Re: Server gehackt?
Hi,
Am Sonntag, 28. September 2003 11:27 schrieb Mario Duve:
> Hallo,
>
> Ich habe in /tmp 3 Dateien gefunden, die mir da nicht so
> richtig gefallen. telnetd telnetd.1 telnetd.2
>
> Jetzt frage ich mich, wie diese Datein da hingekommen sind,
> und ob ich mir jetzt Sorgen um meinen Server machen muss?
allgemeine Verhaltensmaßregeln für so einen fall:
1. Rechner unbedingt vom Netz nehmen
2. Logfile-Analyse (sofern die nicht schon korrumpiert sind)
3. Schauen wer alles eingeloggt war (last, w, who)
4. Suchen nach veränderten Dateien (find...)
5. chkrootkit laufen lassen
6. In Zukunft dafür sorgen, dass
a) vielleicht ein sentry läuft
b) aide installiert ist
c) tripwire installiert
Wenn dein Rechner wirklich ungebetenen Besuch hatte, ist allerdings
damit zu rechnen, dass auch unter Umständen die üblichen Programme
a la ls, find, last und die logfiles modifiziert worden sind.
Sollte dein VErdacht auch nur ansatzweise begrundet sein, wirst du
um ne komplette Neuinstallation nicht umhinkommen.
ciao
dieter
--
On this machine no Windows system will survive and FreeBSD POWER
reigns UNLIMITED...
Reply to: