Re: [PUG] Re: Server vom Ramen-Wurm befallen. Was nun?
* Jochen Hein ([EMAIL PROTECTED]) wrote/schrieb: > Martin> Schaut aus, als könnte man einfach ein Script > Martin> zusammenschreiben, um das System wieder halbwegs > Martin> glattzuziehen. > > Vorsicht. Nimm an, dass Du Dich auf *nichts* verlassen kannst. Mein Bekannter hat monatelang alle Warnungen überhört, da ist der Ausgang wohl eher ungewiß. > Aber sicher sein kann man sich halt einfach nicht... Tjoo, aber mancher kann sich sicherer sein, als andere. 20 offene Ports gegenüber 5 offenen Ports, gibt schonmal eine Risikoreduzierung von 75%. Da kann man dann noch den Hebel ansetzen, denn jemand, der Daemonen laufen hat, die er weder kennt noch pflegt, lebt sicher gefährlicher als jemand, der nur das nötigste aufmacht und ein Auge auf relevante Updates hat. Dazu braucht man nichtmal IPchains, sondern nur etwas gesunden Menschenverstand. Aber ich glaube, Du wolltest eigentlich was ganz anderes sagen. ;-) Ich werde ab sofort jeden kompromißlos davor warnen, aus Bequemlichkeit eine "große" Distribution quasi-produktiv einzusetzen. Wer bei der Installation bequem ist, wird später bei der Wartung auch nicht mehr fleißig. Es ist eine Scheißwelt, aber es will ja keiner aus den Fehlern anderer lernen. Ich habe auch mein lange (unwissentlich) betriebenes offenes Relay erst zugemacht, als die ersten Androhungen körperlicher Gewalt per Mail eintrudelten. -martin -- 665: Neigbour of the Beast --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Re: Server vom Ramen-Wurm befallen. Was nun?
On Wed, Jan 24, 2001 at 03:55:13PM +0100, Jochen Hein wrote: > > "Martin" == Schmitt, Martin <[EMAIL PROTECTED]> writes: > > [gehacktes System revitalisieren] > > Martin> Schaut aus, als könnte man einfach ein Script > Martin> zusammenschreiben, um das System wieder halbwegs > Martin> glattzuziehen. > Jochen Es ist schon echt ein Horror. Linux bietet so richtig schoen viele Moeglichkeiten sich in das System einzuhaken. Wir ham schon Rechner an Instituen gefunden, die mindestens 6-9 Monate gehackt waren. Wenn man erst mal ein Kernelmodul draufhat, dass so ziemlich alle Systemcalls ueberschreibt, findet man wirklich nichts mehr auf dem System. Allerdings kann man dann so herrlich den BOFH raushaengen. Ein Satz in der Art: Nein, das System bekommt erst wieder Netz, wenn es komplett neu installiert ist. Ob die Daten wieder drauf duerfen, kann man danach diskutieren. *g* Sind schon eine gerechte Strafe fuer ein Suse 5.x (gabs das jemals?) tim -- Tim Gesekus eMail: Tim Gesekus <[EMAIL PROTECTED]> "Herr Link, wie kann ich denn Word zum schreiben von eMails verwenden?" "Herr OTL, wie war ihre eMail Adresse? Nur, damit ich sie sofort in mein Killfile packen kann?"-- Jens Link in de.alt.sysadmin.recovery --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Re: Server vom Ramen-Wurm befallen. Was nun?
* Tim Gesekus ([EMAIL PROTECTED]) wrote/schrieb: > Es ist schon echt ein Horror. Linux bietet so richtig schoen viele > Moeglichkeiten sich in das System einzuhaken. Es ist ein Sicherheitsrisiko und gehört verboten. Windows ist 1000x sicherer! Ich weiß, von wems kommt, aber man darf es nicht so eindimensional sehen. Die Sicherheitslücken kommen nur daher, daß alles einfach, einfach, einfach, komfortabel, komfortabel, automatisch, automatisch, klicki klicki bunti funktionieren soll. Und wenn man elementare Dinge wie den LPD bei Bedarf nachinstallieren muß, ist das ein Skandal. Der gehört in die Standardinstallation. Ich behaupte mal, daß wir mit dieser RedHat-Situation, etwas verspätet, die selbe Scheiße haben, die im Windows-Bereich (ILOVEYOU anyone?) schon länger dazugehört. Wart mal ab, wie lange es dauert, bis Kmail Attachments starten kann. > Wir ham schon Rechner > an Instituen gefunden, die mindestens 6-9 Monate gehackt waren. Wenn > man erst mal ein Kernelmodul draufhat, dass so ziemlich alle > Systemcalls ueberschreibt, findet man wirklich nichts mehr auf > dem System. Kernel ohne Modulsupport? Ach nee, dann geht ja die Hardwareerkennung nicht mehr. > Allerdings kann man dann so herrlich den BOFH raushaengen. Ein Satz > in der Art: > Nein, das System bekommt erst wieder Netz, wenn es komplett neu > installiert ist. Ob die Daten wieder drauf duerfen, kann man > danach diskutieren. *g* Ein Traum. Ich beneide Dich. > Sind schon eine gerechte Strafe fuer ein Suse 5.x (gabs das jemals?) Ja, ich hab sogar mal einem Kunden "SuSE Professional 5.3" vercheckt, weil der ein gutes Gefühl dabei hatte, daß die Software in einem stabilen Ringbuch zum Preis von 400 Mark kam. Ende 1996 war Suse noch bei 4.4. Das sind alles echte Weltmeister im Überspringen von Versionsnummern. Die Dunkelziffer an d.a.s.r-Lesern scheint hier ja ganz erheblich zu sein, stelle ich fest. ;-) -martin -- "They stole our revolution. Now we're stealing it back!" --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Re: Server vom Ramen-Wurm befallen. Was nun?
On Wed, Jan 24, 2001 at 09:08:35PM +0100, Martin Schmitt wrote: > * Tim Gesekus ([EMAIL PROTECTED]) wrote/schrieb: > > > Es ist schon echt ein Horror. Linux bietet so richtig schoen viele > > Moeglichkeiten sich in das System einzuhaken. > Ich behaupte mal, daß wir mit dieser RedHat-Situation, etwas verspätet, die > selbe Scheiße haben, die im Windows-Bereich (ILOVEYOU anyone?) schon länger > dazugehört. Wart mal ab, wie lange es dauert, bis Kmail Attachments starten > kann. Kann er nicht? Wie kann man damit arbeiten. Nee, jetzt mal im ernst, es gehoert schon einiges an Wissen und Diziplien dazu, eine Linux- Kiste dicht zu kriegen und zu halten. Das sehe ich aber nicht als Nachteil. Man hat wenigstens die Moeglichkeite dazu. > > Wir ham schon Rechner > > an Instituen gefunden, die mindestens 6-9 Monate gehackt waren. Wenn > > man erst mal ein Kernelmodul draufhat, dass so ziemlich alle > > Systemcalls ueberschreibt, findet man wirklich nichts mehr auf > > dem System. > > Kernel ohne Modulsupport? Ach nee, dann geht ja die Hardwareerkennung nicht > mehr. Es gibt ja auch lustige Module, die das Lasen von Modulen verbiegen. Allerdings sind wir dann wieder bei Wissen usw. > > Allerdings kann man dann so herrlich den BOFH raushaengen. Ein Satz > > in der Art: > > Nein, das System bekommt erst wieder Netz, wenn es komplett neu > > installiert ist. Ob die Daten wieder drauf duerfen, kann man > > danach diskutieren. *g* > > Ein Traum. Ich beneide Dich. Am Ende duerfen sie ihre Kiste ja wieder ans Netz haengen. *schnief* d.a.s.r ist ja wohl Pflicht, was soll man sonst den ganzen Tag machen. Allerdings bleibt die Frage ob d.a.s.r noch recovery ist. *g* tim -- Tim Gesekus eMail: Tim Gesekus <[EMAIL PROTECTED]> Pseudo random sig --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Re: Server vom Ramen-Wurm befallen. Was nun?
So, jetzt komm' ich, es hat ja eh jeder gewußt, das eine von meinen Kisten gehackt/gewurmt worden ist... Erst mal: RedHat hat schon im Oktober letzten Jahres darauf hingewiesen, daß LPRng (RH 7.0) aufgrund eines Exploits geupdatet werden muß. Wer hat nicht gehört und gelesen? Ich. Das hat nichts mit RedHat zu tun, Administratorenfehler. Was braucht mein Webserver diesen Druckerscheiß? Hängt eh' kein Drucker dran, aber ich hab's einfach verzockt. Gut so, viel gelernt. Dann: Bubens, seit vorsichtig, es kann euch auch treffen. Ich kenn' Admins, die wissen noch nicht mal, wie sie einen Port auf ihrer Kiste dichtmachen;) Pat Am Wednesday 24 January 2001 21:08 schrieben Sie: > Ich behaupte mal, daß wir mit dieser RedHat-Situation, etwas verspätet, die > selbe Scheiße haben, die im Windows-Bereich (ILOVEYOU anyone?) schon länger > dazugehört. Wart mal ab, wie lange es dauert, bis Kmail Attachments starten > kann. --- PUG - Penguin User Group Wiesbaden - http://www.pug.org
