Re[3]: Server gehackt????
Guten Tag Carsten Dirk,
Am Mittwoch, 14. August 2002 um 18:47 schrieben Sie:
Carsten Dirk> Guten Tag Dirk Prösdorf,
Carsten Dirk> Am Mittwoch, 14. August 2002 um 08:58 schrieben Sie:
Dirk Prösdorf>> On Tue, Aug 13, 2002 at 06:39:02PM +0200, Carsten Dirk wrote:
>>> und ich habe vielle md5-checksum fehler mein Server wurde leider
>>> gehakt obwohl alle patche drauf sind und eigentlich ganz sicher ist.
Dirk Prösdorf>> Vielleicht ist jemand durch die Vordertür rein gekommen, sprich über
Dirk Prösdorf>> unsichere Passwörter?
>>> Meine Frage wie kann ich rausfinden wie genau hat er das gemacht und
>>> wie kann ich ihn erwischen seine ip rausfinden und so.
Dirk Prösdorf>> Evtl. sind in den Backups der Logfiles von den Vortagen irgend welche
Dirk Prösdorf>> Vorläufer des Angriffs zu finden.
Dirk Prösdorf>> Ansonsten müsste da ein Fachmann ran, der evtl. was finden kann,
Dirk Prösdorf>> aufgrund seiner Erfahrung, aber je länger Du da suchst um so mehr Spuren
Dirk Prösdorf>> sind am Tatort verwischt.
>>> Und was muss
>>> ich noch machen für die zukunft damit so was nicht passiert?
Dirk Prösdorf>> Da wurden Dir ja schon genug Links gezeigt.
>>> Habe ich eine andere möglichkeit auser neue instalation
Dirk Prösdorf>> Auf jeden Fall neu installieren. Du weißt nicht, welche Hintertüren dort
Dirk Prösdorf>> jemand hinterlassen hat.
Carsten Dirk> wir habe schon ersatz server den wollen wir jetz als köder nutzten was
Carsten Dirk> würdet ihr so empfehlen ich will rausfinden wo komt er her. Ich ahb
Carsten Dirk> auch rausgefunden das ein Rootkit namens TuxKit Ver 1.0 auch
Carsten Dirk> modefiziert drauf instaliert wurde. Jetz will ich nur ein den Typ
Carsten Dirk> finden. Hab schon Tcpdump im hintergrund verstekt und er logt alles
Carsten Dirk> das Problemm ist später mit dem auswertung! Oder kennt jemand eine
Carsten Dirk> andere alternative wie ich es rausfinden kann wer das war?
Carsten Dirk> --
Carsten Dirk> Mit freundlichen Grüssen
Carsten Dirk> Carsten Dirk mailto:carsten.dirk@gmx.de
achso was kann man gegen so was unternehmen damit es nicht nochmal
passiert. Die Dienste die angeboten werden sind: pop3, imap, DNS, WWW,
SSH. Für jeden Tip bin ich sehr Dangbar!!!
--
Mit freundlichen Grüssen
Carsten Dirk mailto:carsten.dirk@gmx.de
Reply to: