Re: Server gehackt?
Hi,
On Sun Sep 28 06:53PM, Mario Duve wrote:
> Matthias Peick wrote:
> > Mario Duve skribis:
> >
> >> Also, ein telnetd ist von mir nicht installiert.
> >> Habe ich noch nie auf einem Linuxsystem gemacht.
> >>
> >> Telnet ist auch nicht von ausses erreichbar, da geblockt
> >> in accesslist des Routers!
> >>
> >> Warum soll ich mir keine Sorgen machen? Wer weiss was da
> >> noch versucht wurde.
> >
> > Wem gehören die Dateien?
>
> die gehören www-data
Ich habe den Thread nur überflogen, aber daß ist schon bedenklich.
Es könnte darauf hindeuten, daß ein potentzieller Einbrecher
sich über einen Bug im WebServer Zugriff verschafft hat.
Hast du einen Web Server laufen, zB Apache mit SSL? Wenn ja,
in welcher Version (dpkg -l |grep apache)?
Ansonsten bietet es sich an, mit 'netstat -anp' zu gucken, was für
Dienste auf deinem Rechner laufen, evtl. mit einem portscan abgleichen,
ob du der Ausgabe von netstat vertrauen kannst (wird oft durch eine
trojanisierte Version ersetzt). mit 'ps auxww' kannst du gucken, ob
gerade 'komische' Prozesse laufen. Gerne wird auch /sbin/ifconfig
ersetzt, um zu verhindern, daß ifconfig dir sagt, ob deine Netzwerkkarte
im promiscuous mode läuft. Ein 'strings /sbin/ifconfig |grep PROMISC'
gibt Auskunft.
Natürlich ist, wie schon gesagt, die beste Methode, die Cheksums zu
vergleichen, wenn du diese aber bisher noch nicht erstellt hast, hat
es leider wenig Sinn.
Anonsten, wie schon erwähnt, den Rechner vom Netz trennen. Eigentlich
bietet es sich an, möglichst schnell ein Disk Image zu erstellen, für
spätere forensische Untersuchungen, zB nach gelöschten Dateien suchen
usw.
Gruß, Andreas
Reply to: