fuKqBlsI3siu1 INJmMxNQYsMae2JwApvc3RM1ThwSez7O7qu3oW4eCR+8sBue33FAjYEkJcnqJrhz 0WLEi0WtkAQ= =FPF5 -END PGP SIGNATURE-
Re: Server gehackt
On Thursday 26 August 2004 14:09, Jan Luehr wrote: 7. Wenn du das Loch findest, schließe es. Falls nicht, so besteht immer wieder die Gefahr, dass dieses nochmal passiert. Solltest du es nicht finden, steige auf OpenBSD um. Warum sollte er ausgerechnet OpenBSD verwenden, wo doch deren Hauptentwicklung - OpenSSH - in den letzten Jahren immer wieder durch gravierende Sicherheitslücken aufgefallen ist? Wer ein wirklich überschaubares, extrem wartungsfreundliches OS einsetzen möchte, dem empfehle ich NetBSD. Oder, wenn es wirklich um Sicherheit geht, Trusted Solaris. Gruß, Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
Christian Schmied [EMAIL PROTECTED] writes: [...] Ich kann mir nur vorstellen das es an qmail [...] lag. Wenn Du das beweisen kannst, bekommst Du echtes Geld von DJB. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
Servus, Debian stable installieren - regelmäßig Sicherheitsupdates einspielen - unnötige Services deaktiveren (inetd.conf) - falls ssh benötigt wird, keine einfachen User/PW Kombinationen verwenden (gerade da in letzter Zeit die ssh Attacken zunehmen) bzw. gleich Keys erstellen - Firewall (iptables) - Intrusion detection system (z.b. aide) spricht eigentlich was gegen: mv /etc/rc2.d/S20inetd /etc/rc2.d/_S20inetd So mach ich das immer, kommentiere sogar noch zusätzlich die Einträge in der inetd.conf aus. Ich habe den noch nie gebraucht. In welcher Konstellation macht es eigentlich Sinn, den inetd einzusetzen? Grüße Mathias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
Mathias Tauber wrote: In welcher Konstellation macht es eigentlich Sinn, den inetd einzusetzen? wenn daemons nach bedarf gestartet werden sollen. -- Address:Daniel Baumann, Burgunderstrasse 3, CH-4562 Biberist Email: [EMAIL PROTECTED] Internet: http://people.panthera-systems.net/~daniel-baumann/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
Moin, Mathias Tauber schrieb: spricht eigentlich was gegen: mv /etc/rc2.d/S20inetd /etc/rc2.d/_S20inetd ich würde update-rc.d inetd remove empfehlen... - Thorsten -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
In welcher Konstellation macht es eigentlich Sinn, den inetd einzusetzen? wenn daemons nach bedarf gestartet werden sollen. Was macht der inetd denn anders als z.B. '/etc/init.d/ab_und_zu_dienst start'? Oder erkennt der inetd, dass ein Dienst angesprochen wird, welcher nicht läuft und startet ihn dann automatisch? -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
spricht eigentlich was gegen: mv /etc/rc2.d/S20inetd /etc/rc2.d/_S20inetd ich würde update-rc.d inetd remove empfehlen... Wird er dann lediglich aus allen RC's entfernt, oder macht der Befehl mehr? -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
am 26.08.2004, um 11:45:27 +0200 mailte Mathias Tauber folgendes: Was macht der inetd denn anders als z.B. '/etc/init.d/ab_und_zu_dienst start'? Oder erkennt der inetd, dass ein Dienst angesprochen wird, welcher nicht läuft und startet ihn dann automatisch? So in etwa. Er lauscht am Port und startet bei Bedarf den nötigen Dienst. man inetd Andreas -- Andreas Kretschmer(Kontakt: siehe Header) Tel. NL Heynitz: 035242/47212 GnuPG-ID 0x3FFF606C http://wwwkeys.de.pgp.net ===Schollglas Unternehmensgruppe=== -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
Moin, Mathias Tauber schrieb: spricht eigentlich was gegen: mv /etc/rc2.d/S20inetd /etc/rc2.d/_S20inetd ich würde update-rc.d inetd remove empfehlen... Wird er dann lediglich aus allen RC's entfernt, oder macht der Befehl mehr? genau, alle symbolischen Links werden entfernt. - Thorsten -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
Mathias Tauber schrieb: ... macht es ... Sinn, den inetd einzusetzen? wenn daemons nach bedarf gestartet werden sollen. Was macht der inetd denn anders als z.B. '/etc/init.d/ab_und_zu_dienst start'? Nur ein Prozess! Sonst benötigt man einen Prozess für jeden Dienst! Oder erkennt der inetd, dass ein Dienst angesprochen wird, welcher nicht läuft und startet ihn dann automatisch? Nicht ganz. Der Vorgang ist etwas anders, aber der Effekt ist der gleiche. Gruß Uli -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
Mathias Tauber wrote: Oder erkennt der inetd, dass ein Dienst angesprochen wird, welcher nicht läuft und startet ihn dann automatisch? ja, genau das macht er. -- Address:Daniel Baumann, Burgunderstrasse 3, CH-4562 Biberist Email: [EMAIL PROTECTED] Internet: http://people.panthera-systems.net/~daniel-baumann/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
Danke für die Infos von Euch allen! Eine Frage noch: Wie bereits erwähnt, habe ich den inetd noch nie gebraucht. Ich dachte mir dann natürlich, runter mit dem Ding, aber da kommen dann wichtige Abhängigkeiten dazu. server01:~# apt-get remove netkit-inetd -s Reading Package Lists... Done Building Dependency Tree... Done The following packages will be REMOVED: apache logrotate mailx netbase netkit-inetd postfix postfix-ldap postfix-pcre samba squid 0 packages upgraded, 0 newly installed, 10 to remove and 0 not upgraded. Remv apache (1.3.26-0woody5 Debian-Security:3.0/stable) Remv squid (2.4.6-2woody2 Debian-Security:3.0/stable) Remv samba (2.2.3a-13 Debian-Security:3.0/stable) Remv logrotate (3.5.9-8 Debian:3.0r2/stable) Remv mailx (1:8.1.2-0.20020411cvs-1 Debian:3.0r2/stable) Remv postfix-ldap (1.1.11-0.woody3 Debian:3.0r2/stable, Debian-Security:3.0/stable) [postfix ] Remv postfix (1.1.11-0.woody3 Debian:3.0r2/stable, Debian-Security:3.0/stable) [postfix-pcre ] Remv postfix-pcre (1.1.11-0.woody3 Debian:3.0r2/stable, Debian-Security:3.0/stable) Remv netbase (4.07 Debian:3.0r2/stable) Remv netkit-inetd (0.10-9 Debian:3.0r2/stable) Kann man den trotzdem irgendwie entfernen? Weil so macht das ja keinen Sinn... Grüße Mathias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
Mathias Tauber wrote: spricht eigentlich was gegen: mv /etc/rc2.d/S20inetd /etc/rc2.d/_S20inetd Eigentlich nicht ... ich mache das der Sauberkeit halber aber immer mit rcconf MfG Patrick -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
Hallo Mathias, Mathias Tauber, 26.08.2004 (d.m.y): In welcher Konstellation macht es eigentlich Sinn, den inetd einzusetzen? Man kann darueber Dienste starten lassen, die nicht als eigenstaendige Daemons laufen, z.B. diverse POP3- oder IMAP-Server. Falls die Dienste keine eigenen Zugriffsbeschraenkungen mitbringen, kann man mit Hilfe des (x)inetd auch den tcpd dazwischenschalten, mit dem man dann die Zugriffsberechtigungen auf den jeweiligen Dienst host- und/oder netzwerkbasiert erteilen kann. Mehr dazu kannst Du z.B. man tcpd entnehmen. Gruss, Christian -- Wie man sein Kind nicht nennen sollte: Marc Arov signature.asc Description: Digital signature
Re: Server gehackt
ja hallo erstmal,... Am Mittwoch, 25. August 2004 09:19 schrieb Christian Schmied: Hallo, ich habe seit gestern Nacht ein über 700MB größeres Transfervolumen auf meinem Server. Alles Durchsehen der Log-Dateien hat nichts gebracht. Mittels nmap habe einen neuen Port entdeckt: Port 88 Kerberos-sec und mit top finde ich ein Programm, das seit über sechs Stunden läuft und scan-a heißt. Ok. 1. Schritt Verbindung zum inet physikalisch trennen. - Rechner nicht herunterfahren! 2. Neuen Server (anderes Gerät) mit Backups installieren Mondo - Mindi falls verfügbar. Dieser soll die Dienste übernehmen. 3. Gehe auch ww.chkrootkit.org Lade dir das dortige Programm herunter. Übersetze es statisch! auf einem sauberen System. Packe zudem dieses und alle benötigten Binaries (die dortige Doku lesen!) auf eine CD / einen USB-Stick und lasse das Programm durchlaufen. 4. Stelle fest, welche Programme im Arbeitsspeicher sind, geladen sind, checke die IDS-Systeme (welche Dateien wurden geändert) 5. Vergleich den geladenen Kernel mit einem Memory-Abbild (guck mal system.map) Liste alle geladenen Module, Programme, Bibliotheken auf und druck es am besten direkt aus. 6. Boote das System mit Knoppix und untersuche das System per Hand (und gründlich) auf Kompromitierungen. Welche Dateien sind dort, welche müssen dort sein. Stimmen die md5-Summen der Dateien mit denen von den aus den Debian-Paketen überein. 7. Wenn du das Loch findest, schließe es. Falls nicht, so besteht immer wieder die Gefahr, dass dieses nochmal passiert. Solltest du es nicht finden, steige auf OpenBSD um. fup2 [EMAIL PROTECTED] ([EMAIL PROTECTED] , www.securityfocus.com) oder de.comp.security.misc solltest du damit Probleme haben. Ich musste den Server neu aufsetzen, da ich ihn heute noch für eine andere Sache benötige. Trotzdem würde ich gerne wissen ob mit den beiden obigen Aussagen jemand von euch was anfangen kann? Siehe oben. Alles andere ist fahrlässig. Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja 99,9%) wasserdicht bekommt? http://www.debian.org/doc/manuals/securing-debian-howto/ http://www.grsecurity.org oder http://www.openbsd.org Trusted Solaris ist auch ganz nett. Keep smiling yanosz
Re: Server gehackt
* Mathias Tauber [EMAIL PROTECTED] [040826 11:17]: spricht eigentlich was gegen: mv /etc/rc2.d/S20inetd /etc/rc2.d/_S20inetd Sollte der inetd mal aktualisiert werden, war alle Mühe vergebens. Yours sincerely, Alexander signature.asc Description: Digital signature
Server gehackt
Hallo, ich habe seit gestern Nacht ein über 700MBgrößeres Transfervolumen auf meinem Server. Alles Durchsehen der Log-Dateien hat nichts gebracht. Mittels nmap habe einen neuen Port entdeckt: Port 88 Kerberos-sec und mit top finde ich ein Programm, das seit über sechs Stunden läuft und scan-a heißt. Ich musste den Server neu aufsetzen, da ich ihn heute noch für eine andere Sache benötige. Trotzdem würde ich gerne wissen ob mit den beiden obigen Aussagen jemand von euch was anfangen kann? Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja 99,9%) wasserdicht bekommt? Gruß Christian Gesendet von Yahoo! Mail - Jetzt mit 100MB kostenlosem Speicher
Re: Server gehackt
Hi Christian Schmied, *, Christian Schmied wrote on Wed Aug 25, 2004 at 09:19:05AM +0200: Mittels nmap habe einen neuen Port entdeckt: Port 88 Kerberos-sec und mit top finde ich ein Programm, das seit über sechs Stunden läuft und scan-a heißt. Mit dem Schema hatte ich bislang noch nichts ... Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja 99,9%) wasserdicht bekommt? Alles ausser den benötigten Ports sperren. @Work ist es so eingerichtet, dass es zwei externe Firewalls gibt (Einmal der komplette DSL Zugang, dann die IPRanges für die Clients bzw. Server und nochmal eine auf jedem Server installiert wurde). Remoteadministration via SSH ist hier (selbst im Firmennetz) nur über eine IPSEC verbindung möglich. Alle 3h läuft hier (paranoider weise) nen Prozess um rootkits aufzudecken (chkrootkit). Zusätzlich stehen für den Fall eines Falles saubere Festplatten, mit einem lauffähigen System bereit. Dazu werden die Neu angefallenen Daten alle 12h via rsync auf nem externen Server geschrieben. Backups sind im Zeitraum von einer Woche vorhanden. Sprich wir sind in der Lage die Rechner innerhalb von 3 - 6 Minuten wieder am Start zu haben, und zusätzlich noch in einem angemessenen Rahmen die Nutzerdaten wiederherzustellen. -- so long, Rainer Bendig aka mindz PGP/GPG key (ID: 0xCC7EA575) http://DigitallyImpressed.com Get it from wwwkeys.de.pgp.net for contacting me take a look on http://digitallyimpressed.com/contact -- Don't reply to this e-mail address and please don't cc to me on lists. If we meet on a list, you can be sure that i am already on the list. -- Beauty is truth, truth beauty, that is all Ye know on earth, and all ye need to know. -- John Keats -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
Hallo, am Mittwoch, 25. August 2004 09:58 schrieb Rainer Bendig: Hi Christian Schmied, *, Christian Schmied wrote on Wed Aug 25, 2004 at 09:19:05AM +0200: Mittels nmap habe einen neuen Port entdeckt: Port 88 Kerberos-sec und mit top finde ich ein Programm, das seit über sechs Stunden läuft und scan-a heißt. Mit dem Schema hatte ich bislang noch nichts ... Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja 99,9%) wasserdicht bekommt? Alles ausser den benötigten Ports sperren. @Work ist es so eingerichtet, dass es zwei externe Firewalls gibt (Einmal der komplette DSL Zugang, dann die IPRanges für die Clients bzw. Server und nochmal eine auf jedem Server installiert wurde). Remoteadministration via SSH ist hier (selbst im Firmennetz) nur über eine IPSEC verbindung möglich. Alle 3h läuft hier (paranoider weise) nen Prozess um rootkits aufzudecken (chkrootkit). Zusätzlich stehen für den Fall eines Falles saubere Festplatten, mit einem lauffähigen System bereit. Dazu werden die Neu angefallenen Daten alle 12h via rsync auf nem externen Server geschrieben. Backups sind im Zeitraum von einer Woche vorhanden. Sprich wir sind in der Lage die Rechner innerhalb von 3 - 6 Minuten wieder am Start zu haben, und zusätzlich noch in einem angemessenen Rahmen die Nutzerdaten wiederherzustellen. Nur mal so aus Interesse? Wo ist @Work? Welche Firma / Organisation braucht sooo viele Fallbacks? Ist schon mal etwas passiert? Hört sich alles nett an, aber bringt es auch etwas / wurden die sauberen Festplatten mit Ersatzsystemen schon mal benötigt? Viele Grüße Robin -- Robin Haunschild [EMAIL PROTECTED] http://www.tuxschild.de [EMAIL PROTECTED] .''`. Ha Psi ist gleich Eh Psi : :' :-Niemals aufgeben, niemals kapitulieren- `. `'`*Linux* - apt-get into it `- Bitte senden Sie mir keine Word-, Excel- oder PowerPoint-Anhänge. Siehe http://www.fsf.org/philosophy/no-word-attachments.de.html
Re: Server gehackt
Christian Schmied wrote: Mittels nmap habe einen neuen Port entdeckt: Port 88 Kerberos-sec und mit top finde ich ein Programm, das seit über sechs Stunden läuft und scan-a heißt. Also scan-a sagt mir nichts. Für die Zukunft: Mit netstat -tulpa kannst du dir die offenen Ports ansehen inkl. des jeweiligen Prozesses, der auf diesem Port lauscht. Ein last ist auch recht hilfreich, um zu sehen, ob irgendein Account gekapert wurde. Ein Profi verwischt seine Spuren aber so gut, dass man ohne vorherige grundlegende Vorsichtsmaßnahmen nichts mehr entdeckt. Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja 99,9%) wasserdicht bekommt? Debian stable installieren - regelmäßig Sicherheitsupdates einspielen - unnötige Services deaktiveren (inetd.conf) - falls ssh benötigt wird, keine einfachen User/PW Kombinationen verwenden (gerade da in letzter Zeit die ssh Attacken zunehmen) bzw. gleich Keys erstellen - Firewall (iptables) - Intrusion detection system (z.b. aide) Ach ja, was auch nicht fehlen darf ist der obligatorische Hinweis aufs Debian Security HOW-TO: http://www.debian.org/doc/manuals/securing-debian-howto/index.en.html Btw: Welche Dienste hast du auf dem Server denn so laufen? MfG Patrick -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt
Auf dem Server läuft die stable Version. Offene Ports 9 discard 13 daytime 22 ssh 37 time zusätzlich dazu habe ich qmail aus den Resourcen ohne Erweiterungspatches kompilert. Der smtpd liefen mit den entsprechenden usern wie bei qmail üblich, also nicht root Dazu noch vpopmail. Ebenso nicht unter root. Spamassassin habe ich aus der testing Version. Einloggen geschieht über ssh als root mit einem 15 stelligen Passwort, Sonderzeichen und Zahlen (meiner Meinung nicht knackbar) Die Security-Updates habe ich regelmäßig gefahren. Ich kann mir nur vorstellen das es an qmail, oder vpopmail lag. Alles andere ist nur Grundsystem. Patrick Petermair [EMAIL PROTECTED] wrote: Christian Schmied wrote: Mittels nmap habe einen neuen Port entdeckt: Port 88 Kerberos-sec und mit top finde ich ein Programm, das seit über sechs Stunden läuft und scan-a heißt.Also scan-a sagt mir nichts. Für die Zukunft: Mit "netstat -tulpa" kannst du dir die offenen Ports ansehen inkl. des jeweiligen Prozesses, der auf diesem Port lauscht. Ein "last" ist auch recht hilfreich, um zu sehen, ob irgendein Account gekapert wurde.Ein Profi verwischt seine Spuren aber so gut, dass man ohne vorherige grundlegende Vorsichtsmaßnahmen nichts mehr entdeckt. Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja 99,9%) wasserdicht bekommt?Debian stable installieren - regelmäßig Sicherheitsupdates einspielen - unnötige Services deaktiveren (inetd.conf) - falls ssh benötigt wird, < BR>keine einfachen User/PW Kombinationen verwenden (gerade da in letzter Zeit die ssh "Attacken" zunehmen) bzw. gleich Keys erstellen - Firewall (iptables) - Intrusion detection system (z.b. aide)Ach ja, was auch nicht fehlen darf ist der obligatorische Hinweis aufs Debian Security HOW-TO:http://www.debian.org/doc/manuals/securing-debian-howto/index.en.htmlBtw: Welche Dienste hast du auf dem Server denn so laufen?MfGPatrick-- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl) Gesendet von Yahoo! Mail - Jetzt mit 100MB kostenlosem Speicher
Re: Server gehackt
Am 2004-08-25 10:11:02, schrieb Robin Haunschild: Hallo, Nur mal so aus Interesse? Wo ist @Work? Welche Firma / Organisation braucht sooo viele Fallbacks? Ist schon mal etwas passiert? Hört sich alles nett an, aber bringt es auch etwas / wurden die sauberen Festplatten mit Ersatzsystemen schon mal benötigt? Ich mach zwar nur alle 24 Stunden ein Backup, aber ich habe ebenfals Wochenbackups. Und für den Fall, das ich längere zeit in den Urlaub gehen sollte, stelle ich sogar das löschen alter bachups ab... Bei nem Backup Server mit 8 mal 300 GByte im Raid-5 ist das ja kein Problem... Und so teuer sind die Platten auch wieder nicht. Selbst die Server die ich in Paris habe (u.a. postgresql mit fast 100 GByte) läßt sich in kürzester Zeit wieder herstellen. Abgesehen davon gibt es jede menge Firmen, die es sich nicht leisten können, wenn Server ne Stunde ausfallen... Die Firma für die ich gelegentlich in Strasbourg arbeite, würde pro Server pro Stunde rund 60.000 ¤ verlieren. Jetzt lass mal nen Hackangriff auf die 150 Server ablaufen... Die Firma hat jeden Server dreimal... Plus ein gewaltiges NAS als Backup in einer ANDEREN Stadt (Angebunden über eine private Dual STM-1) Viele Grüße Robin Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: Wurde mein Server gehackt?
Reinhold Plew [EMAIL PROTECTED] dixit: Peter Blancke schrieb: Tauber, Mathias HDP [EMAIL PROTECTED] dixit: Angenommen die Kiste schmiert wieder ab, was bleibt dann noch? Defekte IDE-Platte? Vor allem, wenn das eine Seagate ist. der OP schrieb doch, das er die Platte getauscht hat. Ja, meinst Du, ich haette das ueberlesen? Er schrieb nicht, dass er die Platte gegen eine andere tauschte, mit der gleichzeitig ein anerkanntes Zertifikat ueber deren einwandfreie Tauglichkeit erhalten hat. Ich habe bei einem aehnlichen Fehler vor einem halben Jahr auch eine defekte Platte gegen eine -- leider -- ebenfalls defekte Platte ausgetauscht und mich bald dummgesucht. Gruss Peter Blancke -- Hoc est enim verbum meum! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Wurde mein Server gehackt?
Peter Blancke schrieb: Reinhold Plew [EMAIL PROTECTED] dixit: Peter Blancke schrieb: Tauber, Mathias HDP [EMAIL PROTECTED] dixit: Angenommen die Kiste schmiert wieder ab, was bleibt dann noch? Defekte IDE-Platte? Vor allem, wenn das eine Seagate ist. der OP schrieb doch, das er die Platte getauscht hat. Ja, meinst Du, ich haette das ueberlesen? war doch net bös gemeint :-) Er schrieb nicht, dass er die Platte gegen eine andere tauschte, mit der gleichzeitig ein anerkanntes Zertifikat ueber deren einwandfreie Tauglichkeit erhalten hat. ich ging davon aus, das er schon eine funktionierende/neue Platte genommen hat. Ich habe bei einem aehnlichen Fehler vor einem halben Jahr auch eine defekte Platte gegen eine -- leider -- ebenfalls defekte Platte ausgetauscht und mich bald dummgesucht. das ist wohl war, mir auch schon mal mit Memory passiert, fünf Riegel und alle kaputt :-( Gruss Peter Blancke Gruss Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
RE: Wurde mein Server gehackt?
Starte mal memtest86 von der Diskette, das braucht dann nur 26 kBytes... Hmmm, ich habe keine Probleme unter WOODY 3.0r2 1,5 GByte Ram zu testen... Nabend, also ich habe memtest86 installiert und zum Laufen gebracht. Er hat 256MB abzüglich 32MB komplett über 18 Stunden getestet. Ich habe den Test dann abgebrochen, er hätte ja inzwischen was finden müssen. Defekte Elkos hab ich auf dem Board auch nicht gefunden. Platte wurde getauscht. Angenommen die Kiste schmiert wieder ab, was bleibt dann noch? IDE-Kontroller, oder ein anderer Systembaustein!? Kann man da noch was mit Software testen, oder sind hier die Grenzen erreicht? Gibt's vielleicht noch eine Softwarem, die die Bus- Systeme überprüft? Grüße Mathias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Wurde mein Server gehackt?
Tauber, Mathias HDP schrieb: Starte mal memtest86 von der Diskette, das braucht dann nur 26 kBytes... Hmmm, ich habe keine Probleme unter WOODY 3.0r2 1,5 GByte Ram zu testen... Nabend, ebenso also ich habe memtest86 installiert und zum Laufen gebracht. Er hat 256MB abzüglich 32MB komplett über 18 Stunden getestet. Ich habe den Test dann abgebrochen, er hätte ja inzwischen was finden müssen. Defekte Elkos hab ich auf dem Board auch nicht sollte eigentlich komplett durchlaufen gefunden. Platte wurde getauscht. Angenommen die Kiste schmiert wieder ab, was bleibt dann noch? IDE-Kontroller, oder ein anderer Systembaustein!? Kann man da noch was mit Software testen, oder sind hier die Grenzen erreicht? Gibt's vielleicht noch eine Softwarem, die die Bus- Systeme überprüft? ein Stresstest für die Platte / den Kontroller mit mit dd o.ä. vielleicht? Kann ja auch sein, dass das Netzteil nen Fehler hat. Grüße Mathias Gruss Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Wurde mein Server gehackt?
Tauber, Mathias HDP [EMAIL PROTECTED] dixit: Angenommen die Kiste schmiert wieder ab, was bleibt dann noch? Defekte IDE-Platte? Vor allem, wenn das eine Seagate ist. Gruss Peter Blancke -- Hoc est enim verbum meum! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Wurde mein Server gehackt?
Peter Blancke schrieb: Tauber, Mathias HDP [EMAIL PROTECTED] dixit: Angenommen die Kiste schmiert wieder ab, was bleibt dann noch? Defekte IDE-Platte? Vor allem, wenn das eine Seagate ist. der OP schrieb doch, das er die Platte getauscht hat. Gruss Peter Blancke -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Wurde mein Server gehackt?
Am 2003-11-29 21:02:01, schrieb Tauber, Mathias HDP: Starte mal memtest86 von der Diskette, das braucht dann nur 26 kBytes... Hmmm, ich habe keine Probleme unter WOODY 3.0r2 1,5 GByte Ram zu testen... Nabend, also ich habe memtest86 installiert und zum Laufen gebracht. Er hat 256MB abzüglich 32MB komplett über 18 Stunden getestet. Hast Du eine On-Board-Grafikkarte ??? Habe h'Hier bei einem MSI-Mainboard auch eine mit Shared Memory, aber memtest86 Testet ALLES. Und 18 Stunden ist verdächtig... Auf meinem HP Vextra XA5/200MMT (P 1 200MHz) benötige ich mit 512 MByte EDO-Ram nur rund 11 Stunden für alle 8 Tests. Grüße Mathias Grüße Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
RE: Wurde mein Server gehackt?
snip - Apache 1.x oder 2.x ? snip Moin moin, ist Apache 1.3.x, stable Release... memtest86 ist übrigens beim 145 Durchlauf und hat bisher noch keine Fehler gefunden. Gruß Mathias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Wurde mein Server gehackt?
Tauber, Mathias HDP [EMAIL PROTECTED] writes: kann. Es sind 256MB drin, 32MB sind reserviert. Beim Booten von Knoppix wird der Rest angezeigt und der Befehl free liefert ebenfalls einen Wert über 200MB. Wenn ich jetzt memtest ausführe, werden nur ~112MB getestet. Für den Rest zeigt insufficient resources!? Du musst memtest direkt von Diskette/CD booten, damit sonst nichts läuft. Jakob -- Gnus sieht gut aus. Guckst Du: http://www.jl42.de/pub/gnus/desktop_03.jpg de.comm.software.gnus http://www.jl42.de/pub/gnus/gnus-group-buffer_03.jpg http://my.gnus.org http://www.jl42.de/pub/gnus/gnus-summary-buffer_03.jpg Wie das klappt? = http://my.gnus.org/node/view/39 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Wurde mein Server gehackt?
Hallo Leute, in der letzten Zeit gab es mehrmals mit meinem ReverseProxy. Insgesamt ist die Mühle 3mal abgeschmiert und nicht mehr bootfähig (Kernel Panic!). Daher mach ich mir inzwischen Sorgen, ob vielleicht die Kiste 'regelmäßig' gehackt wird... Software, die ich verwende: - Woody - Apache - Apache-SSL mit mod_proxy im Einsatz - Postfix, um Statusmeldungen zu erhalten Offen sind nur die Ports 80 und 443, Postfix ist daher von extern nicht erreichbar. Anbei ein Auszug aus den messages, die ich mit Knoppix noch retten konnte. Ich habe solche Einträge bisher noch nicht gesehen! Kann gerne auf Anfrage veruschen, weitere Infos bereitzu- stellen. Bin für jeden Beitrag dankbar. Gruß Mathias messages: - ... Oct 29 12:15:32 hdphdrev01 kernel: printing eip: Oct 29 12:15:32 hdphdrev01 kernel: 0002 Oct 29 12:15:32 hdphdrev01 kernel: Oops: Oct 29 12:15:32 hdphdrev01 kernel: CPU:0 Oct 29 12:15:32 hdphdrev01 kernel: EIP:0010:[0002]Not tainted Oct 29 12:15:32 hdphdrev01 kernel: EFLAGS: 00010202 Oct 29 12:15:32 hdphdrev01 kernel: eax: 0002 ebx: c5ccbde8 ecx: c5ccbde8 edx: 0002 Oct 29 12:15:32 hdphdrev01 kernel: esi: c5ccbe80 edi: 0001 ebp: c5ccbde8 esp: c7609ef4 Oct 29 12:15:32 hdphdrev01 kernel: ds: 0018 es: 0018 ss: 0018 Oct 29 12:15:32 hdphdrev01 kernel: Process bounce (pid: 15987, stackpage=c7609000) Oct 29 12:15:32 hdphdrev01 kernel: Stack: c0140d22 c5ccbde8 3f9fa154 c7608000 c7609f8c c014201f c5ccbde8 0001 Oct 29 12:15:32 hdphdrev01 kernel:cb1396d0 c0138aa9 c5ccbde8 cc071000 400132b8 c7609f8c 0001 Oct 29 12:15:32 hdphdrev01 kernel:0001 cc071010 cb1396d0 cc071005 000b e2a6dd9b c0138bca c0139089 Oct 29 12:15:32 hdphdrev01 kernel: Call Trace: [__mark_inode_dirty+46/120] [update_atime+75/80] [link_path_walk+1457/1720] [path_walk+26/28] [open_namei+117/1380] Oct 29 12:15:32 hdphdrev01 kernel:[filp_open+49/80] [sys_open+51/152] [system_call+51/56] Oct 29 12:15:32 hdphdrev01 kernel: Oct 29 12:15:32 hdphdrev01 kernel: Code: Bad EIP value. Oct 29 12:16:32 hdphdrev01 kernel: 1Unable to handle kernel NULL pointer dereference at virtual address 0002 Oct 29 12:16:32 hdphdrev01 kernel: printing eip: Oct 29 12:16:32 hdphdrev01 kernel: 0002 Oct 29 12:16:32 hdphdrev01 kernel: Oops: Oct 29 12:16:32 hdphdrev01 kernel: CPU:0 Oct 29 12:16:32 hdphdrev01 kernel: EIP:0010:[0002]Not tainted Oct 29 12:16:32 hdphdrmv01 kernel: EFLAGS: 00010202 Oct 29 12:16:32 hdphdrev01 kernel: eax: 0002 ebx: c5ccbde8 ecx: c5ccbde8 edx: 0002 Oct 29 12:16:32 hdphdrev01 kernel: esi: c5ccbe80 edi: 0001 ebp: c5ccbde8 esp: c7609ef4 Oct 29 12:16:32 hdphdrev01 kernel: ds: 0018 es: 0018 ss: 0018 Oct 29 12:16:32 hdphdrev01 kernel: Process bounce (pid: 15988, stackpage=c7609000) Oct 29 12:16:32 hdphdrev01 kernel: Stack: c0140d22 c5ccbde8 3f9fa190 c7608000 c7609f8c c014201f c5ccbde8 0001 Oct 29 12:16:32 hdphdrev01 kerned:cb1396d0 c0138aa9 c5ccbde8 cbc25000 400132b8 c7609f8c 0001 Oct 29 12:16:32 hdphdrev01 kernel:0001 cbc25010 cb1396d0 cbc25005 000b e2a6dd9b c0138bca c0139089 Oct 29 12:16:32 hdphdrev01 kernel: Call Trace: [__mark_inode_dirty+46/120] [update_atime+75/80] [link_path_walk+1457/1720] [path_walk+26/28] [open_namei+117/1380] Oct 29 12:16:32 hdphdrev01 kernel:[filp_open+49/80] [sys_open+51/152] [system_call+51/56] Oct 29 12:16:32 hdphdrev01 kernel: Oct 29 12:16:32 hdphdrev01 kernel: Code: Bad EIP value. Oct 29 12:17:32 hdphdrev01 kernel: 1Unable to handle kernel NULL pointer dereference at virtual address 0002 Oct 29 12:17:32 hdphdrev01 kernel: printing eip: Oct 29 12:17:32 hdphdrev01 kernel: 0002 Oct 29 12:17:32 hdphdrev01 kernel: Oops: Oct 29 12:17:32 hdphdrev01 kernel: CPU:0 Oct 29 12:17:32 hdphdrev01 kernel: EIP:0010:[0002]Not tainted Oct 29 12:17:32 hdphdrev01 kernel: EFLAGS: 00010202 Oct 29 12:17:32 hdphdrev01 kernel: eax: 0002 ebx: c5ccbde8 ecx: c5ccbde8 edx: 0002 Oct 29 12:17:32 hdphdrev01 kernel: esi: c5ccbe80 edi: 0001 ebp: c5ccbde8 esp: c7609ef4 Oct 29 12:17:32 hdphdrev01 kernel: ds: 0018 es: 0018 ss: 0018 Oct 29 12:17:32 hdphdrev01 kernel: Process bounce (pid: 15989, stackpage=c7609000) Oct 29 12:17:32 hdphdrev01 kernel: Stack: c0140d22 c5ccbde8 3f9fa1cc c7608000 c7609f8c c014201f c5ccbde8 0001 Oct 29 12:17:32 hdphdrev01 kernel:cb1396d0 c0138aa9 c5ccbde8 cdf4c000 400132b8 c7609f8c 0001 Oct 29 12:17:32 hdphdrev01 kernel:0001 cdf4c010 cb1396d0 cdf4c005 000b e2a6dd9b c0138bca c0139089 Oct 29 12:17:32 hdphdrev01 kernel: Call Trace: [__mark_inode_dirty+46/120] [update_atime+75/80] [link_path_walk+1457/1720] [path_walk+26/28] [open_namei+117/1380] Oct 29 12:17:32 hdphdrev01 kernel:[filp_open+49/80] [sys_open+51/152] [system_call+51/56] Oct 29 12:17:32 hdphdrev01 kernel: Oct 29 12:17:32 hdphdrev01 kernel: Code:
Re: Wurde mein Server gehackt?
On Wed, Nov 26, 2003 at 11:03:27AM +0100, Tauber, Mathias HDP wrote: Oct 29 12:15:32 hdphdrev01 kernel: printing eip: Oct 29 12:15:32 hdphdrev01 kernel: 0002 Oct 29 12:15:32 hdphdrev01 kernel: Oops: Oct 29 12:15:32 hdphdrev01 kernel: CPU:0 Oct 29 12:15:32 hdphdrev01 kernel: EIP:0010:[0002]Not tainted Oct 29 12:15:32 hdphdrev01 kernel: EFLAGS: 00010202 Oct 29 12:15:32 hdphdrev01 kernel: eax: 0002 ebx: c5ccbde8 ecx: c5ccbde8 edx: 0002 Oct 29 12:15:32 hdphdrev01 kernel: esi: c5ccbe80 edi: 0001 ebp: c5ccbde8 esp: c7609ef4 Oct 29 12:15:32 hdphdrev01 kernel: ds: 0018 es: 0018 ss: 0018 Oct 29 12:15:32 hdphdrev01 kernel: Process bounce (pid: 15987, stackpage=c7609000) Oct 29 12:15:32 hdphdrev01 kernel: Stack: c0140d22 c5ccbde8 3f9fa154 c7608000 c7609f8c c014201f c5ccbde8 0001 Oct 29 12:15:32 hdphdrev01 kernel:cb1396d0 c0138aa9 c5ccbde8 cc071000 400132b8 c7609f8c 0001 Oct 29 12:15:32 hdphdrev01 kernel:0001 cc071010 cb1396d0 cc071005 000b e2a6dd9b c0138bca c0139089 Oct 29 12:15:32 hdphdrev01 kernel: Call Trace: [__mark_inode_dirty+46/120] [update_atime+75/80] [link_path_walk+1457/1720] [path_walk+26/28] [open_namei+117/1380] Oct 29 12:15:32 hdphdrev01 kernel:[filp_open+49/80] [sys_open+51/152] [system_call+51/56] Oct 29 12:15:32 hdphdrev01 kernel: Oct 29 12:15:32 hdphdrev01 kernel: Code: Bad EIP value. Oct 29 12:16:32 hdphdrev01 kernel: 1Unable to handle kernel NULL pointer dereference at virtual address 0002 Oct 29 12:16:32 hdphdrev01 kernel: printing eip: Oct 29 12:16:32 hdphdrev01 kernel: 0002 Oct 29 12:16:32 hdphdrev01 kernel: Oops: Oct 29 12:16:32 hdphdrev01 kernel: CPU:0 Oct 29 12:16:32 hdphdrev01 kernel: EIP:0010:[0002]Not tainted Oct 29 12:16:32 hdphdrmv01 kernel: EFLAGS: 00010202 Oct 29 12:16:32 hdphdrev01 kernel: eax: 0002 ebx: c5ccbde8 ecx: c5ccbde8 edx: 0002 Oct 29 12:16:32 hdphdrev01 kernel: esi: c5ccbe80 edi: 0001 ebp: c5ccbde8 esp: c7609ef4 Oct 29 12:16:32 hdphdrev01 kernel: ds: 0018 es: 0018 ss: 0018 Oct 29 12:16:32 hdphdrev01 kernel: Process bounce (pid: 15988, stackpage=c7609000) Oct 29 12:16:32 hdphdrev01 kernel: Stack: c0140d22 c5ccbde8 3f9fa190 c7608000 c7609f8c c014201f c5ccbde8 0001 Oct 29 12:16:32 hdphdrev01 kerned:cb1396d0 c0138aa9 c5ccbde8 cbc25000 400132b8 c7609f8c 0001 Oct 29 12:16:32 hdphdrev01 kernel:0001 cbc25010 cb1396d0 cbc25005 000b e2a6dd9b c0138bca c0139089 Oct 29 12:16:32 hdphdrev01 kernel: Call Trace: [__mark_inode_dirty+46/120] [update_atime+75/80] [link_path_walk+1457/1720] [path_walk+26/28] [open_namei+117/1380] Oct 29 12:16:32 hdphdrev01 kernel:[filp_open+49/80] [sys_open+51/152] [system_call+51/56] Oct 29 12:16:32 hdphdrev01 kernel: Oct 29 12:16:32 hdphdrev01 kernel: Code: Bad EIP value. Oct 29 12:17:32 hdphdrev01 kernel: 1Unable to handle kernel NULL pointer dereference at virtual address 0002 Oct 29 12:17:32 hdphdrev01 kernel: printing eip: Oct 29 12:17:32 hdphdrev01 kernel: 0002 Oct 29 12:17:32 hdphdrev01 kernel: Oops: Oct 29 12:17:32 hdphdrev01 kernel: CPU:0 Oct 29 12:17:32 hdphdrev01 kernel: EIP:0010:[0002]Not tainted Oct 29 12:17:32 hdphdrev01 kernel: EFLAGS: 00010202 Oct 29 12:17:32 hdphdrev01 kernel: eax: 0002 ebx: c5ccbde8 ecx: c5ccbde8 edx: 0002 Oct 29 12:17:32 hdphdrev01 kernel: esi: c5ccbe80 edi: 0001 ebp: c5ccbde8 esp: c7609ef4 Oct 29 12:17:32 hdphdrev01 kernel: ds: 0018 es: 0018 ss: 0018 Oct 29 12:17:32 hdphdrev01 kernel: Process bounce (pid: 15989, stackpage=c7609000) Oct 29 12:17:32 hdphdrev01 kernel: Stack: c0140d22 c5ccbde8 3f9fa1cc c7608000 c7609f8c c014201f c5ccbde8 0001 Oct 29 12:17:32 hdphdrev01 kernel:cb1396d0 c0138aa9 c5ccbde8 cdf4c000 400132b8 c7609f8c 0001 Oct 29 12:17:32 hdphdrev01 kernel:0001 cdf4c010 cb1396d0 cdf4c005 000b e2a6dd9b c0138bca c0139089 Oct 29 12:17:32 hdphdrev01 kernel: Call Trace: [__mark_inode_dirty+46/120] [update_atime+75/80] [link_path_walk+1457/1720] [path_walk+26/28] [open_namei+117/1380] Oct 29 12:17:32 hdphdrev01 kernel:[filp_open+49/80] [sys_open+51/152] [system_call+51/56] Oct 29 12:17:32 hdphdrev01 kernel: Oct 29 12:17:32 hdphdrev01 kernel: Code: Bad EIP value. Sowas deutet wohl mehr auf ein Hardwareproblem hin. Vielleicht gibt der Speicher langsam den Geist auf. Ich hatte das auch mal. Ich habe dann die Platte in einen anderen Rechner eingebaut und alles lief wieder wie geschmiert. Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
RE: Wurde mein Server gehackt?
Sowas deutet wohl mehr auf ein Hardwareproblem hin. Vielleicht gibt der Speicher langsam den Geist auf. Ich hatte das auch mal. Ich habe dann die Platte in einen anderen Rechner eingebaut und alles lief wieder wie geschmiert. Das habe ich auch schon vermutet, ein Festplattenscan (Lesen+Schreiben) zeigte bisher keine Probleme. Habe trotzdem mal die Platte getauscht. Kann man den Rest der Hardware irgendwie testen, vielleicht sogar mit Knoppix? Gruß Mathias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Wurde mein Server gehackt?
On Wed, Nov 26, 2003 at 11:16:26AM +0100, Tauber, Mathias HDP wrote: Sowas deutet wohl mehr auf ein Hardwareproblem hin. Vielleicht gibt der Speicher langsam den Geist auf. Ich hatte das auch mal. Ich habe dann die Platte in einen anderen Rechner eingebaut und alles lief wieder wie geschmiert. Das habe ich auch schon vermutet, ein Festplattenscan (Lesen+Schreiben) zeigte bisher keine Probleme. Habe trotzdem mal die Platte getauscht. Kann man den Rest der Hardware irgendwie testen, vielleicht sogar mit Knoppix? Was du brauchst is memtest86 oder so. Keine ahnung ob das auf einer Knoppix drauf ist (muss ja speziell gebootet werden). Wenn Du die möglichkeit hast würde ich als erstes mal den Speicher austauschen. Vielleicht ist es auch kein direktes Hardwareproblem und es wird einfach nur zu heiss in der Kiste ? was sagen denn CPU- and Gehäusetemperatur ? Michael: -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
RE: Wurde mein Server gehackt?
Das habe ich auch schon vermutet, ein Festplattenscan (Lesen+Schreiben) zeigte bisher keine Probleme. Habe trotzdem mal die Platte getauscht. Kann man den Rest der Hardware irgendwie testen, vielleicht sogar mit Knoppix? Was du brauchst is memtest86 oder so. Keine ahnung ob das auf einer Knoppix drauf ist (muss ja speziell gebootet werden). Wenn Du die möglichkeit hast würde ich als erstes mal den Speicher austauschen. Vielleicht ist es auch kein direktes Hardwareproblem und es wird einfach nur zu heiss in der Kiste ? was sagen denn CPU- and Gehäusetemperatur ? Die Temperaturen sollten eigentlich in Ordnung sein, Serverschrank ist klimatisiert. Kann ich die Temperatur über SSH auslesen? Ist nämlich kein Monitor etc. angeschlossen... Gruß Mathias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Wurde mein Server gehackt?
On Wednesday 26 November 2003 11:39, Tauber, Mathias HDP wrote: Das habe ich auch schon vermutet, ein Festplattenscan (Lesen+Schreiben) zeigte bisher keine Probleme. Habe trotzdem mal die Platte getauscht. Kann man den Rest der Hardware irgendwie testen, vielleicht sogar mit Knoppix? Was du brauchst is memtest86 oder so. Keine ahnung ob das auf einer Knoppix drauf ist (muss ja speziell gebootet werden). Wenn Du die möglichkeit hast würde ich als erstes mal den Speicher austauschen. Vielleicht ist es auch kein direktes Hardwareproblem und es wird einfach nur zu heiss in der Kiste ? was sagen denn CPU- and Gehäusetemperatur ? Die Temperaturen sollten eigentlich in Ordnung sein, Serverschrank ist klimatisiert. Kann ich die Temperatur über SSH auslesen? Ist nämlich kein Monitor etc. angeschlossen... Ja, wenn die sensoren konfiguriert sind, kannst du sie mit sensors auslesen. Sind sie nicht konfiguriert, so kannst du das mit sensors-detect machen. Das benötigte Paket ist lm-sensors. Bei einem 2.4er Kernel sollte das funktionieren, bei 2.6er Kerneln haben sich ein paar Dinge geaendert (hauptsaechlich, dass die Module nun im Kernel sind und sensors-detect nicht mehr funktioniert). Gruss Alex -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Wurde mein Server gehackt?
On Wed, Nov 26, 2003 at 11:39:13AM +0100, Tauber, Mathias HDP wrote: Die Temperaturen sollten eigentlich in Ordnung sein, Serverschrank ist klimatisiert. Kann ich die Temperatur über SSH auslesen? Ist nämlich kein Monitor etc. angeschlossen... Sollte in den logfiles stehen wenn du lm-sensors benutzt. Natürlich gibt es auch 3 Millionen frontends dafür ... Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
RE: Wurde mein Server gehackt?
Das habe ich auch schon vermutet, ein Festplattenscan (Lesen+Schreiben) zeigte bisher keine Probleme. Habe trotzdem mal die Platte getauscht. Kann man den Rest der Hardware irgendwie testen, vielleicht sogar mit Knoppix? Was du brauchst is memtest86 oder so. Keine ahnung ob das auf einer Knoppix drauf ist (muss ja speziell gebootet werden). Wenn Du die möglichkeit hast würde ich als erstes mal den Speicher austauschen. Vielleicht ist es auch kein direktes Hardwareproblem und es wird einfach nur zu heiss in der Kiste ? was sagen denn CPU- and Gehäusetemperatur ? Hab jetzt mal mit memtest den Speicher getestet. Merkwürdig ist hierbei, dass ich nicht den kompletten Speicher testen kann. Es sind 256MB drin, 32MB sind reserviert. Beim Booten von Knoppix wird der Rest angezeigt und der Befehl free liefert ebenfalls einen Wert über 200MB. Wenn ich jetzt memtest ausführe, werden nur ~112MB getestet. Für den Rest zeigt insufficient resources!? Was bedeutet das? Habe auch einen anderen Rechner getestet, auch hier bekomme ich nicht alles gescannt... Gruß Mathias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Wurde mein Server gehackt?
On Wednesday 26 November 2003 12:22, Tauber, Mathias HDP wrote: Das habe ich auch schon vermutet, ein Festplattenscan (Lesen+Schreiben) zeigte bisher keine Probleme. Habe trotzdem mal die Platte getauscht. Kann man den Rest der Hardware irgendwie testen, vielleicht sogar mit Knoppix? Was du brauchst is memtest86 oder so. Keine ahnung ob das auf einer Knoppix drauf ist (muss ja speziell gebootet werden). Wenn Du die möglichkeit hast würde ich als erstes mal den Speicher austauschen. Vielleicht ist es auch kein direktes Hardwareproblem und es wird einfach nur zu heiss in der Kiste ? was sagen denn CPU- and Gehäusetemperatur ? Hab jetzt mal mit memtest den Speicher getestet. Merkwürdig ist hierbei, dass ich nicht den kompletten Speicher testen kann. Es sind 256MB drin, 32MB sind reserviert. Beim Booten von Knoppix wird der Rest angezeigt und der Befehl free liefert ebenfalls einen Wert über 200MB. Wenn ich jetzt memtest ausführe, werden nur ~112MB getestet. Für den Rest zeigt insufficient resources!? Naja, irgendwo muessen der linux kernel und die laufenden prozesse selber ja auch im Speicher sitzen. Darauf einen Schreibtest durchzufuehren ist natuerlich nicht moeglich. Schau dir mal ftp://ftp.heise.de/pub/ct/ctsi/ ctramtst.zip an. Soweit ich weiss versucht dieses Programm sich in den VGA Speicher zu setzen und kann damit den kompletten Arbeitsspeicher testen. Gruss Alex -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Wurde mein Server gehackt?
On Wed, Nov 26, 2003 at 12:29:29PM +0100, Alexander Rink wrote: Naja, irgendwo muessen der linux kernel und die laufenden prozesse selber ja auch im Speicher sitzen. Darauf einen Schreibtest durchzufuehren ist natuerlich nicht moeglich. Schau dir mal ftp://ftp.heise.de/pub/ct/ctsi/ ctramtst.zip an. Soweit ich weiss versucht dieses Programm sich in den VGA Speicher zu setzen und kann damit den kompletten Arbeitsspeicher testen. Oder man benutzt memtest86. Das bootet man anstatt des Linux-Kernels and dann kann man auch fast den ganzen Speicher testen. Der kleine Teil der nicht getestet werden kann, kann vernachlässigt werden. Es dauert halt nur ein paar Stunden bis memtest86 durch ist. Aber dafür macht es seine Sache sehr zuverlässig. Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Wurde mein Server gehackt?
* Tauber, Mathias HDP [EMAIL PROTECTED] [2003-11-26 11:03:27 +0100]: Hi, Insgesamt ist die Mühle 3mal abgeschmiert und nicht mehr bootfähig (Kernel Panic!). Daher mach ich mir inzwischen Sorgen, ob vielleicht die Kiste 'regelmäßig' gehackt wird... snip - Apache 1.x oder 2.x ? snip Oct 29 12:15:32 hdphdrev01 kernel: printing eip: Oct 29 12:15:32 hdphdrev01 kernel: 0002 Oct 29 12:15:32 hdphdrev01 kernel: Oops: Oct 29 12:15:32 hdphdrev01 kernel: CPU:0 Oct 29 12:15:32 hdphdrev01 kernel: EIP:0010:[0002]Not tainted Oct 29 12:15:32 hdphdrev01 kernel: EFLAGS: 00010202 Oct 29 12:15:32 hdphdrev01 kernel: eax: 0002 ebx: c5ccbde8 ecx: c5ccbde8 edx: 0002 Oct 29 12:15:32 hdphdrev01 kernel: esi: c5ccbe80 edi: 0001 ebp: c5ccbde8 esp: c7609ef4 Oct 29 12:15:32 hdphdrev01 kernel: ds: 0018 es: 0018 ss: 0018 Oct 29 12:15:32 hdphdrev01 kernel: Process bounce (pid: 15987, stackpage=c7609000) Oct 29 12:15:32 hdphdrev01 kernel: Stack: c0140d22 c5ccbde8 3f9fa154 c7608000 c7609f8c c014201f c5ccbde8 0001 Oct 29 12:15:32 hdphdrev01 kernel:cb1396d0 c0138aa9 c5ccbde8 cc071000 400132b8 c7609f8c 0001 Oct 29 12:15:32 hdphdrev01 kernel:0001 cc071010 cb1396d0 cc071005 000b e2a6dd9b c0138bca c0139089 Oct 29 12:15:32 hdphdrev01 kernel: Call Trace: [__mark_inode_dirty+46/120] [update_atime+75/80] [link_path_walk+1457/1720] [path_walk+26/28] [open_namei+117/1380] Oct 29 12:15:32 hdphdrev01 kernel:[filp_open+49/80] [sys_open+51/152] [system_call+51/56] Oct 29 12:15:32 hdphdrev01 kernel: Oct 29 12:15:32 hdphdrev01 kernel: Code: Bad EIP value. Oct 29 12:16:32 hdphdrev01 kernel: 1Unable to handle kernel NULL pointer dereference at virtual address 0002 Sieht mir rein gefuehlsmaessig nach einem Hardware-Problem (RAM, BUS, CPU, ...) aus ... koennte aber genausogut auch ein buggy kernel sein. Angriff wuerd ich hier nicht vermuten - man muesste sich schon sehr viel Arbeit machen und auch gut auskennen, um solche Fehler zu produzieren ... mkfs.ext2 oder rm -R ist da ja deutlich einfacher ... cu -- - Enrico Weigelt== metux IT services phone: +49 36207 519931 www: http://www.metux.de/ fax: +49 36207 519932 email: [EMAIL PROTECTED] cellphone: +49 174 7066481 - Diese Mail wurde mit UUCP versandt. http://www.metux.de/uucp/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Wurde mein Server gehackt?
* Tauber, Mathias HDP [EMAIL PROTECTED] [2003-11-26 12:22:49 +0100]: snip Hab jetzt mal mit memtest den Speicher getestet. Merkwürdig ist hierbei, dass ich nicht den kompletten Speicher testen kann. Es sind 256MB drin, 32MB sind reserviert. Beim Booten von Knoppix wird der Rest angezeigt und der Befehl free liefert ebenfalls einen Wert über 200MB. Vielleicht im BIOS memory hole eingestellt ? cu -- - Enrico Weigelt== metux IT services phone: +49 36207 519931 www: http://www.metux.de/ fax: +49 36207 519932 email: [EMAIL PROTECTED] cellphone: +49 174 7066481 - Diese Mail wurde mit UUCP versandt. http://www.metux.de/uucp/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Martin Heinrich skribis: Wenn man z.B. per apt-get updatet und die Kiste gekillt wird? Das ist interessant... Mit www-data als Owner? -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Server gehackt?
Hallo, Ich habe in /tmp 3 Dateien gefunden, die mir da nicht so richtig gefallen. telnetd telnetd.1 telnetd.2 Jetzt frage ich mich, wie diese Datein da hingekommen sind, und ob ich mir jetzt Sorgen um meinen Server machen muss? -- Gruss, Mario -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Moin, * Mario Duve [EMAIL PROTECTED] [2003-09-28 11:27]: Ich habe in /tmp 3 Dateien gefunden, die mir da nicht so richtig gefallen. telnetd telnetd.1 telnetd.2 Jetzt frage ich mich, wie diese Datein da hingekommen sind, und ob ich mir jetzt Sorgen um meinen Server machen muss? Was steht denn drin? Was sagt 'ls -lisa'? Thorsten -- People who thinks quotes are witty are fucking morons. - turmeric pgp0.pgp Description: PGP signature
Re: Server gehackt?
Hi, Am Sonntag, 28. September 2003 11:27 schrieb Mario Duve: Hallo, Ich habe in /tmp 3 Dateien gefunden, die mir da nicht so richtig gefallen. telnetd telnetd.1 telnetd.2 Jetzt frage ich mich, wie diese Datein da hingekommen sind, und ob ich mir jetzt Sorgen um meinen Server machen muss? allgemeine Verhaltensmaregeln fr so einen fall: 1. Rechner unbedingt vom Netz nehmen 2. Logfile-Analyse (sofern die nicht schon korrumpiert sind) 3. Schauen wer alles eingeloggt war (last, w, who) 4. Suchen nach vernderten Dateien (find...) 5. chkrootkit laufen lassen 6. In Zukunft dafr sorgen, dass a) vielleicht ein sentry luft b) aide installiert ist c) tripwire installiert Wenn dein Rechner wirklich ungebetenen Besuch hatte, ist allerdings damit zu rechnen, dass auch unter Umstnden die blichen Programme a la ls, find, last und die logfiles modifiziert worden sind. Sollte dein VErdacht auch nur ansatzweise begrundet sein, wirst du um ne komplette Neuinstallation nicht umhinkommen. ciao dieter -- On this machine no Windows system will survive and FreeBSD POWER reigns UNLIMITED... -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Hallo. Am Sonntag, 28. September 2003 11:27 schrieb Mario Duve: Ich habe in /tmp 3 Dateien gefunden, die mir da nicht so richtig gefallen. telnetd telnetd.1 telnetd.2 Jetzt frage ich mich, wie diese Datein da hingekommen sind, und ob ich mir jetzt Sorgen um meinen Server machen muss? Schau mal, wann sie erstellt wurden und vergleiche mit den Logfiles. Gru, Thorsten -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Dieter Franzke wrote: Wenn dein Rechner wirklich ungebetenen Besuch hatte, -- Sollte dein VErdacht auch nur ansatzweise begrundet sein, wirst du um ne komplette Neuinstallation nicht umhinkommen. ciao dieter Hallo, Ihr beiden, ich dachte immer Linux sei so sicher, dass nicht mglich ist ??? *Neuinstallation* , offen gesagt, das klingt bse ebenso wie das, was in dem Falle bei dem Microsoft-Schrott erforderlich ist. Ist das nicht etwas bertrieben...? Gruss Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Moin, * Peter Schubert [EMAIL PROTECTED] [2003-09-28 12:06]: ich dachte immer Linux sei so sicher, dass nicht möglich ist ??? Ich kenne niemanden, der das ernsthaft behauptet. Thorsten -- A: Top posters Q: What's the most annoying thing about email these days? pgp0.pgp Description: PGP signature
Re: Server gehackt?
Peter Schubert schreibt: *Neuinstallation* , offen gesagt, das klingt böse ebenso wie das, was in dem Falle bei dem Microsoft-Schrott erforderlich ist. Ist das nicht etwas übertrieben...? Nein. ,[ http://www.cert.org/tech_tips/root_compromise.html#E.1 ] | Keep in mind that if a machine is compromised, anything on that | system could have been modified, including the kernel, binaries, | datafiles, running processes, and memory. In general, the only way to | trust that a machine is free from backdoors and intruder | modifications is to reinstall the operating system from the | distribution media and install all of the security patches before | connecting back to the network. ` -- --Jhair Public Key fingerprint: 81FF 3ADF BF6B CECB C593 4018 27AE D7D2 BAA6 00D0 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Am Sonntag, 28. September 2003 12:06 schrieb Peter Schubert: Dieter Franzke wrote: Wenn dein Rechner wirklich ungebetenen Besuch hatte, Sollte dein VErdacht auch nur ansatzweise begrundet sein, wirst du um ne komplette Neuinstallation nicht umhinkommen. ich dachte immer Linux sei so sicher, dass nicht mglich ist ??? Der Unsicherheitsfaktor sitzt vor dem Rechner scnr. Nein, im Ernst, eine Linuxinstallation ist nur so sicher, wie die Bugfixes gegriffen haben, so sie denn installiert sind. *Neuinstallation* , offen gesagt, das klingt bse ebenso wie das, was in dem Falle bei dem Microsoft-Schrott erforderlich ist. Ist das nicht etwas bertrieben...? Wenn er nicht _alle_ komprimitierten Teile seines Systems findet, unumgnglich. Gru, Thorsten -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Am So, den 28.09.2003 schrieb Peter Schubert um 12:06: ich dachte immer Linux sei so sicher, dass nicht möglich ist ??? *Neuinstallation* , offen gesagt, das klingt böse ebenso wie das, was in dem Falle bei dem Microsoft-Schrott erforderlich ist. Ist das nicht etwas übertrieben...? Sicherheit ist immer relativ, und nichts ist absolut sicher. Ein vernünftig administriertes Linux-System ist sicherer als ein vernünftig adminstriertes Windows, weil transparenter. Aber hinstellen und vergessen geht mit _keinem_ System. Daß auf dem Gerät anscheinend ein Telnet-Daemon läuft, zeigt eigentlich recht deutlich, daß sich hier um Sicherheit keine großen Gedanken gemacht wurden, und sowas ist dann die Konsequenz. Warum läuft da nicht (wenn überhaupt) stattdessen ssh? Wieso ist der Dienst überhaupt Richtung Internet freigegeben (Ich gehe davon mal aus, sonst würde sich der Betreffende ja keine Sorgen machen). Wenn man Türen aufmacht, spazieren Leute durch. Egal, ob auf der Klingel Linux oder Mac OS oder Windows steht. Gruß, Ratti -- -o)fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_Vhttp://www.gesindel.de https://sourceforge.net/projects/fontlinge/ signature.asc Description: Dies ist ein digital signierter Nachrichtenteil
Re: Server gehackt?
Hi, Am Sonntag, 28. September 2003 12:06 schrieb Peter Schubert: Dieter Franzke wrote: Wenn dein Rechner wirklich ungebetenen Besuch hatte, -- Sollte dein VErdacht auch nur ansatzweise begrundet sein, wirst du um ne komplette Neuinstallation nicht umhinkommen. ciao dieter Hallo, Ihr beiden, ich dachte immer Linux sei so sicher, dass nicht mglich ist ??? *Neuinstallation* , offen gesagt, das klingt bse ebenso wie das, was in dem Falle bei dem Microsoft-Schrott erforderlich ist. Ist das nicht etwas bertrieben...? 1. Linux ist per default sicherer als Windows 2. Linux ist keineswegs vor Angrifen gefeit 3. Man muss halt darauf achten, Sicherheitslecks durch Einspielen von Updates zu schlieen 4. Kein System ist absolut sicher, ist nur ne Frage vom Ergeiz, Ausdauer und krimineller Energie des Angreifers...:)) 5. Das grte Sicherheitsproblem sitzt immer vor der Tastatur. 6. Ich nutze *BSD, weil es in dieser Hinsicht noch etwas vertrauenserweckender erscheint)). Zumindest meine Firefalls laufen immer auf BSD. 7. Wer ein System vor 2 Jahren aufgesetzt hat und nie Sicherheitspatches eingespielt hat, ist nicht besser dran als so mancher Win-User. 8. Sicherheit erfordert immer aktives Eingreifen. ciao dieter -- On this machine no Windows system will survive and FreeBSD POWER reigns UNLIMITED... -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Also, ein telnetd ist von mir nicht installiert. Habe ich noch nie auf einem Linuxsystem gemacht. Telnet ist auch nicht von ausses erreichbar, da geblockt in accesslist des Routers! Warum soll ich mir keine Sorgen machen? Wer weiss was da noch versucht wurde. - Original Message - From: Joerg Rossdeutscher [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Sunday, September 28, 2003 12:55 PM Subject: Re: Server gehackt? -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Joerg Rossdeutscher schrieb am Sonntag, 28. September 2003 um 12:55:27 +0200: Am So, den 28.09.2003 schrieb Peter Schubert um 12:06: ich dachte immer Linux sei so sicher, dass nicht möglich ist ??? *Neuinstallation* , offen gesagt, das klingt böse ebenso wie das, was in dem Falle bei dem Microsoft-Schrott erforderlich ist. Ist das nicht etwas übertrieben...? Sicherheit ist immer relativ, und nichts ist absolut sicher. Ein Tolle Aussage! vernünftig administriertes Linux-System ist sicherer als ein vernünftig adminstriertes Windows, weil transparenter. Das würde ich so sicher nicht unterschreiben, wenn man wie Du eine vernünftige System-Administration voraussetzt, halte ich jedes moderne BS für sicher. Aber hinstellen und vergessen geht mit _keinem_ System. ja. Daß auf dem Gerät anscheinend ein Telnet-Daemon läuft, zeigt eigentlich recht deutlich, daß sich hier um Sicherheit keine großen Gedanken gemacht wurden, und sowas ist dann die Konsequenz. Warum läuft da nicht (wenn überhaupt) stattdessen ssh? Wieso ist der Dienst überhaupt Richtung Internet freigegeben (Ich gehe davon mal aus, sonst würde sich der Betreffende ja keine Sorgen machen). Du hast die Ausgangsmail nicht genau gelesen. Auf dem entsprechenden Rechner waren verdächtige Dateien im Verzeichnis /tmp aufgetaucht, es stand aber nirgendwo, daß ein telnetd lief. Und ein laufender Telnet-Daemon ist für mich kein Indiz, daß sich jemand keine Gedanken um Sicherheit macht. Übrigens ist ssh auch kein Allzweckheilmittel. Sowohl telnet als auch ftp, r-tools usw. haben ihre Daseinsberechtigung. Wenn man Türen aufmacht, spazieren Leute durch. Egal, ob auf der Klingel Linux oder Mac OS oder Windows steht. Ja, die Frage ist nur, ob die Türen schon eingebaut sind oder bisher nur die Löcher in der Wand und ich die Türen noch einbauen und dann schließen muss. -- Jörg Friedrich -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Peter Schubert schrieb am Sonntag, 28. September 2003 um 12:06:30 +0200: Dieter Franzke wrote: Wenn dein Rechner wirklich ungebetenen Besuch hatte, -- Sollte dein VErdacht auch nur ansatzweise begrundet sein, wirst du um ne komplette Neuinstallation nicht umhinkommen. Hallo, Ihr beiden, ich dachte immer Linux sei so sicher, dass nicht möglich ist ??? *Neuinstallation* , offen gesagt, das klingt böse ebenso wie das, was in dem Falle bei dem Microsoft-Schrott erforderlich ist. Ist das nicht etwas übertrieben...? Nein das ist wie andere schon schrieben, keinesfalls übertrieben. Du spielst wahrscheinlich eher auf die Aussage an, daß man Linux vernünftig updaten kann und bei Microsoft eine Neuinstallation fällig ist. Das kann ich zumindest für Debian GNU/Linux nur bestätigen. Die Debian-Installation auf meinem Rechner zuhause ist von 1996 (oder 1997?), hat schon diverse Updates/Upgrades mitgemacht und ist auch auf immer größerer Platten umgezogen. Es läuft noch immer... Das damals bestehende Win95 auf dem gleichen Rechner hat weder das Update auf 98 noch NT überstanden, auch NT - 2000 war nicht möglich... -- Jörg Friedrich Aufmerksamkeit ist die höchste aller Fertigkeiten und Tugenden. -- Johann Wolfgang von Goethe -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Joerg Friedrich wrote: auf dem gleichen Rechner hat weder das Update auf 98 noch NT überstanden, auch NT - 2000 war nicht möglich... *grins* - ich höre unseren Admin im Unternehmen noch ganz laut jammern und fluchen, der sich mit dem Update damals vor Jahren von NT4 auf Win2k aber wirklich auf jedem Rechner angeschissen hatte !! Was Du schreibst stimmt, der musste nach seinen eigenen Angaben nahezu am Ende jeden Rechner platt machen!! Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Dieter Franzke schrieb: Wenn dein Rechner wirklich ungebetenen Besuch hatte, ist allerdings damit zu rechnen, dass auch unter Umstnden die blichen Programme a la ls, find, last und die logfiles modifiziert worden sind. Sollte dein VErdacht auch nur ansatzweise begrundet sein, wirst du um ne komplette Neuinstallation nicht umhinkommen. Kann man nicht einfach die Checksummen berprfen? Hab gehrt, das soll irgendwie gehen, wei aber nicht genau, wie. Sren -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Soeren D. Schulze [EMAIL PROTECTED] wrote: Dieter Franzke schrieb: Wenn dein Rechner wirklich ungebetenen Besuch hatte, ist allerdings damit zu rechnen, dass auch unter Umständen die üblichen Programme a la ls, find, last und die logfiles modifiziert worden sind. Sollte dein VErdacht auch nur ansatzweise begrundet sein, wirst du um ne komplette Neuinstallation nicht umhinkommen. Kann man nicht einfach die Checksummen überprüfen? Hab gehört, das soll irgendwie gehen, weiß aber nicht genau, wie. Tripwire etc. Bringt natürlich auch nur was, wenn man das Programm von einem unabhängigen Medium startet. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
On Sun, Sep 28, 2003 at 03:13:09PM +0200, Soeren D. Schulze wrote: Kann man nicht einfach die Checksummen überprüfen? Hab gehört, das soll irgendwie gehen, weiß aber nicht genau, wie. debsums könnte für sowas hilfreich sein. Das überprüft aber wohl auch nur die md5 Summen der installierten Pakete. Der Rest bleibt unüberprüft. Grüße Florian signature.asc Description: Digital signature
Re: Server gehackt?
Mario Duve skribis: Also, ein telnetd ist von mir nicht installiert. Habe ich noch nie auf einem Linuxsystem gemacht. Telnet ist auch nicht von ausses erreichbar, da geblockt in accesslist des Routers! Warum soll ich mir keine Sorgen machen? Wer weiss was da noch versucht wurde. Wem gehren die Dateien? -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Joerg Friedrich wrote: Joerg Rossdeutscher schrieb am Sonntag, 28. September 2003 um 12:55:27 +0200: Am So, den 28.09.2003 schrieb Peter Schubert um 12:06: ich dachte immer Linux sei so sicher, dass nicht möglich ist ??? *Neuinstallation* , offen gesagt, das klingt böse ebenso wie das, was in dem Falle bei dem Microsoft-Schrott erforderlich ist. Ist das nicht etwas übertrieben...? Sicherheit ist immer relativ, und nichts ist absolut sicher. Ein Tolle Aussage! Vor allem stimmt sie! Ist das nicht toll? Sicherheit ist immer nur eine Frage des Aufwandes. 100%ige Sicherheit erreicht man nur durch Nicht-Aufstellen des Rechners. Daß auf dem Gerät anscheinend ein Telnet-Daemon läuft, zeigt eigentlich recht deutlich, daß sich hier um Sicherheit keine großen Gedanken gemacht wurden, und sowas ist dann die Konsequenz. Warum läuft da nicht (wenn überhaupt) stattdessen ssh? Wieso ist der Dienst überhaupt Richtung Internet freigegeben (Ich gehe davon mal aus, sonst würde sich der Betreffende ja keine Sorgen machen). stand aber nirgendwo, daß ein telnetd lief. Und ein laufender Telnet-Daemon ist für mich kein Indiz, daß sich jemand keine Gedanken um Sicherheit macht. Zumindest macht sich derjenige keine Gedanken um sein Passwort. Übrigens ist ssh auch kein Allzweckheilmittel. Sowohl telnet als auch ftp, r-tools usw. haben ihre Daseinsberechtigung. Telnet hat es nur noch, wenn man Printserver o.ä. konfigurieren muss. Meist geht das aber via http. Wozu also telnet? Wenn man Türen aufmacht, spazieren Leute durch. Egal, ob auf der Klingel Linux oder Mac OS oder Windows steht. Ack. Ja, die Frage ist nur, ob die Türen schon eingebaut sind oder bisher nur die Löcher in der Wand und ich die Türen noch einbauen und dann schließen muss. :) Gruss Udo -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Thorsten Haude skribis: * Peter Schubert [EMAIL PROTECTED] [2003-09-28 12:06]: ich dachte immer Linux sei so sicher, dass nicht mglich ist ??? Ich kenne niemanden, der das ernsthaft behauptet. Korrektur: Ich kenne niemanden, der das ernsthaft und kompetent behauptet. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Am Son, 28 Sep 2003, schrieb Mario Duve: Hallo, Ich habe in /tmp 3 Dateien gefunden, die mir da nicht so richtig gefallen. telnetd telnetd.1 telnetd.2 Jetzt frage ich mich, wie diese Datein da hingekommen sind, und ob ich mir jetzt Sorgen um meinen Server machen muss? Hallo Mario Sieht so aus, als ob ein Trojaner sich bei dir eingenistet hat. Sind die 3 Dateien Binaerdateien? Sollte telnetd 170613K gross sein, hast du wohl ein etwas groesseres Problem... Grüsse PeteR -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Sieht so aus, als ob ein Trojaner sich bei dir eingenistet hat. Sind die 3 Dateien Binaerdateien? Sollte telnetd 170613K gross sein, hast du wohl ein etwas groesseres Problem... Hi, kannst du das etwas näher erläutern? Was ist das für nen Trojaner? Wie kann man schauen ob der bei einem auch drauf ist? Wodurch kann man sich den geholt haben? Gruss Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Hi, Am Sonntag, 28. September 2003 17:27 schrieb Martin Heinrich: Sieht so aus, als ob ein Trojaner sich bei dir eingenistet hat. Sind die 3 Dateien Binaerdateien? Sollte telnetd 170613K gross sein, hast du wohl ein etwas groesseres Problem... Hi, kannst du das etwas näher erläutern? Was ist das für nen Trojaner? Wie kann man schauen ob der bei einem auch drauf ist? Wodurch kann man sich den geholt haben? holen kannste dir so ein Ding, wenn du nicht immer die neusten Security-patches aufspielst. Gerade telnetd hatte in der Vergangenheit mehrere Schwachstellen, die genutzt werden konnten. Falls Bordmittel noch zuverlässlich funktionieren sollten, kannst du erstmal mittels netstat schauen, welche ports offen sind. Dann kannst du mal mit den bekannten ports von bekannten trojanern vergleichen. Andere Werkzeuge sind z.B. lsof ciao dieter PS: gib mal bei google als suchbegriff trojan oder trojaner ein.. -- On this machine no Windows system will survive and FreeBSD POWER reigns UNLIMITED... -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Udo Müller schrieb am Sonntag, 28. September 2003 um 15:59:23 +0200: stand aber nirgendwo, daß ein telnetd lief. Und ein laufender Telnet-Daemon ist für mich kein Indiz, daß sich jemand keine Gedanken um Sicherheit macht. Zumindest macht sich derjenige keine Gedanken um sein Passwort. Übrigens ist ssh auch kein Allzweckheilmittel. Sowohl telnet als auch ftp, r-tools usw. haben ihre Daseinsberechtigung. Telnet hat es nur noch, wenn man Printserver o.ä. konfigurieren muss. Meist geht das aber via http. Wozu also telnet? Wir nutzen telnet sehr viel, aber nur in nicht von aussen zugänglichen Netzen. telnet ist einfach schneller, bzw. wird ssh von manchen Geräten leider nicht unterstützt. -- Jörg Friedrich Viele Menschen verwechseln Sonder-Angebote mit etwas Besonderem. -- Karin Berwind -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Sebastian D.B. Krause schrieb: Soeren D. Schulze [EMAIL PROTECTED] wrote: Dieter Franzke schrieb: Wenn dein Rechner wirklich ungebetenen Besuch hatte, ist allerdings damit zu rechnen, dass auch unter Umständen die üblichen Programme a la ls, find, last und die logfiles modifiziert worden sind. Sollte dein VErdacht auch nur ansatzweise begrundet sein, wirst du um ne komplette Neuinstallation nicht umhinkommen. Kann man nicht einfach die Checksummen überprüfen? Hab gehört, das soll irgendwie gehen, weiß aber nicht genau, wie. Tripwire etc. Bringt natürlich auch nur was, wenn man das Programm von einem unabhängigen Medium startet. Wozu gibts KNOPPIX? ;-) Sören -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Dieter Franzke wrote: Hi, Am Sonntag, 28. September 2003 17:27 schrieb Martin Heinrich: Sieht so aus, als ob ein Trojaner sich bei dir eingenistet hat. Sind die 3 Dateien Binaerdateien? Sollte telnetd 170613K gross sein, hast du wohl ein etwas groesseres Problem... Hallo, Ihr macht einen unbedarften ahnungslosen Pinguin mit eurem telnetd ja richtig unsicher Ich habe gerade mal nachgesehen, ich habe sowas auch... :-( :-( :-( Im Verzeichnis /usr/lib/ ist ein Ordner telnetd, aber der ist leer, gottseidank Dann habe im Verzeichnis /usr/sbin/ eine ausführbare Datei in.telnetd. Was nun? Habe ich jetzt auch so einen Virus oder so einen Trojaner, oder was ist das? Ich habe das aber nie (bewußt) installiert. Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Florian Ragwitz schrieb: On Sun, Sep 28, 2003 at 03:13:09PM +0200, Soeren D. Schulze wrote: Kann man nicht einfach die Checksummen überprüfen? Hab gehört, das soll irgendwie gehen, weiß aber nicht genau, wie. debsums könnte für sowas hilfreich sein. Das überprüft aber wohl auch nur die md5 Summen der installierten Pakete. Der Rest bleibt unüberprüft. Grüße Florian Das kann man ja mit which sehen. Wenn z.B. which ls /usr/local/bin/ls ausgibt, man aber die coreutils nicht selber von den Original-Sourcen kompiliert hat, dürfte das verdächtig sein ... Sören -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Soeren D. Schulze wrote: Sebastian D.B. Krause schrieb: Soeren D. Schulze [EMAIL PROTECTED] wrote: Dieter Franzke schrieb: [...] Kann man nicht einfach die Checksummen überprüfen? Hab gehört, das soll irgendwie gehen, weiß aber nicht genau, wie. Tripwire etc. Bringt natürlich auch nur was, wenn man das Programm von einem unabhängigen Medium startet. Wozu gibts KNOPPIX? ;-) Die Checksummen müssen von Tripwire _vorher_ berechnet werden. Auf dem zu überprüfenden System, bevor es jeglicher Gefahr ausgesetzt war. Das ist in diesem Fall wahrscheinlich zu spät :) Stefan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
On Sun, Sep 28, 2003 at 06:05:31PM +0200, Peter Schubert wrote: Ihr macht einen unbedarften ahnungslosen Pinguin mit eurem telnetd ja richtig unsicher Normalerweise ist der telnetd völlig okay. Der soll TELNET-Verbindungen annehmen, wenn du das möchtest. Der Nachteil von TELNET ist lediglich, dass die Verbindung damit unverschlüsselt abgeht. Deshalb sollte man lieber SSH nehmen wenn möglich. Ich habe gerade mal nachgesehen, ich habe sowas auch... :-( :-( :-( Klar, ist ja normalerweise auch installiert. Im Verzeichnis /usr/lib/ ist ein Ordner telnetd, aber der ist leer, gottseidank Das wäre auch keine Beweis für nix. Dann habe im Verzeichnis /usr/sbin/ eine ausführbare Datei in.telnetd. Was nun? Habe ich jetzt auch so einen Virus oder so einen Trojaner, oder was ist das? Ich habe das aber nie (bewußt) installiert. Wenn du den TELNET-Dienst nicht brauchst, dann editier die /etc/inetd.conf und kommentiere die Zeile aus, die du nicht brauchst. Dann ein telinit q und der Dienst läuft nicht mehr. Christoph -- ~ ~ .signature [Modified] 3 lines --100%--3,41 All -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Peter Schubert wrote: [...] Hallo, Ihr macht einen unbedarften ahnungslosen Pinguin mit eurem telnetd ja richtig unsicher Don't panic! 42! We appologize for the inconvenience :) Ich habe gerade mal nachgesehen, ich habe sowas auch... :-( :-( :-( 1. Telnet ist an sich nichts schlimmes. Es ist eine möglichkeit einen Computer über das Netz fernzusteuern. Per Shell-Befehlen, als würde man davor sitzen. 2. Die Telnet-Verbindung ist unverschlüsselt (auch Passwörter). Deshalb wird i.d.R. 