gehackt wie vermutet oder nur ein Fehler ?

Smalltalk
Antworten
s4p
Beiträge: 320
Registriert: 28.12.2003 05:01:07

gehackt wie vermutet oder nur ein Fehler ?

Beitrag von s4p » 06.03.2004 02:43:54

Vor paar Tagen hatte ich ein schoenes erlebnis, ich hatte mir 'wmaker' installiert und versuche mich dort zurecht zu finden. Ok, dann hatte ich mal meine Aufloesung von 1024x768 nach 1280x960 geaendert und startete den x-server neu.

Bisdahin alles kein Problemm, ich konnte alles wie gewohnt machen, konnte mit Mozilla Surfen etc. und hatte dort sogar noch innem Forum einen Beitrag verfasst und ca. 5 Minutten spaeter hatte sich die Freg. vom Monitor blitzartig geaendert, der Bildschierm hatte sich staendig neu ausgerichtet mit der neuen Freg. man hat nur noch gesehen wie der ganze Bildschierm sich nach innen zog und bevor sich das Bild wieder aufbaute ging es wieder von vorne los.

Natuerlich habe ich nicht gezoegert und hatte sofort den Monitor ausgeschaltet (is naeher dran als der PC ...) und dann habe ich den PC gekappt und neu gestartet. Hinterher war wieder alles in Ordnung, habe sicherhalber noch den Router Resetet um die IP zu erneuern und dann wollte ich mich wieder dran setzten um meine Arbeiten fort zu fahren und dabei bemerkte ich natuerlich das alle Bookmarks in Mozilla geloescht waren und auch alle Cookies waren geloescht.

Sonst viel mir nix weiter auf, und eben grade wollte ich licq starten weil ich ueber centericq mein ICQ-Nick nicht aendern kann und dabei kam die meldung das der command licq nicht gefunden wurde ... das gleiche auch mit sim und ein paar anderen anwendungen. Die sind einfach verschwunden.

---

Jetzt meine Frage, wie findet ihr das ? Liege ich mit meiner vermutung richtig das ich nen kleinen pseudo Hacker als besuch hatte oder kann dies wirklich durch eine falsche Screen config in der XFree86 + kaltstart passieren ?

Benutzeravatar
Natas12
Beiträge: 1751
Registriert: 12.04.2002 20:59:12

Beitrag von Natas12 » 07.03.2004 19:33:25

hmm - wenn du keine serverdienste (apache, sendmail, etc) laufen hattest, ist es SEHR unwahrscheinlich, dass irgendjemand dein system gehackt haben könnte. ich tippe eher darauf, dass das abschalten des PCs dazu geführt hat, dass offene dateien in den orkus gewandert sind. welches dateisystem benutzt du? klappt ein fsck?
mach doch mal als root ein "updatedb" (kann lange dauern) und suche dann mit "locate" nach deinen verschwundenen programmen...
"In den reichen Ländern hat die Freiheit gesiegt - mit all den schrecklichen Folgen, die das für die anderen mit sich bringt und noch bringen wird. Die Demokratie ist auf andere Epochen verschoben." (L. Canfora)

s4p
Beiträge: 320
Registriert: 28.12.2003 05:01:07

Beitrag von s4p » 08.03.2004 00:31:31

Natas12 hat geschrieben:hmm - wenn du keine serverdienste (apache, sendmail, etc) laufen hattest, ist es SEHR unwahrscheinlich, dass irgendjemand dein system gehackt haben könnte.
Da liegst du leider falsch, selbst ohne solch Dienste ist es moeglich ein Computer System zu hacken, auch wenn es in dem fall schwieriger ist. Ich habe gelesen das man sich sogar ueber den Kernel ins System hacken kann (weiss zwar nicht in wie fern dies richtig ist, aber ich halte es nicht fuer ausgeschlossen).

'SEHR unwahrscheinlich, dass irgendjemand dein system gehackt haben könnte.'

Wie erklaert es sich dann, das mein Monitor rumspinnte ? Wobei der Monitor nicht spinnte sondern einwandfrei ueber Linux manipuliert wurde, ob nun ueber ein fehler bei XFree86 oder ob jemand drine war und die Fregs. aenderte. Was anderes kann ich mir einfach nicht vorstellen, eines von dem beiden muss es gewessen sein.

Aber davon abgesehen, ich habe apache und postfix laufen, unter anderem habe ich auch mit anderen Servern rum experimentiert. Die wahrscheinlichkeit eines hacks ist also sehr hoch vor allem da ich es noch immer nicht geschaft habe, eine Firewall ein zu richten, endweder er nimmt iptables oder kernel nicht an, ich weiss nicht genau wie ich ne Firewall zum laufen bekomme, mittlerweile glaube ich nicht mehr, das es am Kernel liegt sondern eher an iptables, aber was ... das ist die Frage, ich steige bei iptables einfach nicht durch :roll:
Natas12 hat geschrieben:welches dateisystem benutzt du? klappt ein fsck?
mach doch mal als root ein "updatedb" (kann lange dauern) und suche dann mit "locate" nach deinen verschwundenen programmen...
ka welches dataisystem ich verwende, ich habe an diesem nix geaendert, is also dies was von anfang an mit installiert wird, ob fsck klappt weiss ich nicht, habs noch nicht getestet, bis jetzt wusste ich noch garnix von den Programmen die du hier erwaehnst ;) Aber davon mal abgesehen, das was beschaedigt wurde, ist eh nicht wichtig, zumglueck habe ich auf dem Rechner hier nix wichtiges auser die Configs ... sollte ich mal Backupen ;)

[EDIT]

Also ich habe mal updatedb ausgefuehrt, jedoch dauert dies nicht mal 2 secunden ... vermute mal ich mache irgend was falsch, schnall dieses Programme nicht, was sollte dieses bewerkstelligen ? und mit locate finde ich nix, weder licq noch sim (apache habe ich selbst wieder hergestellt), nur noch die angelegten configs und contact listen vorhanden und mit fsck meinst du sicher eine wiederherstellung ? Dies hatte er nach dem Kaltsart eh ausgefuehrt, ob alles beschaedigte (falls was beschaedigt war) wieder hergestellt wurde weiss ich nicht, gibs dafuer irgendwo eine log ?

Benutzeravatar
spiffi
Beiträge: 1128
Registriert: 09.08.2003 19:02:27

Beitrag von spiffi » 08.03.2004 01:58:25

s4p hat geschrieben:
Natas12 hat geschrieben:hmm - wenn du keine serverdienste (apache, sendmail, etc) laufen hattest, ist es SEHR unwahrscheinlich, dass irgendjemand dein system gehackt haben könnte.
Da liegst du leider falsch, selbst ohne solch Dienste ist es moeglich ein Computer System zu hacken, auch wenn es in dem fall schwieriger ist. Ich habe gelesen das man sich sogar ueber den Kernel ins System hacken kann (weiss zwar nicht in wie fern dies richtig ist, aber ich halte es nicht fuer ausgeschlossen).
Wieso liegt Natas12 falsch? Er hat nicht gesagt, daß ein Hack ohne Serverdienste unmöglich ist, sondern sehr unwahrscheinlich. Und dieser Meinung kann ich mich nur anschließen!
s4p hat geschrieben:Wie erklaert es sich dann, das mein Monitor rumspinnte ? Wobei der Monitor nicht spinnte sondern einwandfrei ueber Linux manipuliert wurde, ob nun ueber ein fehler bei XFree86 oder ob jemand drine war und die Fregs. aenderte. Was anderes kann ich mir einfach nicht vorstellen, eines von dem beiden muss es gewessen sein.
Du hast selbst geschrieben, daß Du kurz zuvor die Auflösung geändert hast. Ich schätze mal, daß Die von Dir gewählten Werte am Grenzbereich des Monitors liegen. Da kann es durchaus passieren, daß der Monitor anfängt rumzuspinnen.
s4p hat geschrieben:Aber davon abgesehen, ich habe apache und postfix laufen, unter anderem habe ich auch mit anderen Servern rum experimentiert. Die wahrscheinlichkeit eines hacks ist also sehr hoch vor allem da ich es noch immer nicht geschaft habe, eine Firewall ein zu richten,
Das kann man nur noch als grob fahrlässig bezeichnen. Bevor Du anfängst mit Servern herumzuexperimentieren, solltest Du eine Firewall am laufen haben.
s4p hat geschrieben:ich steige bei iptables einfach nicht durch :roll:
Es gibt durchaus Alternativen. Frontends wie Shorewall zum Beispiel.
s4p hat geschrieben:ka welches dataisystem ich verwende,
In diesem Falle wahrscheinlich ext2.
Wirf mal einen Blick in die /etc/fstab oder ruf das Kommando mount auf, dann siehst Du welche Dateisysteme verwendet werden.
No language can express every thought unambiguously, least of all this one. -- D. R. Hofstadter

