hi!
tja, scheiße, nun hat mich wohl doch erwicht.habe bisher noch nie probs mit einruchsversuchen und so gehabt, zumindest ist bisher anscheinend keiner durchgekommen. gestern habe ich meinen server mal neu installiert (mandrake8.2), und entweder ich hab da irgendwas falsch gemacht, und das system ist viel unsicherer als vorher, was aber niht so sein sollte, sonder eigentlich recht gleich, oder es hat gerade jetzt jemand auf mich abgesehn.
aufgefallen ist es dadurch, das nach dem aufstehen mein webserver nicht mehr lief. wollte dann per ssh auf den server connecten, um zu sehn was los ist, da behauptet ssh auf einmal ich sei nich mehr berechtigt. hmm? warum das? ging doch gestern abend noch. naja, dann bin ich halt rinter an den server, melde mich als root an, und brech fast ab. da muß ich lesen, ich wäre das letzte mal mit 201plapla.pla.ro connected. das war mich sicherheit nicht so, wenn ich nich am server selbst war, dann am meinem rechner, und dann würde da stehen 0815.net. daraus schließe ich, das da jemand in meinem system war, der da nicht reinsollte. darufhin hab ich natrülich gleich angefangen, die logfiles zu untersuchen, wo sich andere interesante entdeckungen machen ließen. der oder die schweine haben nen neuen user angelegt, meinen webserver runtergefahren, anscheindend die berechtigungen der bestehenden user verändert, und was weiß ich noch alles, bin noch am suchen.
hier mal n paar dinge aus den logfiles, die ich nicht für normal halte:
Thu Jan 16 20:21:14 2003] [error] [client 213.255.96.171] File does not exist: /mnt/fileserver/webserver/html/sumthin
[Thu Jan 16 20:25:33 2003] [error] [client 210.104.240.42] Client sent malformed Host header
Jan 16 22:46:39 websvr postfix/smtp[8631]: 7D43615004: to=
Viren, Spyware, Datenschutz 11.213 Themen, 94.186 Beiträge
auf der suche, nach möglicchkeiten den neuen server sicherer zu machen, habe ich dies hier gefunden:
hhp-trosniff is a complete package of patches to modify ssh, ssh2, sshd, ssh2d, and opensshd to extract and log the Incoming/Target HostName/UserName/Password. Intended to log brute force attacks and deleted users who try to gain access. By Loophole
(link dazu: http://www.packetstormsecurity.org/UNIX/loggers/)
kennst das jemand? ist das was seriöses? oder muß ich damit rechnenen mit damit gleich das nächste problem auf den server zu holen? weil habe sonst bei google nix drüber gefunden.
thx.