On Wed, 17 May 2006 20:17:55 +0200 (CEST) Torben Schou Jensen wrote: > Mandag aften opdager jeg tilfældigt via ntop en IP adresse der er fast > koblet op på min server, og det er ikke HTTP trafik, men mystisk > stabil trafik i små pakker mod port 2343. > > Ved nærmere undersøgelse viser det sig at være en såkaldt IRC trojan > der i slutningen af december 2005 er sluppet ind på min server via et > PHP hul og har bidt sig fast i crontab. > > Læs mere på http://swampthing.dk/attack1/ > > PHP hullet er nu lukket og trojan er fjernet, men jeg tænker nu over > hvad det hul kan have været brugt til, kan nemlig ikke finde ret > meget info om sådan noget på google??? Som Mads Vestergaard nævner kan /etc/passwd være blevet læst, og login ad mindre mistænksomme veje være blevet anvendt derefter. Udover hvad hullet kan være blevet brugt til, er der også spørgsmålet om du reelt har sikret dit system ordentligt eller der stadigt ligger snavs et sted! Det er en god ting altid at have et IDS (Intrution Detection System) installeret, især på servere. Jeg bruger personligt integrit[1] - se Debian-pakken harden-environment, den afhængigher af bl.a. IDS'er. Du nævner ikke dette, så jeg antager at du ikke har brugt det. Hvis du vil checke dit system _efter_ indbrud, så nytter det ikke noget at installere et IDS. Med Debian kan du dog installere et parallelt system på en anden maskine, med eksakt samme pakker (hentet direkte fra Debian!), og derefter sammenligne de to systemer. Hvis du sammenligner med rsync, så husk at tvinge til altid at bruge tværsum fremfor (som det ellers er standard) at ignorere hvis filstørrelse og tidsstempel matcher. - Jonas [1] Jeg tror faktisk ikke at integrit er det bedste IDS - jeg har blot engang sat mig ind i det og endnu ikke fået kigget ordentligt på de andre. -- * Jonas Smedegaard - idealist og Internet-arkitekt * Tlf.: +45 40843136 Website: http://dr.jones.dk/ - Enden er nær: http://www.shibumi.org/eoti.htm
Attachment:
pgpsiKf6KKoBV.pgp
Description: PGP signature