s4p
Beiträge: 320
Registriert: 28.12.2003 05:01:07

Beitrag von s4p » 08.03.2004 02:33:00

spiffi hat geschrieben: Du hast selbst geschrieben, daß Du kurz zuvor die Auflösung geändert hast. Ich schätze mal, daß Die von Dir gewählten Werte am Grenzbereich des Monitors liegen. Da kann es durchaus passieren, daß der Monitor anfängt rumzuspinnen.
Genau da fangen meine zweifel an, mit der Aufloesung und den Monitor Daten hatte ich zuvor Wochenlang gearbeitet und unter Windows habe ich eine noch hoehrere Aufloesung, der Monitor kann die diese Werte super verarbeiten, und bevor das Problem mit dem Monitor war, hatte ich x-server schon seit 40 min. mit den Werten laufen.

Bis jetzt war das bei dem Monitor auch immer so, wenn die Werte ueber den Grenzbereich kamen, hat er sich ausgeschaltet und eine Fehlermeldung gezeigt welche Werte zu hoch eingestellt waren.

PS: XFree86 hatte ich davor auch nicht veraendert, also weder die Config noch die Version.
spiffi hat geschrieben: Das kann man nur noch als grob fahrlässig bezeichnen. Bevor Du anfängst mit Servern herumzuexperimentieren, solltest Du eine Firewall am laufen haben.
Ich weiss, dieses is mir schon klar, nur Linux habe ich derzeit eh nur zum Experomentieren drauf, von daher intressiert es mich eigendlich auch eher weniger was mit den Daten darauf passiert, es ist nix wichtiges drauf.
spiffi hat geschrieben:Wirf mal einen Blick in die /etc/fstab oder ruf das Kommando mount auf, dann siehst Du welche Dateisysteme verwendet werden.
Axso dieses ist gemeint, ja ist ext2

Benutzeravatar
zyta2k
Beiträge: 2446
Registriert: 14.03.2003 09:18:00
Kontaktdaten:

Beitrag von zyta2k » 08.03.2004 08:05:22

Wie zum Kuckuck soll ein Hacker dein X zum spinnen kriegen ??

s4p
Beiträge: 320
Registriert: 28.12.2003 05:01:07

Beitrag von s4p » 08.03.2004 09:09:57

zyta2k hat geschrieben:Wie zum Kuckuck soll ein Hacker dein X zum spinnen kriegen ??
tja, ich bin nicht dieser Hacker und kenne ihn auch nicht, also weiss ich dieses nicht. Aber dir scheint nicht bewusst zu sein, was alles moeglich ist ? ... Dein Text klinkt fuer mich so, als wuerdest du dieses als 'unmoeglich' bezeichnen nur weil es 'Linux' ist ? :roll:

Naja wie auch immer, ich habe mir jetzt mal shorewall runtergeladen und versucht zu konfigurieren ... jetzt is Linux bei mir komplett tot ... ich habe Stunden dran rum geschraubt aber seit ich den Interface einstellte, habe ich keine Internet verbindung mehr, ich finde den Fehler aber auch nicht ... selbst wenn ich shorewall stope komme ich nicht nehr ins Internete :roll:

Naja ...

Benutzeravatar
Natas12
Beiträge: 1751
Registriert: 12.04.2002 20:59:12

Beitrag von Natas12 » 08.03.2004 09:32:10

zyta2k hat nicht behauptet, dass es unmöglich wäre, ein linux-system zu hacken. und über X einen zugriff auf dein system zu erhalten, halte ich (trotz der prinzipiellen netzwerkfähigkeit von X) für nahezu ausgeschlossen. aber als "nicht netzwerker" kann ich da auch nix näheres sagen.

wie hätte das szenario ausgesehen / aussehen können:

hacker verschafft sich über deine serverdienste zugang zu deinem system. er wird dann entweder versuchen, ein rootkit zu installieren oder lokale sicherheitslücken des kernels / der installierten programme zu nutzen. das könnte auch X sein. aber ich habe von einer derart gravierenden sicherheitslücke in X nichts beghört.

bleibt möglichkeit 2, die ich für wahrscheinlicher halte:

irgendwas hat dein system getrasht. wenn beispielsweise dein login-manager abschmiert, so wird er automatisch neu gestartet, was das ständige an/aus des monitors erklären würde (er schaltet in den textmodus und dann sofort in den grafikmodus, was das von dir beschriebene phänomen hätte darstellen können).
danach hast du einen reboot gemacht. ext2, dein dateisystem, hat kein journal. wenn es nicht sauber geschlossen wird, treten dateisystemfehler auf. vielleicht sind dadurch offene dateien verschwunden. vielleicht auch so wichtige dateien, die ein korrektes arbeiten deines GESAMTSYSTEMS (inklusive NEU INSTALLIERTER programme) verhindern.

eine möglichkeit das herauszufinden, sind logifles. /var/log/syslog, /var/log/messages, etc. auch die logifles der verwendeten programme (x hat ebenfalls ein logfile) wäre nützlich.

nun zu den von mir genannten befehlen (fsck wurde ja bereits erläutert): "updatedb" erstellt eine tabelle mit dateien, die sich auf deinem system befinden. mit "locate XY" kann dann in dieser tabelle gesucht werden, sodass eini suchvorgang sehr schnell geht. wenn licq nach einem updatedb und locate licq nicht gefunden wird, ist es auch nicht installiert...

ich kann dir keinen wirklich festen "tipp" geben, wie dein system wieder so shiny wird, wie es sein sollte. ich würde empfehlen, schrittweise vorzugehen - nicht wie ein ausgehungerter fußballspieler auf den platz rennen und alles umhauen... ;-)
"In den reichen Ländern hat die Freiheit gesiegt - mit all den schrecklichen Folgen, die das für die anderen mit sich bringt und noch bringen wird. Die Demokratie ist auf andere Epochen verschoben." (L. Canfora)

Benutzeravatar
zyta2k
Beiträge: 2446
Registriert: 14.03.2003 09:18:00
Kontaktdaten:

Beitrag von zyta2k » 08.03.2004 09:36:18

s4p hat geschrieben:tja, ich bin nicht dieser Hacker und kenne ihn auch nicht, also weiss ich dieses nicht. Aber dir scheint nicht bewusst zu sein, was alles moeglich ist ? ... Dein Text klinkt fuer mich so, als wuerdest du dieses als 'unmoeglich' bezeichnen nur weil es 'Linux' ist ? :roll:
Nanana... jetzt wagst du dich aber weit zum Fenster hinaus...

Logisch kann er dir (falls er drin ist) diverse Parameter ändern. Direkt in den Graka-Speicher schreiben, die Maus übernehmen, Auflösungen ändern, etc...

Aber: Im Normalfall hat ein Hacker genau ein Ziel ! Nicht bemekrt zu werden. Und das passt so gar nicht in deine Schilderungen :?

s4p
Beiträge: 320
Registriert: 28.12.2003 05:01:07

Beitrag von s4p » 08.03.2004 10:00:26

1. Ich schrieb nirgends das er sich ueber X rein gehackt habe sondern nur, das der Monitor spinnte

2. @zyta2k: warum sollte ich mich jetzt weit ausm Fenster hinaus wagen ? Les dir deinen Text mal bitte selber ein mal genau druch
Wie zum Kuckuck soll ein Hacker dein X zum spinnen kriegen ??
Ich habe nur geschrieben wie 'ich' es aus deinem Text hinaus verstehe, und in dieser Formulierung hoert es fuer mich so an, als wuerdest du es nicht fuer moeglich halten und mit meinem Text habe ich nix 'gegen' dich geschrieben also weiss ich nicht, was du auf ein mal hast !?

Aber falls du dich auf irgend eine weisse angegriffen fuehlst (warum auch immer) dann sry.

3. Ich schrieb nur das ich 'vermute' gehackt worden zu sein, nicht das es ein 'Hacker' war ... es gibt viele Script Kiddies etc. die aus spass in Systeme eindringen und irgend einen bloedsinn anstellen. Und da ich mehre 'unconfigurierte' Server installiert hatte, sollte es fuer so ein Script-Kiddy kein grosses Problem darstellen mit diversen Tools zugriff zu verschaffen.

4. @Natas12: ich verwende keinen login manager sondern starte immer ueber 'startx' somit koennen wir dieses ausschliessen ;)

Benutzeravatar
zyta2k
Beiträge: 2446
Registriert: 14.03.2003 09:18:00
Kontaktdaten:

Beitrag von zyta2k » 08.03.2004 12:25:15

s4p hat geschrieben:1. Ich schrieb nirgends das er sich ueber X rein gehackt habe sondern nur, das der Monitor spinnte
Und genau das ist komisch :/
warum sollte ich mich jetzt weit ausm Fenster hinaus wagen ?
Weil du aus meinem Statement schliesst, dass ich ein "Linux ist Sicher, das kann nicht sein"-User bin der keine Ahnung von hacken hat.
Nur soviel:Assembler, und BufferOverlows sind keine Fremwörter für mich (im Gegenteil: Die meisten kann ich auch nachvollziehen. Mit dem selber entwickeln haperts ;))
als wuerdest du es nicht fuer moeglich halten und mit meinem Text habe ich nix 'gegen' dich geschrieben also weiss ich nicht, was du auf ein mal hast !?
für möglich halten, dass ein Hacker dein System so komisch zu flackern bringt != dein System nicht hackbar ist.

Kleiner aber feiner Unterschied
Aber falls du dich auf irgend eine weisse angegriffen fuehlst (warum auch immer) dann sry.
Nur keine Sorge. So schnell fühl ich mich nicht angegriffen.
3. Ich schrieb nur das ich 'vermute' gehackt worden zu sein, nicht das es ein 'Hacker' war ...
Nadann Checke mal dein system !

Code: Alles auswählen

debsums --silent --changed
chkrootkit (am besten von hand compiliert, oder neu ziehen)
@natas:
Doch. X hat nen Bug für local root (war ~ im januar glaub ich. Sollte aber im security tree gefixed sein).

s4p
Beiträge: 320
Registriert: 28.12.2003 05:01:07

Beitrag von s4p » 08.03.2004 12:32:27

zyta2k hat geschrieben:Weil du aus meinem Statement schliesst, dass ich ein "Linux ist Sicher, das kann nicht sein"-User bin der keine Ahnung von hacken hat.
sry, wenn das so rueber kam, aber genau das wollte ich damit nicht ausdruecken, aber ist jetzt auch egal vergessen wir das thema, ok ? ;)
zyta2k hat geschrieben:@natas:
Doch. X hat nen Bug für local root (war ~ im januar glaub ich. Sollte aber im security tree gefixed sein).
Wobei ich gleich erwaehnen sollte das ich mich unter X nie als root einlogge ;) Aber jetzt weiss ich wenigstens was genau man meint wenn wer schreibt das man sich nie als root unter X einloggen sollte, bis jetzt hatte ichs nie verstanden weil ich nix weiter drueber lass ;)

Antworten