Re: Server gehackt?

To: debian-user-german@lists.debian.org
Subject: Re: Server gehackt?
From: Dieter Franzke <lists@eyenovation.de>
Date: Sun, 28 Sep 2003 11:44:18 +0200
Message-id: <[🔎] 200309281144.18660.lists@eyenovation.de>
In-reply-to: <[🔎] 003201c385a2$f9bb3e60$0301a8c0@pcmario>
References: <[🔎] 003201c385a2$f9bb3e60$0301a8c0@pcmario>

Hi,

Am Sonntag, 28. September 2003 11:27 schrieb Mario Duve:
> Hallo,
>
> Ich habe in /tmp 3 Dateien gefunden, die mir da nicht so
> richtig gefallen. telnetd telnetd.1 telnetd.2
>
> Jetzt frage ich mich, wie diese Datein da hingekommen sind,
> und ob ich mir jetzt Sorgen um meinen Server machen muss?

allgemeine Verhaltensmaßregeln für so einen fall:
1. Rechner unbedingt vom Netz nehmen
2. Logfile-Analyse (sofern die nicht schon korrumpiert sind)
3. Schauen wer alles eingeloggt war (last, w, who)
4. Suchen nach veränderten Dateien (find...)
5. chkrootkit laufen lassen
6. In Zukunft dafür sorgen, dass
	a) vielleicht ein sentry läuft
	b) aide installiert ist
	c) tripwire installiert

Wenn dein Rechner wirklich ungebetenen Besuch hatte, ist allerdings 
damit zu rechnen, dass auch unter Umständen die üblichen Programme 
a la ls, find, last und die logfiles  modifiziert worden sind.
Sollte dein VErdacht auch nur ansatzweise begrundet sein, wirst du 
um ne komplette Neuinstallation nicht umhinkommen.

ciao

dieter

-- 
On this machine no Windows system will survive and FreeBSD POWER 
reigns UNLIMITED...

Reply to:

Follow-Ups:
- Re: Server gehackt?
  - From: schubertp@t-online.de (Peter Schubert)
- Re: Server gehackt?
  - From: "Soeren D. Schulze" <soeren.d.schulze@gmx.de>

References:
- Server gehackt?
  - From: "Mario Duve" <list-debian@nomagic.de>

Prev by Date: welches Hardware-RAID?
Next by Date: Re: Mutt markiert neue Mails nicht als neu
Previous by thread: Re: Server gehackt?
Next by thread: Re: Server gehackt?
Index(es):
- Date
- Thread