Re[2]: Server gehackt????
Guten Tag Dirk Prösdorf,
Am Mittwoch, 14. August 2002 um 08:58 schrieben Sie:
Dirk Prösdorf> On Tue, Aug 13, 2002 at 06:39:02PM +0200, Carsten Dirk wrote:
>> und ich habe vielle md5-checksum fehler mein Server wurde leider
>> gehakt obwohl alle patche drauf sind und eigentlich ganz sicher ist.
Dirk Prösdorf> Vielleicht ist jemand durch die Vordertür rein gekommen, sprich über
Dirk Prösdorf> unsichere Passwörter?
>> Meine Frage wie kann ich rausfinden wie genau hat er das gemacht und
>> wie kann ich ihn erwischen seine ip rausfinden und so.
Dirk Prösdorf> Evtl. sind in den Backups der Logfiles von den Vortagen irgend welche
Dirk Prösdorf> Vorläufer des Angriffs zu finden.
Dirk Prösdorf> Ansonsten müsste da ein Fachmann ran, der evtl. was finden kann,
Dirk Prösdorf> aufgrund seiner Erfahrung, aber je länger Du da suchst um so mehr Spuren
Dirk Prösdorf> sind am Tatort verwischt.
>> Und was muss
>> ich noch machen für die zukunft damit so was nicht passiert?
Dirk Prösdorf> Da wurden Dir ja schon genug Links gezeigt.
>> Habe ich eine andere möglichkeit auser neue instalation
Dirk Prösdorf> Auf jeden Fall neu installieren. Du weißt nicht, welche Hintertüren dort
Dirk Prösdorf> jemand hinterlassen hat.
wir habe schon ersatz server den wollen wir jetz als köder nutzten was
würdet ihr so empfehlen ich will rausfinden wo komt er her. Ich ahb
auch rausgefunden das ein Rootkit namens TuxKit Ver 1.0 auch
modefiziert drauf instaliert wurde. Jetz will ich nur ein den Typ
finden. Hab schon Tcpdump im hintergrund verstekt und er logt alles
das Problemm ist später mit dem auswertung! Oder kennt jemand eine
andere alternative wie ich es rausfinden kann wer das war?
--
Mit freundlichen Grüssen
Carsten Dirk mailto:carsten.dirk@gmx.de
Reply to: