cracked....

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
Antworten
tylerD
Beiträge: 4068
Registriert: 10.07.2002 17:34:13
Wohnort: Halle/Saale
Kontaktdaten:

Beitrag von tylerD » 17.09.2004 13:25:39

MacGyver031 hat geschrieben:Hallo,
Ich hätt auch einen Frage: Wie kann ich feststellen ob jemand meinen Server kompromittiert hat?

TX
Mal wieder so ein Fall von "kann man so pauschal nicht beantworten". Je nachdem wie gut der Angreifer war, desto schwerer wird es sowas zu erkennen. Deswegen ist ja ein guter Admin mit viel Erfahrung + Wissen auch viel Wert.

Solche Sachen wie sie bongout beschreibt sind ja schon Recht krass und spätestens dann soltte man merken das jemand eingebrochen ist.

Um sowas festzustellen gibt es viele Wege:
Serverlogs, Traffic beobachten, Prozesse beobachten, nach Rootkits suchen usw. Soetwas teilweise zu automatisieren versuchen IDS [1]. Sowas kann jedoch, wie immer bei Sicherheit, nur ein Baustein aus einem Konzept sein.

cu

[1] http://de.wikipedia.org/wiki/Intrusion_Detection_System
Nach oben
Benutzeravatar
startx
Beiträge: 3165
Registriert: 07.12.2002 19:29:48
Wohnort: london

Beitrag von startx » 17.09.2004 13:25:49

Wie kann ich feststellen ob jemand meinen Server kompromittiert hat?
das kommt darauf an, was du mit "kompromittiert" bezeichnen will. wenn ich einen zugang zu deinem rechner als user bekomme, kann ich ne menge anstellen, aber halt nicht alles. wenn ich es schaffe auf root zu wechseln kann ich viel/alles anstellen (z.B: ihn als ausgangspunkt für angriffe auf andere systeme benutzen).

die programme, die rootkits suchen helfen da auch nicht unbedingt.

was du machen kannst ist regelmässig überprüden, ob prozesse und programme laufen, die dir nichts sagen oder ob dateien neuere daten tragen. ausserdem regelmässige blicke in die log-dateien (wobei auch die
natürlich verändert werden können)

es gibt natürlich auch ganz ausgefeilte "intrusion detection systeme", musst du mal bei google suchen.

absolute sicherheit gibt es nie, sicherheit ist relativ ...
<edit>oops, da war tylerD 10 sekunden schneller</edit>
Nach oben
Benutzeravatar
MacGyver031
Beiträge: 628
Registriert: 18.08.2003 11:24:49
Wohnort: Wiedlisbach, Schweiz
Kontaktdaten:

Beitrag von MacGyver031 » 19.09.2004 08:55:27

Hallo,
Danke, ich wusste schon dass man nicht soo leicht heraus findet ob jemand den Server gekarpert hat. Mein Syslog-datei hat fehgeschlagene Logins registriert, und ich habe keine erfolgreichen Login gesehen. Ich weiss schon dass der erfolgreiche Syslog-einträge manipulieren lassen.

Ich halte mich mit wöchentlich mit den Updates auf den neusten stand.

Code: Alles auswählen

grep "Failed password" /var/log/syslog | grep 211.233.15.51
ergibt

Code: Alles auswählen

Sep 18 11:24:09 Mac-6450 sshd[3668]: Failed password for illegal user test from 211.233.15.51 port 37541 ssh2
Sep 18 11:24:14 Mac-6450 sshd[3670]: Failed password for illegal user guest from 211.233.15.51 port 37653 ssh2
Sep 18 11:24:21 Mac-6450 sshd[3672]: Failed password for illegal user admin from 211.233.15.51 port 37767 ssh2
Sep 18 11:24:28 Mac-6450 sshd[3674]: Failed password for illegal user admin from 211.233.15.51 port 37883 ssh2
Sep 18 11:24:37 Mac-6450 sshd[3676]: Failed password for illegal user user from 211.233.15.51 port 38035 ssh2
Sep 18 11:24:42 Mac-6450 sshd[3678]: Failed password for root from 211.233.15.51 port 38198 ssh2
Sep 18 11:24:50 Mac-6450 sshd[3680]: Failed password for root from 211.233.15.51 port 38296 ssh2
Sep 18 11:24:59 Mac-6450 sshd[3682]: Failed password for root from 211.233.15.51 port 38445 ssh2
Sep 18 11:25:05 Mac-6450 sshd[3684]: Failed password for illegal user test from 211.233.15.51 port 38620 ssh2
Soll das mich beunruhigen?
Sincerely your
MacGyver

SysInfo:
Intel Centrino 1.3GHz, 1GB, ATI M9, 1400x1050.
2.6.23, xorg-x11 7.2 Fluxbox 1.0.0 and many more.
Nach oben
Benutzeravatar
Hackmeck
Beiträge: 1397
Registriert: 22.10.2002 19:14:02
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Düsseldorf
Kontaktdaten:

Re: cracked....

Beitrag von Hackmeck » 19.09.2004 09:32:21

bongout hat geschrieben:Anybody out here der (ggf. gegen Honorar) in der Lage wäre, meinen nächsten Versuch in Fragen der Serversicherheitzu begleiten?
Es gibt dazu auch ganz gute deutschsprachige Literatur auf debian.org:

Anleitung zum Absichern von Debian
Nach oben
DeletedUserReAsG

Beitrag von DeletedUserReAsG » 19.09.2004 10:17:10

MacGyver031 hat geschrieben:Soll das mich beunruhigen?
Prinzipiell nicht, wenn du sichere Passwörter benutzt. Ist ein Spielzeug der Scriptkiddies, mehr Infos incl. der Sourcen kann man z.B. hier finden.

cu
niemand
Nach oben
maximo
Beiträge: 78
Registriert: 27.10.2003 09:17:15
Wohnort: Datennetz
Kontaktdaten:

Beitrag von maximo » 19.09.2004 21:34:02

wie schon einer sagte ist das alles allgemein gesagt . :)
es hängt einfach ab ob der angreifer über gute kenntnisse verfügt
ob das system schon lange kompromittiert wird
ob man gute abwährmassnahmen eingesetzt hat.

1. es kann so sein dass alles was du machst und eintippst kompromittiert wird,
von ifconfig bist modconf dann hilft nur reboot :) und neuinstall
2. wenn du es gerade gemerkt hast würde ich das net schnell kappen und backup draufspielen. sonst kann man die configs rekonfigurieren . aber backup hab ich öffters gehört.
3. vorbeugen ist besser als neuinstallieren :)
Nach oben
a gree
Beiträge: 138
Registriert: 25.07.2004 11:48:52
Kontaktdaten:

Beitrag von a gree » 24.09.2004 18:33:23

Man muss ja nicht gleich runterfahren. Manchmal lagern ein paar nette Infos auch noch im Ram, und wenn da der Strom weg ist, oder diese Überschrieben werden, wärs doch schade drum.
Man kann ja auch einfach das Netzwerkkabel ziehen.

Mit dem rkhunter hab ich bei meinem, von mir selber kompromittierten (wenn man das so nennen kann ;-)) Rechner gute Erfahrungen gemacht, aber ich hab auch gehört, das man Dateien in auf der Festplatte als Bad markierten Sektoren verstecken kann. Ich weiß nur nicht wie.
...ceterum censeo TCG (TCPA) esse delendam!
Nicht Klicken!
Nach oben
Antworten

Zurück zu „Einstiegsfragen“