Re: Server gehackt

To: debian-user-german@lists.debian.org
Subject: Re: Server gehackt
From: Christian Schmied <christian_schmied2000@yahoo.de>
Date: Wed, 25 Aug 2004 11:07:44 +0200 (CEST)
Message-id: <[🔎] 20040825090744.61598.qmail@web25209.mail.ukl.yahoo.com>
In-reply-to: <[🔎] 412C4940.4050805@petermair.at>

Auf dem Server läuft die stable Version.

Offene Ports

9 discard

13 daytime

22 ssh

37 time

zusätzlich dazu habe ich qmail aus den Resourcen ohne Erweiterungspatches kompilert. Der smtpd liefen mit den entsprechenden usern wie bei qmail üblich, also nicht root

Dazu noch vpopmail. Ebenso nicht unter root.

Spamassassin habe ich aus der testing Version.

Einloggen geschieht über ssh als root mit einem 15 stelligen Passwort, Sonderzeichen und Zahlen (meiner Meinung nicht knackbar)

Die Security-Updates habe ich regelmäßig gefahren.

Ich kann mir nur vorstellen das es an qmail, oder vpopmail lag. Alles andere ist nur Grundsystem.

Patrick Petermair <debian-ml@petermair.at> wrote:

Christian Schmied wrote:

> Mittels nmap habe einen neuen Port entdeckt: Port 88 Kerberos-sec
> und mit top finde ich ein Programm, das seit über sechs Stunden läuft
> und scan-a heißt.

Also scan-a sagt mir nichts. Für die Zukunft: Mit "netstat -tulpa"
kannst du dir die offenen Ports ansehen inkl. des jeweiligen Prozesses,
der auf diesem Port lauscht. Ein "last" ist auch recht hilfreich, um zu
sehen, ob irgendein Account gekapert wurde.
Ein Profi verwischt seine Spuren aber so gut, dass man ohne vorherige
grundlegende Vorsichtsmaßnahmen nichts mehr entdeckt.

> Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja
> 99,9%) wasserdicht bekommt?

Debian stable installieren - regelmäßig Sicherheitsupdates einspielen -
unnötige Services deaktiveren (inetd.conf) - falls ssh benötigt wird,
keine einfachen User/PW Kombinationen verwenden (gerade da in letzter
Zeit die ssh "Attacken" zunehmen) bzw. gleich Keys erstellen - Firewall
(iptables) - Intrusion detection system (z.b. aide)....

Ach ja, was auch nicht fehlen darf ist der obligatorische Hinweis aufs
Debian Security HOW-TO:
http://www.debian.org/doc/manuals/securing-debian-howto/index.en.html

Btw: Welche Dienste hast du auf dem Server denn so laufen?

MfG
Patrick

--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)

Gesendet von Yahoo! Mail - Jetzt mit 100MB kostenlosem Speicher

Reply to:

Follow-Ups:
- Re: Server gehackt
  - From: Sebastian Niehaus <killedbythoughts@mindcrime.net>

References:
- Re: Server gehackt
  - From: Patrick Petermair <debian-ml@petermair.at>

Prev by Date: Re: mounten des DVD-Laufwerks nicht mehr möglich
Next by Date: Re: Merkwürdiges Problem mit Gimp
Previous by thread: Re: Server gehackt
Next by thread: Re: Server gehackt
Index(es):
- Date
- Thread