'ssh' verwendet, das im Prinzip das gleiche tut, nur verschlüsselt ( - sicherer ) Im Verzeichnis /usr/lib/ ist ein Ordner telnetd, aber der ist leer, gottseidank Dann habe im Verzeichnis /usr/sbin/ eine ausführbare Datei in.telnetd. Warscheinlich ist es bei der Installation angelegt worden. Aktuelle Distributionen aktivieren soweit ich weiß keinen telnet-server (= telnetd). Was nun? Habe ich jetzt auch so einen Virus oder so einen Trojaner, oder was ist das? Ich habe das aber nie (bewußt) installiert. Verdächtig wird das ganze durch die Tatsache, dass der telnetd im Ausgangsposting in /tmp liegt, und dass nochmal zwei Dateien mit gleichen Namen und .1 bzw .2 dahinter. Das sieht nach download per wget aus. Wenn der O-Poster das nicht selbst gemacht hat, dann war das ein Trojaner oder ein Einbrecher. Aber wie gesagt: Nicht panisch machen lassen :) Stefan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Soeren D. Schulze wrote: Florian Ragwitz schrieb: On Sun, Sep 28, 2003 at 03:13:09PM +0200, Soeren D. Schulze wrote: [...] debsums könnte für sowas hilfreich sein. Das überprüft aber wohl auch nur die md5 Summen der installierten Pakete. Der Rest bleibt unüberprüft. Das kann man ja mit which sehen. Wenn z.B. which ls /usr/local/bin/ls ausgibt, man aber die coreutils nicht selber von den Original-Sourcen kompiliert hat, dürfte das verdächtig sein ... Und wenn 'which' manipuliert ist? Und wenn 'debsums' manipuliert ist? Und wenn '...' manipuliert ist? Hat man ein Problem... Stefan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Matthias Peick wrote: Mario Duve skribis: Also, ein telnetd ist von mir nicht installiert. Habe ich noch nie auf einem Linuxsystem gemacht. Telnet ist auch nicht von ausses erreichbar, da geblockt in accesslist des Routers! Warum soll ich mir keine Sorgen machen? Wer weiss was da noch versucht wurde. Wem gehren die Dateien? die gehren www-data -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Verdächtig wird das ganze durch die Tatsache, dass der telnetd im Ausgangsposting in /tmp liegt, und dass nochmal zwei Dateien mit gleichen Namen und .1 bzw .2 dahinter. Das sieht nach download per wget aus. Wenn der O-Poster das nicht selbst gemacht hat, dann war das ein Trojaner oder ein Einbrecher. Wenn man z.B. per apt-get updatet und die Kiste gekillt wird? Das ist interessant... Aber probieren werd ichs erstmal nich... :-D Gruss Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Hi, On Sun Sep 28 06:53PM, Mario Duve wrote: Matthias Peick wrote: Mario Duve skribis: Also, ein telnetd ist von mir nicht installiert. Habe ich noch nie auf einem Linuxsystem gemacht. Telnet ist auch nicht von ausses erreichbar, da geblockt in accesslist des Routers! Warum soll ich mir keine Sorgen machen? Wer weiss was da noch versucht wurde. Wem gehören die Dateien? die gehören www-data Ich habe den Thread nur überflogen, aber daß ist schon bedenklich. Es könnte darauf hindeuten, daß ein potentzieller Einbrecher sich über einen Bug im WebServer Zugriff verschafft hat. Hast du einen Web Server laufen, zB Apache mit SSL? Wenn ja, in welcher Version (dpkg -l |grep apache)? Ansonsten bietet es sich an, mit 'netstat -anp' zu gucken, was für Dienste auf deinem Rechner laufen, evtl. mit einem portscan abgleichen, ob du der Ausgabe von netstat vertrauen kannst (wird oft durch eine trojanisierte Version ersetzt). mit 'ps auxww' kannst du gucken, ob gerade 'komische' Prozesse laufen. Gerne wird auch /sbin/ifconfig ersetzt, um zu verhindern, daß ifconfig dir sagt, ob deine Netzwerkkarte im promiscuous mode läuft. Ein 'strings /sbin/ifconfig |grep PROMISC' gibt Auskunft. Natürlich ist, wie schon gesagt, die beste Methode, die Cheksums zu vergleichen, wenn du diese aber bisher noch nicht erstellt hast, hat es leider wenig Sinn. Anonsten, wie schon erwähnt, den Rechner vom Netz trennen. Eigentlich bietet es sich an, möglichst schnell ein Disk Image zu erstellen, für spätere forensische Untersuchungen, zB nach gelöschten Dateien suchen usw. Gruß, Andreas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Andreas Meiner wrote: Hi, On Sun Sep 28 06:53PM, Mario Duve wrote: Matthias Peick wrote: Mario Duve skribis: Also, ein telnetd ist von mir nicht installiert. Habe ich noch nie auf einem Linuxsystem gemacht. Telnet ist auch nicht von ausses erreichbar, da geblockt in accesslist des Routers! Warum soll ich mir keine Sorgen machen? Wer weiss was da noch versucht wurde. Wem gehören die Dateien? die gehören www-data Ich habe den Thread nur überflogen, aber daß ist schon bedenklich. Es könnte darauf hindeuten, daß ein potentzieller Einbrecher sich über einen Bug im WebServer Zugriff verschafft hat. Hast du einen Web Server laufen, zB Apache mit SSL? Wenn ja, in welcher Version (dpkg -l |grep apache)? Ansonsten bietet es sich an, mit 'netstat -anp' zu gucken, was für Dienste auf deinem Rechner laufen, evtl. mit einem portscan abgleichen, ob du der Ausgabe von netstat vertrauen kannst (wird oft durch eine trojanisierte Version ersetzt). mit 'ps auxww' kannst du gucken, ob gerade 'komische' Prozesse laufen. Gerne wird auch /sbin/ifconfig ersetzt, um zu verhindern, daß ifconfig dir sagt, ob deine Netzwerkkarte im promiscuous mode läuft. Ein 'strings /sbin/ifconfig |grep PROMISC' gibt Auskunft. Natürlich ist, wie schon gesagt, die beste Methode, die Cheksums zu vergleichen, wenn du diese aber bisher noch nicht erstellt hast, hat es leider wenig Sinn. Anonsten, wie schon erwähnt, den Rechner vom Netz trennen. Eigentlich bietet es sich an, möglichst schnell ein Disk Image zu erstellen, für spätere forensische Untersuchungen, zB nach gelöschten Dateien suchen usw. Also, im moment sieht es so aus. Nach einem Standtortwechsel des betroffenen PC, fährt dieser nich mehr hoch. request_module[ppp0]: fork failed, errno 1 STRG+c gehts weiter bis modprobe: Can't locate module ppp0 STRG+c gehts weiter bis zum start von Postfix, danach geht es nicht mehr weiter, auch ein wechsel auf eine andere Console ist nicht mehr möglich. Habe Postfix jetzt aus den runlevels gelöscht, habe nun wieder ein promt. wie könnte ich jetzt weiter verfahren? -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
On Sun Sep 28 07:33PM, Mario Duve wrote: [gehackter Rechner?] Also, im moment sieht es so aus. Nach einem Standtortwechsel des betroffenen PC, fährt dieser nich mehr hoch. request_module[ppp0]: fork failed, errno 1 STRG+c gehts weiter bis modprobe: Can't locate module ppp0 STRG+c gehts weiter bis zum start von Postfix, danach geht es nicht mehr weiter, auch ein wechsel auf eine andere Console ist nicht mehr möglich. Habe Postfix jetzt aus den runlevels gelöscht, habe nun wieder ein promt. wie könnte ich jetzt weiter verfahren? Naja, wie in meiner vorigen Mail beschrieben. Welche Dienste laufen auf dem Rechner? Auf welchen Ports wird gelauscht? Gibt es Auffälligkeiten in /bin, /usr/bin usw. (zB auffällige Timestamps) ? Laufen ungewöhnliche Prozesse? Was ich vorhin noch vergessen hatte, hast du die besagten Dateien aus /tmp noch? was sagt 'file telnet{d,d.1,d.2}'? Wenn es binaries sein sollten, lass mal 'strings drüber laufen, das gibt einem oft einen ersten Anhaltspunkt, um was für binaries es sich handelt. Wenn du eine Standard Woody Installation hast kannst du die md5sums evtl. mit denen von der CD vergleichen. Hast du dir mal die logfiles in /var/log genauer angeguckt? Ungefährer Einbruchszeitpunkt könnte in etwa der sein, als die besagten Dateien in /tmp/ angelegt wurden. Findet 'chkrootkit' etwas? Es wäre schon sinnvoll, rauszufinden _wie_ der Rechner gehackt wurde, denn sonst hast du auch nach einer Neuinstallation evtl. das gleiche Sicherheitsloch im System. Da die Dateien www-data gehören, liegt es - wie gesagt - nahe, daß sich über den WebServer Zugriff verschafft wurde. Ältere Versionen von OpenSSL hatten Sicherheitslöcher, deshalb meine Frage nach den installierten Versionen. Zu den oben genannten Fehlermeldungen kann ich leider nicht viel sagen. gruß, andreas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Du (Dieter Franzke) schriebst: 1. Linux ist per default sicherer als Windows Naja, kommt auf die Distribution an. Aber Linux ist der Kernel und dass er von Außen einem Exploit erlegen ist, hab ich noch nicht gehört. 2. Linux ist keineswegs vor Angrifen gefeit Der Kernel? Oder das außenrum? Wenn die ssh nan Schuß hat, ist *BSD auch kompromitierbar. 3. Man muss halt darauf achten, Sicherheitslecks durch Einspielen von Updates zu schließen ACK. 4. Kein System ist absolut sicher, ist nur ne Frage vom Ergeiz, Ausdauer und krimineller Energie des Angreifers...:)) Und vom Netzstecker und ob der Rechner läuft \scnr 5. Das größte Sicherheitsproblem sitzt immer vor der Tastatur. ACK. 6. Ich nutze *BSD, weil es in dieser Hinsicht noch etwas vertrauenserweckender erscheint)). Zumindest meine Firefalls laufen immer auf BSD. Hmmm... Warum? 7. Wer ein System vor 2 Jahren aufgesetzt hat und nie Sicherheitspatches eingespielt hat, ist nicht besser dran als so mancher Win-User. Da müssen keine 2 Wochen sein, wenn es drauf ankommt. 8. Sicherheit erfordert immer aktives Eingreifen. ... resp. Handeln. cu Steffen -- BOFH excuse #14: sounds like a Windows problem, try calling Microsoft support pgp0.pgp Description: PGP signature
Re: Server gehackt?
Du (Mario Duve) schriebst: Also, ein telnetd ist von mir nicht installiert. Habe ich noch nie auf einem Linuxsystem gemacht. Telnet ist auch nicht von ausses erreichbar, da geblockt in accesslist des Routers! Wiso blockst Du was, das nicht läuft? cu Steffen -- BOFH excuse #402: Secretary sent chain letter to all 5000 employees. pgp0.pgp Description: PGP signature
Re: Server gehackt?
On Sun, Sep 28, 2003 at 10:08:53PM +0200, Seffen Lorch wrote: Du (Dieter Franzke) schriebst: 1. Linux ist per default sicherer als Windows Naja, kommt auf die Distribution an. Aber Linux ist der Kernel und dass er von Außen einem Exploit erlegen ist, hab ich noch nicht gehört. Doch, der berühmte Ping of Death ist so ein Fall. 2. Linux ist keineswegs vor Angrifen gefeit Der Kernel? Oder das außenrum? Wenn die ssh nan Schuß hat, ist *BSD auch kompromitierbar. Nicht zwangsläufig. -- LuMriX - XML Search Engine - http://www.lumrix.net/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Mario Duve skribis: Wem gehren die Dateien? die gehren www-data Ich kenne keinen vernnftigen Grund, warum ein Apache einen telnet-Dmon nach /tmp schreiben sollte. Der Rechner sieht gehackt aus. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt?
Am Son, 2003-09-28 um 22.10 schrieb Seffen Lorch: Du (Mario Duve) schriebst: Also, ein telnetd ist von mir nicht installiert. Habe ich noch nie auf einem Linuxsystem gemacht. Telnet ist auch nicht von ausses erreichbar, da geblockt in accesslist des Routers! Wiso blockst Du was, das nicht läuft? Ist doch der normale Weg erst mal alles zu blocken, und dann die benötigten Ports zu öffen. Telnet wurde nicht gebraucht, also ist der Port immer noch geblockt. -- Matthias Hentges Cologne / Germany [www.hentges.net] - PGP welcome, HTML tolerated ICQ: 97 26 97 4 - No files, no URL's My OS: Debian Woody. Geek by Nature, Linux by Choice signature.asc Description: Dies ist ein digital signierter Nachrichtenteil
Re: Server gehackt????
On Wed, Aug 14, 2002 at 11:30:54PM +0200, Henrik Hasenkamp wrote: Auf www.debian.org findest du unter den jeweiligen Packetdownloads immer einen Ansprechpartner. Ich denke mal das du dich dann an diesen wenden müsstest. Das ist aber wohl der Maintainer und an den hat Reinhard sich ja schon gewendet. Wird wohl eher jemand aus der Paketverwaltung sein. -Johannes msg15500/pgp0.pgp Description: PGP signature
Re: Quoting-Unfug (was: Server gehackt????)
On Thu, Aug 15, 2002 at 01:56:10AM +0200, Kai Weber wrote: @Carsten: bitte, bitte, stell das ab! Passe deinen Quoting-Stil dem üblichen an. Auffallen kannst du gerne auch mit guten Beiträgen, nicht mit deinem Eigenwilligen(tm) Stil. Seine Beiträge sind auf einer Konsole (fast) nicht lesbar. Ich für meinen Teil tue mir das nicht mehr an. -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
On Thursday, 2002-08-15 at 10:02:18 AM (+0200), Johannes Athmer wrote: Das ist aber wohl der Maintainer und an den hat Reinhard sich ja schon gewendet. Wird wohl eher jemand aus der Paketverwaltung sein. Es geht konkret um #134131. Man könnte es nochmal mit einem Bugreport gegen das 'Paket' ftp.debian.org probieren. Torsten -- Torsten Werner Dresden University of Technology mailto:[EMAIL PROTECTED]telephone: +49 (351) 463 36711 http://www.twerner42.de/ telefax: +49 (351) 463 36809 -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Quoting-Unfug (was: Server gehackt????)
Moin Moin Seine Beiträge sind auf einer Konsole (fast) nicht lesbar. Ich für meinen Teil tue mir das nicht mehr an. Das ganze scheint mit Outlook gemacht worden zu sein (kann ich ein Liedchen von singen, weil ich meins erstmal umkonfigurieren musste) und kann ganz einfach abgestellt werden.. da ist das als Standard eingetragen *urgs* Schönen Tag noch, Andreas -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
+ Torsten Werner [EMAIL PROTECTED]: Es geht konkret um #134131. Man könnte es nochmal mit einem Bugreport gegen das 'Paket' ftp.debian.org probieren. Nein. das wäre das falsche Paket. Dann schon eher 'installation', bin mir aber auch nicht sicher. Ich würde eine Mail mit diesem Problem in debian-devel schreiben. [1] http://www.debian.org/Bugs/Pseudo-Packages Kai -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
On Wed, 14 Aug 2002, Jens Benecke wrote: Moin Jens, Ich halte das für besser als by default 10.000 Dienste zu aktivieren, die keiner braucht, aber eine _Lösung_ ist das nicht. Aber lieber ist defaultmässig wenig drauf und man muss dann bei bedarf nach installieren, als umgekehrt. z.B. der ultrasichere openbsd-ftpd, der so gut wie nichts kann. Zugegeben, proftpd ist sicherheitstechnisch nicht sonderlich top, aber was nützt mir das, wenn kein anderer ftp-server die benötigten Features hat? Solange man die Vorteile und Nachteile gegeneinander abgewogen hat ist das auch OK. BTW Was ist so schlimm an OpenBSD? Die Philosophie, bzw. was daraus geworden ist. Insbes. seit der openssh-Schlappe. Bei der Philosophie stimme ich dir zu. Einen Serverhardening Dienst hat ein Programm, welches weder suid root läuft noch als Server dient, nicht zu interessieren. Nicht daß licq auf Hmmm... Ich vertrete die Meinung das auf einem Server nur Programme drauf sein müssen die man auch wirklich braucht. dem Rechner unbedingt erforderlich gewesen wäre (es ist aber: ich will licq-console per ssh benutzen können, von aussen), aber warum ist denn icq auf nem Server hälte ich nicht für sinnvoll, aber du wirst schon für dich die richtige Entscheidung getroffen haben. nicht auch gleich gcc rausgeflogen? Compiler haben auf Servern auch nix zu suchen. GCC hat auf einem Server rein gar nichts zu suchen, da gebe ich dir absolut recht. NFS sollte IMHO auch auf keinem Host laufen der von Internet her erreichbar ist. Und woher weiss harden, daß mein Rechner vom Internet her erreichbar ist? Und woher weiss harden, was *ich* von meinem Rechner erwarte? IMHO solltest du gefragt werden. NFS über SSL existiert, you know. I Know, aber nur wenn sich der Client mit einem Cert authentifizieren muss bevor eine Verbindung zum NFS Server erlaubt, ansonsten macht es den NFS Server nicht wirklich sicherer. Ich kenne allerdings nicht die genaue Implemtierung. und der FTP Server entfernt wird, damit definitiv NICHT. Und apt-cache show harden erklärt auch nicht, warum diese Pakete raus sollen. Lese dir doch mal Grundsätzliches zum Thema Sicherheit durch und du wirst wissen warum.;-) Ich glaube nicht, daß ich in der Hinsicht blutiger Anfänger bin. Es tut mir leid das ich aus deinem Posting geschlossen habe das du nicht so tief in der Materie steckts. Ich wollte dir in keinster Weise zu nahe treten. Aber in der Tat könnte man dem Maintainer vorschlagen einen entsprechenden Link in die Beschreibung mit aufzunehmen.:-) harden sieht für mich entweder nach einem _sehr_ frühen Stadium aus oder nach einem mehr oder weniger zufällig zusammengewürfelten Haufen von Regeln, die der Maintainer für nett hält und damit anderen Leuten vorschreiben will. Kann ich nichts zu sagen, da ich mich mit harden für Debian noch nicht näher beschäftig habe. Gibt es einen _TECHNISCHEN_ Grund, warum licq nicht da sein soll? Ich Hmmm... es ist schliesslich ein ausführbarer Cod,e den du gedenkst zu benutzen und sollte er Sicherheitslücken enthalten könnte das jemand ausnutzen. Ich gehe eher den minimalistischen Ansatz aber wir oben schon erwähnt du wirst deine Gründe haben. cu Markus -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
On Thu, 15 Aug 2002 13:49:05 +0200 (CEST) Markus Werner [EMAIL PROTECTED] wrote: On Wed, 14 Aug 2002, Jens Benecke wrote: Moin Jens, [...] NFS über SSL existiert, you know. I Know, aber nur wenn sich der Client mit einem Cert authentifizieren muss bevor eine Verbindung zum NFS Server erlaubt, ansonsten macht es den NFS Server nicht wirklich sicherer. Ich kenne allerdings nicht die genaue Implemtierung. [...] Markus Mal im letzten LINUX-Magazin (9/2002 S. 72-77) geblättert? Karl-Heinz hat dort und in einigen Ausgaben zuvor einen wunderbaren Artikel über SSH und seine Anwendungen (z.B. NFS im SSH-Tunnel, S. 76f) geschrieben, sehr zu empfehlen. Gruß Christian -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
Wednesday, August 14, 2002, 7:39:32 PM, Carsten Dirk wrote: Apache/1.3.6 (Unix) PHP/4.0.3pl1 PHP/3.0.16 mod_perl/1.21 mod_ssl/2.2.8 OpenSSL/0.9.2b Sendmail 8.9.3 Huh? Was ist das denn für ein System? Potato? Waren alle bekannten Sicherheitsfixes für Deine angebotenen Dienste installiert? Ich bin mir sicher, daß es zu Deinen daemons etliche gab. Gruß, Marcus -- Fickle minds, pretentious attitudes and ugly | PGP-Key: [DH/DSS] 4096-bit make-up on ugly faces... The Gothgoose | Key-ID: 0xE10F502E Of The Week: http://www.gothgoose.net| Encrypted mails welcome! -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
On Tue, 13 Aug 2002, Carsten Dirk wrote: Hallo Carsten ein paar tips hast du ja schon bekommen. Du solltest generell Backups von deinen Servern machen. Somit kannst du zum einen Nachvollziehen wann er gehackt worden ist und was wichtiger ist du kannst das System in einem Sauberen zustand restoren und musst dann nur noch die änderungen manuell einpflegen. Ausserdem ist ein sysloghost[1] sehr sinnvoll. Schau evtl. auch mal bei www.securityfocus.com nach dort gibt es einige gute Artikel zu diesem Thema. Mehr fällt mir auf die schnelle nicht ein, zumal ich nur 4 Stunden geschlafen habe. cu Markus -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
On Tue, Aug 13, 2002 at 06:39:02PM +0200, Carsten Dirk wrote: und ich habe vielle md5-checksum fehler mein Server wurde leider gehakt obwohl alle patche drauf sind und eigentlich ganz sicher ist. Vielleicht ist jemand durch die Vordertür rein gekommen, sprich über unsichere Passwörter? Meine Frage wie kann ich rausfinden wie genau hat er das gemacht und wie kann ich ihn erwischen seine ip rausfinden und so. Evtl. sind in den Backups der Logfiles von den Vortagen irgend welche Vorläufer des Angriffs zu finden. Ansonsten müsste da ein Fachmann ran, der evtl. was finden kann, aufgrund seiner Erfahrung, aber je länger Du da suchst um so mehr Spuren sind am Tatort verwischt. Und was muss ich noch machen für die zukunft damit so was nicht passiert? Da wurden Dir ja schon genug Links gezeigt. Habe ich eine andere möglichkeit auser neue instalation Auf jeden Fall neu installieren. Du weißt nicht, welche Hintertüren dort jemand hinterlassen hat. -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
On Wed, 14 Aug 2002, Jens Benecke wrote: Hallo, Macht harden das gleiche wie OpenBSE? Vermeidung von Sicherheitslücken durch Entfernung jeglicher Funktionalität? s/E/D/ Hmmm... du scheints da eine sehr vorgefertigte Meinung zu haben. Woran liegt das ? BTW Was ist so schlimm an OpenBSD? Man muss immer abwegen zwischen Sicherheit und comfort. Was dir wichtiger ist musst du entscheiden. Daß licq entfernt wird, damit kann ich leben, aber daß der NFS Server Auf einen Server hat das überhaupt nichts zu suchen! NFS sollte IMHO auch auf keinem Host laufen der von Internet her erreichbar ist. und der FTP Server entfernt wird, damit definitiv NICHT. Und apt-cache show harden erklärt auch nicht, warum diese Pakete raus sollen. Lese dir doch mal Grundsätzliches zum Thema Sicherheit durch und du wirst wissen warum.;-) Aber in der Tat könnte man dem Maintainer vorschlagen einen entsprechenden Link in die Beschreibung mit aufzunehmen.:-) bis dann Markus -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re[2]: Server gehackt????
Guten Tag Dirk Prösdorf, Am Mittwoch, 14. August 2002 um 08:58 schrieben Sie: Dirk Prösdorf On Tue, Aug 13, 2002 at 06:39:02PM +0200, Carsten Dirk wrote: und ich habe vielle md5-checksum fehler mein Server wurde leider gehakt obwohl alle patche drauf sind und eigentlich ganz sicher ist. Dirk Prösdorf Vielleicht ist jemand durch die Vordertür rein gekommen, sprich über Dirk Prösdorf unsichere Passwörter? Meine Frage wie kann ich rausfinden wie genau hat er das gemacht und wie kann ich ihn erwischen seine ip rausfinden und so. Dirk Prösdorf Evtl. sind in den Backups der Logfiles von den Vortagen irgend welche Dirk Prösdorf Vorläufer des Angriffs zu finden. Dirk Prösdorf Ansonsten müsste da ein Fachmann ran, der evtl. was finden kann, Dirk Prösdorf aufgrund seiner Erfahrung, aber je länger Du da suchst um so mehr Spuren Dirk Prösdorf sind am Tatort verwischt. Und was muss ich noch machen für die zukunft damit so was nicht passiert? Dirk Prösdorf Da wurden Dir ja schon genug Links gezeigt. Habe ich eine andere möglichkeit auser neue instalation Dirk Prösdorf Auf jeden Fall neu installieren. Du weißt nicht, welche Hintertüren dort Dirk Prösdorf jemand hinterlassen hat. wir habe schon ersatz server den wollen wir jetz als köder nutzten was würdet ihr so empfehlen ich will rausfinden wo komt er her. Ich ahb auch rausgefunden das ein Rootkit namens TuxKit Ver 1.0 auch modefiziert drauf instaliert wurde. Jetz will ich nur ein den Typ finden. Hab schon Tcpdump im hintergrund verstekt und er logt alles das Problemm ist später mit dem auswertung! Oder kennt jemand eine andere alternative wie ich es rausfinden kann wer das war? -- Mit freundlichen Grüssen Carsten Dirkmailto:[EMAIL PROTECTED] -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re[3]: Server gehackt????
Guten Tag Carsten Dirk, Am Mittwoch, 14. August 2002 um 18:47 schrieben Sie: Carsten Dirk Guten Tag Dirk Prösdorf, Carsten Dirk Am Mittwoch, 14. August 2002 um 08:58 schrieben Sie: Dirk Prösdorf On Tue, Aug 13, 2002 at 06:39:02PM +0200, Carsten Dirk wrote: und ich habe vielle md5-checksum fehler mein Server wurde leider gehakt obwohl alle patche drauf sind und eigentlich ganz sicher ist. Dirk Prösdorf Vielleicht ist jemand durch die Vordertür rein gekommen, sprich über Dirk Prösdorf unsichere Passwörter? Meine Frage wie kann ich rausfinden wie genau hat er das gemacht und wie kann ich ihn erwischen seine ip rausfinden und so. Dirk Prösdorf Evtl. sind in den Backups der Logfiles von den Vortagen irgend welche Dirk Prösdorf Vorläufer des Angriffs zu finden. Dirk Prösdorf Ansonsten müsste da ein Fachmann ran, der evtl. was finden kann, Dirk Prösdorf aufgrund seiner Erfahrung, aber je länger Du da suchst um so mehr Spuren Dirk Prösdorf sind am Tatort verwischt. Und was muss ich noch machen für die zukunft damit so was nicht passiert? Dirk Prösdorf Da wurden Dir ja schon genug Links gezeigt. Habe ich eine andere möglichkeit auser neue instalation Dirk Prösdorf Auf jeden Fall neu installieren. Du weißt nicht, welche Hintertüren dort Dirk Prösdorf jemand hinterlassen hat. Carsten Dirk wir habe schon ersatz server den wollen wir jetz als köder nutzten was Carsten Dirk würdet ihr so empfehlen ich will rausfinden wo komt er her. Ich ahb Carsten Dirk auch rausgefunden das ein Rootkit namens TuxKit Ver 1.0 auch Carsten Dirk modefiziert drauf instaliert wurde. Jetz will ich nur ein den Typ Carsten Dirk finden. Hab schon Tcpdump im hintergrund verstekt und er logt alles Carsten Dirk das Problemm ist später mit dem auswertung! Oder kennt jemand eine Carsten Dirk andere alternative wie ich es rausfinden kann wer das war? Carsten Dirk -- Carsten Dirk Mit freundlichen Grüssen Carsten Dirk Carsten Dirkmailto:[EMAIL PROTECTED] achso was kann man gegen so was unternehmen damit es nicht nochmal passiert. Die Dienste die angeboten werden sind: pop3, imap, DNS, WWW, SSH. Für jeden Tip bin ich sehr Dangbar!!! -- Mit freundlichen Grüssen Carsten Dirkmailto:[EMAIL PROTECTED] -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
Wednesday, August 14, 2002, 6:54:33 PM, Carsten Dirk wrote: achso was kann man gegen so was unternehmen damit es nicht nochmal passiert. Die Dienste die angeboten werden sind: pop3, imap, DNS, WWW, SSH. Für jeden Tip bin ich sehr Dangbar!!! Sinnvoll wäre stattdessen gewesen, nicht die Dienste aufzuzählen, sondern die daemons in ihren jeweiligen Versionen aufzulisten, die diese Dienste anbieten. Dann könnte man herausfinden, in welchem Dienst die Sicherheitslücke war oder ob ganz einfach allgemein nur mies konfiguriert worden war. Apache hat in der letzten Zeit Sicherheitsprobleme, openssh auch und bind sowie uw-imap sowieso immer. :-) Gruß, Marcus -- Fickle minds, pretentious attitudes and ugly | PGP-Key: [DH/DSS] 4096-bit make-up on ugly faces... The Gothgoose | Key-ID: 0xE10F502E Of The Week: http://www.gothgoose.net| Encrypted mails welcome! -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)