Re: Server gehackt?

To: debian-user-german@lists.debian.org
Subject: Re: Server gehackt?
From: Andreas Meiner <entmoot@gmx.de>
Date: Sun, 28 Sep 2003 20:24:51 +0200
Message-id: <[🔎] 20030928182451.GA18740@knight.inferno.nadir.org>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 013401c385e6$dbb76f30$0301a8c0@pcmario>
References: <[🔎] 003201c385a2$f9bb3e60$0301a8c0@pcmario> <[🔎] 200309281144.18660.lists@eyenovation.de> <[🔎] 3F76B2A6.90308@t-online.de> <[🔎] 1064746527.27027.89.camel@ratti.local> <[🔎] 003b01c385b1$65fa6480$0301a8c0@pcmario> <[🔎] 3044747.aXOnC2lTTi@news.peick.de> <[🔎] 00a901c385e1$305ccdb0$0301a8c0@pcmario> <[🔎] 20030928171423.GA16390@knight.inferno.nadir.org> <[🔎] 013401c385e6$dbb76f30$0301a8c0@pcmario>

On Sun Sep 28  07:33PM, Mario Duve wrote:

[gehackter Rechner?]

> Also, im moment sieht es so aus. Nach einem Standtortwechsel des betroffenen
> PC,
> fährt dieser nich mehr hoch.
> 
> request_module[ppp0]: fork failed, errno 1
> 
> STRG+c gehts weiter bis modprobe: Can't locate module ppp0
> STRG+c gehts weiter bis zum start von Postfix, danach geht es nicht
> mehr weiter, auch ein wechsel auf eine andere Console ist nicht mehr
> möglich.
> 
> Habe Postfix jetzt aus den runlevels gelöscht, habe nun wieder ein promt.
> wie könnte ich jetzt weiter verfahren?

Naja, wie in meiner vorigen Mail beschrieben. Welche Dienste laufen auf
dem Rechner? Auf welchen Ports wird gelauscht? Gibt es Auffälligkeiten
in /bin, /usr/bin usw. (zB auffällige Timestamps) ? Laufen ungewöhnliche
Prozesse? Was ich vorhin noch vergessen hatte, hast du die besagten 
Dateien aus /tmp noch? was sagt 'file telnet{d,d.1,d.2}'? Wenn es
binaries sein sollten, lass mal 'strings drüber laufen, das gibt einem
oft einen ersten Anhaltspunkt, um was für binaries es sich handelt.

Wenn du eine Standard Woody Installation hast kannst du die md5sums 
evtl. mit denen von der CD vergleichen. 
Hast du dir mal die logfiles in /var/log genauer angeguckt? Ungefährer
Einbruchszeitpunkt könnte in etwa der sein, als die besagten Dateien in 
/tmp/ angelegt wurden.
Findet 'chkrootkit' etwas? 
Es wäre schon sinnvoll, rauszufinden _wie_ der Rechner gehackt wurde,
denn sonst hast du auch nach einer Neuinstallation evtl. das gleiche
Sicherheitsloch im System. Da die Dateien www-data gehören, liegt es 
- wie gesagt - nahe, daß sich über den WebServer Zugriff verschafft 
wurde. Ältere Versionen von OpenSSL hatten Sicherheitslöcher, deshalb
meine Frage nach den installierten Versionen.

Zu den oben genannten Fehlermeldungen kann ich leider nicht viel sagen.

gruß,
andreas

Reply to:

References:
- Server gehackt?
  - From: "Mario Duve" <list-debian@nomagic.de>
- Re: Server gehackt?
  - From: Dieter Franzke <lists@eyenovation.de>
- Re: Server gehackt?
  - From: schubertp@t-online.de (Peter Schubert)
- Re: Server gehackt?
  - From: Joerg Rossdeutscher <ratti@gesindel.de>
- Re: Server gehackt?
  - From: "Mario Duve" <list-debian@nomagic.de>
- Re: Server gehackt?
  - From: Matthias Peick <matthias@peick.de>
- Re: Server gehackt?
  - From: "Mario Duve" <list-debian@nomagic.de>
- Re: Server gehackt?
  - From: Andreas Meiner <entmoot@gmx.de>
- Re: Server gehackt?
  - From: "Mario Duve" <list-debian@nomagic.de>

Prev by Date: Re: Bei gleichen Rechten zu .tar comprimieren
Next by Date: Re: [OT] Spam, Mailclients, Microsoftkacke und prinzipielles
Previous by thread: Re: Server gehackt?
Next by thread: Re: Server gehackt?
Index(es):
- Date
- Thread