Re: Server gehackt?

To: <debian-user-german@lists.debian.org>
Subject: Re: Server gehackt?
From: "Mario Duve" <list-debian@nomagic.de>
Date: Sun, 28 Sep 2003 19:33:08 +0200
Message-id: <[🔎] 013401c385e6$dbb76f30$0301a8c0@pcmario>
References: <[🔎] 003201c385a2$f9bb3e60$0301a8c0@pcmario> <[🔎] 200309281144.18660.lists@eyenovation.de> <[🔎] 3F76B2A6.90308@t-online.de> <[🔎] 1064746527.27027.89.camel@ratti.local> <[🔎] 003b01c385b1$65fa6480$0301a8c0@pcmario> <[🔎] 3044747.aXOnC2lTTi@news.peick.de> <[🔎] 00a901c385e1$305ccdb0$0301a8c0@pcmario> <[🔎] 20030928171423.GA16390@knight.inferno.nadir.org>

Andreas Meiner wrote:
> Hi,
>
> On Sun Sep 28  06:53PM, Mario Duve wrote:
>> Matthias Peick wrote:
>>> Mario Duve skribis:
>>>
>>>> Also, ein telnetd ist von mir nicht installiert.
>>>> Habe ich noch nie auf einem Linuxsystem gemacht.
>>>>
>>>> Telnet ist auch nicht von ausses erreichbar, da geblockt
>>>> in accesslist des Routers!
>>>>
>>>> Warum soll ich mir keine Sorgen machen? Wer weiss was da
>>>> noch versucht wurde.
>>>
>>> Wem gehören die Dateien?
>>
>> die gehören www-data
>
> Ich habe den Thread nur überflogen, aber daß ist schon bedenklich.
> Es könnte darauf hindeuten, daß ein potentzieller Einbrecher
> sich über einen Bug im WebServer Zugriff verschafft hat.
> Hast du einen Web Server laufen, zB Apache mit SSL? Wenn ja,
> in welcher Version (dpkg -l |grep apache)?
>
> Ansonsten bietet es sich an, mit 'netstat -anp' zu gucken, was für
> Dienste auf deinem Rechner laufen, evtl. mit einem portscan
> abgleichen, ob du der Ausgabe von netstat vertrauen kannst (wird oft
> durch eine trojanisierte Version ersetzt). mit 'ps auxww' kannst du
> gucken, ob gerade 'komische' Prozesse laufen. Gerne wird auch
> /sbin/ifconfig ersetzt, um zu verhindern, daß ifconfig dir sagt, ob
> deine Netzwerkkarte im promiscuous mode läuft. Ein 'strings
> /sbin/ifconfig |grep PROMISC' gibt Auskunft.
>
> Natürlich ist, wie schon gesagt, die beste Methode, die Cheksums zu
> vergleichen, wenn du diese aber bisher noch nicht erstellt hast, hat
> es leider wenig Sinn.
>
> Anonsten, wie schon erwähnt, den Rechner vom Netz trennen. Eigentlich
> bietet es sich an, möglichst schnell ein Disk Image zu erstellen, für
> spätere forensische Untersuchungen, zB nach gelöschten Dateien suchen
> usw.

Also, im moment sieht es so aus. Nach einem Standtortwechsel des betroffenen
PC,
fährt dieser nich mehr hoch.

request_module[ppp0]: fork failed, errno 1

STRG+c gehts weiter bis modprobe: Can't locate module ppp0
STRG+c gehts weiter bis zum start von Postfix, danach geht es nicht
mehr weiter, auch ein wechsel auf eine andere Console ist nicht mehr
möglich.

Habe Postfix jetzt aus den runlevels gelöscht, habe nun wieder ein promt.
wie könnte ich jetzt weiter verfahren?

Reply to:

Follow-Ups:
- Re: Server gehackt?
  - From: Andreas Meiner <entmoot@gmx.de>

References:
- Server gehackt?
  - From: "Mario Duve" <list-debian@nomagic.de>
- Re: Server gehackt?
  - From: Dieter Franzke <lists@eyenovation.de>
- Re: Server gehackt?
  - From: schubertp@t-online.de (Peter Schubert)
- Re: Server gehackt?
  - From: Joerg Rossdeutscher <ratti@gesindel.de>
- Re: Server gehackt?
  - From: "Mario Duve" <list-debian@nomagic.de>
- Re: Server gehackt?
  - From: Matthias Peick <matthias@peick.de>
- Re: Server gehackt?
  - From: "Mario Duve" <list-debian@nomagic.de>
- Re: Server gehackt?
  - From: Andreas Meiner <entmoot@gmx.de>

Prev by Date: mp3 wiedergabe
Next by Date: Re: OT: Softwarepatente
Previous by thread: Re: Server gehackt?
Next by thread: Re: Server gehackt?
Index(es):
- Date
- Thread