Mal wieder so ein Fall von "kann man so pauschal nicht beantworten". Je nachdem wie gut der Angreifer war, desto schwerer wird es sowas zu erkennen. Deswegen ist ja ein guter Admin mit viel Erfahrung + Wissen auch viel Wert.MacGyver031 hat geschrieben:Hallo,
Ich hätt auch einen Frage: Wie kann ich feststellen ob jemand meinen Server kompromittiert hat?
TX
Solche Sachen wie sie bongout beschreibt sind ja schon Recht krass und spätestens dann soltte man merken das jemand eingebrochen ist.
Um sowas festzustellen gibt es viele Wege:
Serverlogs, Traffic beobachten, Prozesse beobachten, nach Rootkits suchen usw. Soetwas teilweise zu automatisieren versuchen IDS [1]. Sowas kann jedoch, wie immer bei Sicherheit, nur ein Baustein aus einem Konzept sein.
cu
[1] http://de.wikipedia.org/wiki/Intrusion_Detection_System