[PUG] Hackbraten zum =?iso-8859-1?B?RnL8aHN0/GNr?=

Fri, 22 Aug 2003 02:03:35 -0700 

moin, nach meinem urlaub habe ich mir mal meinen webserver angeguckt. 
dabei sind mir ein paar merkw�rdige dinge aufgefallen:
die meisten logfiles sind leer, und alle zu selben zeit ge�ndert worden:

ich k�nnte mir vorstellen, das ich opfer eines angriff geworden bin.
ich halte das sogar f�r sehr wahrscheinlich. allerdings habe ich keine 
ahnung wie vorgegangen wurde, es l�uft snort auf dem rechner, doch ich 
konnte beim ersten �berfliegen der files nichts erkennen, ich gehe mal 
davon aus, das dort auch gefuscht wurde. um einem rootkit aus dem weg zu 
gehen, habe ich einen neuen kernel hochgeladen und installiert. kann mir 
sonst noch jemand ein paar tips geben? wie finde ich die l�cke, bzw wie 
kann ich mir sicher sein, das das nicht noch einemal passiert. 
(rootkit/userlogin/exploits) 
ich habe slackware9.0 mit alle security fixes (die bekannt sind) laufen. 
2.4.21 kernel und folgende
ports offen:

tcp        0      0 *:3306                  *:*                     LISTEN
tcp        0      0 *:submission            *:*                     LISTEN
tcp        0      0 *:pop3                  *:*                     LISTEN
tcp        0      0 *:http                  *:*                     LISTEN
tcp        0      0 *:ftp                   *:*                     LISTEN
tcp        0      0 *:ssh                   *:*                     LISTEN
tcp        0      0 *:smtp                  *:*                     LISTEN



#listing aus /var/log
#beachte die zeiten

-rw-r-----    1 root     root            0 Aug 17 04:40 cron
-rw-r-----    1 root     root            0 Aug 10 04:40 cron.1
-rw-r-----    1 root     root            0 Aug  3 04:40 cron.2
-rw-r-----    1 root     root            0 Jul 27 04:40 cron.3
-rw-r-----    1 root     root            0 Jul 20 04:40 cron.4
-rw-r-----    1 root     root          696 Aug 22 09:27 debug
-rw-r-----    1 root     root            0 Aug 10 04:40 debug.1
-rw-r-----    1 root     root            0 Aug  3 04:40 debug.2
-rw-r-----    1 root     root            0 Jul 27 04:40 debug.3
-rw-r-----    1 root     root            0 Jul 20 04:40 debug.4
-rw-r-----    1 root     root       120862 Aug 22 10:07 messages
-rw-r-----    1 root     root        73480 Aug 17 04:40 messages.1
-rw-r-----    1 root     root        59118 Aug 10 04:40 messages.2
-rw-r-----    1 root     root       103131 Aug  3 04:40 messages.3
-rw-r-----    1 root     root        83812 Jul 27 04:40 messages.4
-rw-r-----    1 root     root            0 Aug 17 04:40 spooler
-rw-r-----    1 root     root            0 Aug 10 04:40 spooler.1
-rw-r-----    1 root     root            0 Aug  3 04:40 spooler.2
-rw-r-----    1 root     root            0 Jul 27 04:40 spooler.3
-rw-r-----    1 root     root            0 Jul 20 04:40 spooler.4
-rw-r-----    1 root     root         7799 Aug 22 10:18 syslog
-rw-r-----    1 root     root            0 Aug 10 04:40 syslog.1
-rw-r-----    1 root     root            0 Aug  3 04:40 syslog.2
-rw-r-----    1 root     root            0 Jul 27 04:40 syslog.3
-rw-r-----    1 root     root            0 Jul 20 04:40 syslog.4


#ersten 4 zeilen aus jeder /var/log/messages 
#auch hier tauchen die selben zeiten auf
#in messages messages.1 usw steht �berall:

Aug 17 04:40:02 blade syslogd 1.4.1: restart.
Aug 17 04:40:02 blade syslogd 1.4.1: restart.
Aug 17 04:40:02 blade syslogd 1.4.1: restart.
Aug 17 04:40:02 blade syslogd 1.4.1: restart.

----------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org

Antwort per Email an