Viren, Spyware, Datenschutz 11.214 Themen, 94.192 Beiträge

polizei!!! hilfe einbrecher !!!!

k.0815 / 12 Antworten / Flachansicht Nickles

hi!

tja, scheiße, nun hat mich wohl doch erwicht.habe bisher noch nie probs mit einruchsversuchen und so gehabt, zumindest ist bisher anscheinend keiner durchgekommen. gestern habe ich meinen server mal neu installiert (mandrake8.2), und entweder ich hab da irgendwas falsch gemacht, und das system ist viel unsicherer als vorher, was aber niht so sein sollte, sonder eigentlich recht gleich, oder es hat gerade jetzt jemand auf mich abgesehn.
aufgefallen ist es dadurch, das nach dem aufstehen mein webserver nicht mehr lief. wollte dann per ssh auf den server connecten, um zu sehn was los ist, da behauptet ssh auf einmal ich sei nich mehr berechtigt. hmm? warum das? ging doch gestern abend noch. naja, dann bin ich halt rinter an den server, melde mich als root an, und brech fast ab. da muß ich lesen, ich wäre das letzte mal mit 201plapla.pla.ro connected. das war mich sicherheit nicht so, wenn ich nich am server selbst war, dann am meinem rechner, und dann würde da stehen 0815.net. daraus schließe ich, das da jemand in meinem system war, der da nicht reinsollte. darufhin hab ich natrülich gleich angefangen, die logfiles zu untersuchen, wo sich andere interesante entdeckungen machen ließen. der oder die schweine haben nen neuen user angelegt, meinen webserver runtergefahren, anscheindend die berechtigungen der bestehenden user verändert, und was weiß ich noch alles, bin noch am suchen.
hier mal n paar dinge aus den logfiles, die ich nicht für normal halte:
Thu Jan 16 20:21:14 2003] [error] [client 213.255.96.171] File does not exist: /mnt/fileserver/webserver/html/sumthin
[Thu Jan 16 20:25:33 2003] [error] [client 210.104.240.42] Client sent malformed Host header

Jan 16 22:46:39 websvr postfix/smtp[8631]: 7D43615004: to=

bei Antwort benachrichtigen
xafford k.0815 „polizei!!! hilfe einbrecher !!!!“
Optionen

kann mich den ausführungen von thomas eigentlich im großen und ganzen nur anschließen. was rootkits angeht, so gibt es genügend, die auf kernelebene arbeiten und somit so gut wie nicht zu entdecken sind.
leider sind deine logs hier icht von anfang an protokolliert, oder sie enthalten nicht alles, es scheitn aber wirklich so, als sei der eindringling über einen dienst hereingekommen, der über ein entsprechendes loch verfügt. sshd würde ich hier ausschließen, da es so aussieht, als wären sie in ssh über loopback und nciht von extern eingredrungen, sie müssten also vorher schon ein anderes loch genutzt haben. aber ohne weitere kenntnis der genauen konfiguration des servers (dienste, etc) lässt sich nicth viel sagen, nur ein tipp...schau dir mal an ob du etwas über die mail findest die über yahoo relayt wurde, interessant wäre adresse und inhalt.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen