Re: sshd will nicht starten
am 2006-05-08 20:19 schrieb Andreas Pakulat:
> On 08.05.06 19:40:22, Peter Velan wrote:
>> am 2006-05-08 19:08 schrieb Andreas Pakulat:
>> > On 08.05.06 18:46:41, Peter Velan wrote:
>> >> Auf der Kummerkiste das da:
>> >>
>> >> > -rw------- 1 root root 35 2006-02-09 16:00 /dev/nul
>> >> > lrwxrwxrwx 1 root root 21 2006-05-03 17:32 /dev/null -> ftp.0.200605031731.gz
>> >>
>> >> Also das sieht doch ziemlich komisch aus, oder?
>> >
>> > Ja, weisst du wer das war? Siehst du eine Chance das herauszufinden?
>>
>> Hmm, die File "ftp.0.200605031731.gz" müsste ein Übriggebliebenes von
>> "apt-get remove flexbackup" sein.
>
> Sicher?
Nein, was ist schon sicher? ;-)
> Warum?
Weil ich kurz vor dem Spinnen des 'courier' (bei mir als
POP3/IMAP-Daemon im Einsatz, für SMTP ist 'exim4' zuständig)
'flexbackup' deinstalliert habe. Die File 'ftp.0.200605031731.gz' ist
mit Sicherheit ein Übrigbleibsel aus einem 'flexbackup'-Testlauf, den
ich am Freitag gefahren habe!
>> > Vllt. hat da ja jemand einen "Schabernack" mit dir getrieben (aka dein
>> > Server wurde gehackt).
>>
>> Glaub ich jetzt zwar nicht, aber falls doch, wie könnte ich noch weitere
>> Spuren finden?
>
> Such mal nach rootkit, es gibt AFAIK einige Programme die dein System
> daraufhin pruefen koennen.
chkrootkit => nichts negatives
rkhunter -c => nichts negatives
... und nein, ich fühle mich trotz der beiden unauffälligen Durchläufe
der beiden Rootkit-Checker nicht so als wäre ich nun im
Sicherheitsparadies gelandet. Ein gutes Stück Paranoia gehört wohl zum
Betreiben eines Servers.
> Auch die Logs deiner Serverdienste sollten
> Aufschluss geben koennen, _falls_ der Angreifer seine Spuren nicht
> komplett verwischt hat.
Ich habe schon gleich zu Beginn ziemlich heftig in so ziemlich allen
Logs gesucht um dem spinnerten 'courier' auf die Schliche zu kommen,
konnte aber Auffälliges nicht entdecken. Dennoch werde ich nochmal die
Logs durchsehen.
Vielen Dank für die konstruktive Hilfe!
Gruß
Peter
Reply to: