root exploit im Umlauf?
root exploit im Umlauf?
Gibt es momentan bekannte root Exploits im Umlauf mit denen ein original debian woody kompromitiert werden kann?
Mein Server zu Hause scheint wahrscheinlich gehackt zu sein. Bin hier grad auf Arbeit und wollte mich zu Hause per ssh aufschalten, da bringt mir putty eine Warning dass sich der Host key geändert hat Nach ignorieren kann ich mich auch nicht mehr einloggen, alle Einlogversuche werden bereits nach dem 2. Fehlversuch abgebrochen (normalerweise gingen da wesentlich mehr), mein Exim hat laut Selbstauskunft keine plain text authentifizierung mehr und apache hat auch keine webseiten mehr.
Sieht wohl so aus, als wenn sich da jemand Zugriff erschlichen hat Genau kann ich es aber wohl erst sagen wenn ich wieder zu Hause bin.
Es waren aber alle aktuellen Patches installiert, es liefen ssh (nur ssh2), http (apache1) und smtp (exim mit plain text authentifizierung, uid/passwort exim != shell accounts).
Ist da jemandem was bekannt über aktuelle exploits?
Mein Server zu Hause scheint wahrscheinlich gehackt zu sein. Bin hier grad auf Arbeit und wollte mich zu Hause per ssh aufschalten, da bringt mir putty eine Warning dass sich der Host key geändert hat Nach ignorieren kann ich mich auch nicht mehr einloggen, alle Einlogversuche werden bereits nach dem 2. Fehlversuch abgebrochen (normalerweise gingen da wesentlich mehr), mein Exim hat laut Selbstauskunft keine plain text authentifizierung mehr und apache hat auch keine webseiten mehr.
Sieht wohl so aus, als wenn sich da jemand Zugriff erschlichen hat Genau kann ich es aber wohl erst sagen wenn ich wieder zu Hause bin.
Es waren aber alle aktuellen Patches installiert, es liefen ssh (nur ssh2), http (apache1) und smtp (exim mit plain text authentifizierung, uid/passwort exim != shell accounts).
Ist da jemandem was bekannt über aktuelle exploits?
Ciao
Romulus
Romulus
- blackm
- Moderator und Co-Admin
- Beiträge: 5921
- Registriert: 02.06.2002 15:03:17
- Lizenz eigener Beiträge: MIT Lizenz
Hm...hört sich ja nicht so gut an...das was mir dyndns nicht hinhaut und du an einen anderen Rechner geraten bist würde ich für unwahrscheinlich halten. Speicher von der Kiste voll...würde anders aussehen...
Also wenn ich du wäre, ich würde die Arbeit Arbeit sein lassen und direkt nach Hause fahren...
Also wenn ich du wäre, ich würde die Arbeit Arbeit sein lassen und direkt nach Hause fahren...
Schöne Grüße
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
tja wenn das so einfach ginge ... bin leider alleine hier und muss noch bis 18 Uhr aushalten
Aber inzwischen habe ich noch eine andere Vermutung ... der Server hatte gestern abend kurz vorm zu Bett gehen noch einen Absturz, nach Neustart musste ich e2fsck von Hand durch laufen lassen, allerdings nur auf der Home Partition ... vielleicht hats ja da ein paar Dateien erwischt?
Ist nicht schon bald 18 Uhr ... ich muss weg ... *heul*
Aber inzwischen habe ich noch eine andere Vermutung ... der Server hatte gestern abend kurz vorm zu Bett gehen noch einen Absturz, nach Neustart musste ich e2fsck von Hand durch laufen lassen, allerdings nur auf der Home Partition ... vielleicht hats ja da ein paar Dateien erwischt?
Ist nicht schon bald 18 Uhr ... ich muss weg ... *heul*
Ciao
Romulus
Romulus
das gibts doch nicht! Jetzt liegen auf meinem Server irgendwelche mir nicht bekannte Urlaubsbilder
Schauts euch mal an: http://romulus.homelinux.org
Aber irgendwie kann ich kaum glauben, dass ein hacker so was machen sollte. Vielleicht hat ja die Dyndns Aktualisierung nicht geklappt und durch einen merkwürdigen Zufall hat derjenige der meine alte IP jetzt hat auch a) einen SSH Server b) exim c) debian d) apache laufen und geht auch noch über den Frankfurter (wohne NICHT da ) Arcor Server ins Netz.
Hmmm
Schauts euch mal an: http://romulus.homelinux.org
Aber irgendwie kann ich kaum glauben, dass ein hacker so was machen sollte. Vielleicht hat ja die Dyndns Aktualisierung nicht geklappt und durch einen merkwürdigen Zufall hat derjenige der meine alte IP jetzt hat auch a) einen SSH Server b) exim c) debian d) apache laufen und geht auch noch über den Frankfurter (wohne NICHT da ) Arcor Server ins Netz.
Hmmm
Ciao
Romulus
Romulus
- blackm
- Moderator und Co-Admin
- Beiträge: 5921
- Registriert: 02.06.2002 15:03:17
- Lizenz eigener Beiträge: MIT Lizenz
oder die aktualisierung bei dir hat nicht geklappt und jemand hat deine DynDns Domain...romulus hat geschrieben:Vielleicht hat ja die Dyndns Aktualisierung nicht geklappt und durch einen merkwürdigen Zufall hat derjenige der meine alte IP
by, Martin
Schöne Grüße
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
lol... ich glaube jedenfalls nicht, daß der "hacker" dir seine urlaubsfotos (mit seinem gesicht drauf) zeigen würde! zwar habe ich selbst keine erfahrungen mit servern, aber unter diesen umständen glaube ich auch an einen irrtum...
viel erforlg beim beheben
asp@lin
viel erforlg beim beheben
asp@lin
Täuschung ist das Silikon der Postmoderne.
-
- Beiträge: 387
- Registriert: 26.11.2002 15:37:00
- Wohnort: Oberhausen
Hi Folks,
bin eben auf den Thread gestossen.
@romulus:
Lass dir in Zukunft von deinem DynDNS-Client immer die IP an
ne Mail-Adresse schicken, die du ueber's Web abfragen kannst.
Das sieht echt nach einem Versehen aus.
Gruss,
Weizenbier
bin eben auf den Thread gestossen.
@romulus:
Lass dir in Zukunft von deinem DynDNS-Client immer die IP an
ne Mail-Adresse schicken, die du ueber's Web abfragen kannst.
Das sieht echt nach einem Versehen aus.
Gruss,
Weizenbier
There are only 10 types of people in the world:
Those who do understand binary and those who don't.
Those who do understand binary and those who don't.
ein erstaunlicher Zufall ist das aber schon ... wären da gar keine Serverdienste drauf gewesen, wäre ich ja gleich von anfang von ausgegangen, dass es ein Problem mit dyndns gab. Aber so ... der Typ hat ja praktisch dieselbe Installation wie ich mit denselben öffentlichen Diensten und geht auch über Arcor ins Netz.
Naja, mal schauen wie es aussieht wenn ich nach Hause komme, hoffentlich ist es wirklich nur eine Verwechslung
achja, das mit der IP per Mail zuschicken ist gar keine schlechte Idee, muss ich ich heute abend mal ransetzen.
Naja, mal schauen wie es aussieht wenn ich nach Hause komme, hoffentlich ist es wirklich nur eine Verwechslung
achja, das mit der IP per Mail zuschicken ist gar keine schlechte Idee, muss ich ich heute abend mal ransetzen.
Ciao
Romulus
Romulus
Das der Typ auch bei Arcor ist, ist kein Zufall, sondern Notwendigkeit.
Ich denke mal, es ist folgendes passiert:
Dein Rechner ist heute erneut abgestürzt, oder hat zumindest die Verbindung zum Internet verloren. Danach ist Deine IP an einen anderen Arcor-Kunden gegangen. Dessen Rechner ist jetzt über Deinen alten Dyndns-Eintrag erreichbar. Und der wundert sich vielleicht schon, welcher 'Hacker' da versucht, in sein System zu kommen.
Ich denke mal, es ist folgendes passiert:
Dein Rechner ist heute erneut abgestürzt, oder hat zumindest die Verbindung zum Internet verloren. Danach ist Deine IP an einen anderen Arcor-Kunden gegangen. Dessen Rechner ist jetzt über Deinen alten Dyndns-Eintrag erreichbar. Und der wundert sich vielleicht schon, welcher 'Hacker' da versucht, in sein System zu kommen.
so es lag tatsächlich am dyndns Update und ich weiss jetzt auch warum das nicht geklappt hat: nach dem Booten gestern abend hat er das Systemdatum nicht angepasst (das steht nämlich immer auf Jahr 1996 nach einem Reboot) und ddclient hat sich geweigert ein Update zu machen, weil er dachte das letzte Update wäre weniger als 30 Sekunden her ... nämlich -5 Millionen oder so
Ok hat sich zum Glück geklärt
Ok hat sich zum Glück geklärt
Ciao
Romulus
Romulus