Re: Angriff auf server - alles dicht?
Am Freitag 23 Dezember 2005 13:15 schrieb Andreas Pakulat:
> logcheck produziert mir zuviel Output, da finde ich logwatch besser.
> Da sieht man immernoch Unregelmaessigkeiten, denke ich, und kann dann
> bei Bedarf direkt die Logdateien lesen. Beim logcheck-Output weiss
> ich das ich das nicht lange mitmache den jeden Tag zu lesen...
Ja, das müsste ich auch mal wieder anpassen/filtern, momentan - nach
einem upgrade - kommt scheinbar jeder servwerzugriff durch, das hatte
ich schonmal komplett weggefiltert. Jetzt bekomme ich stündlich mails.
Früher war ich schon mal auf 1-3x/tag - alle 3 tage runter.
logwatch werde ich mir mal ansehen.
> > Womit untersucht ihr, ob der server noch "clean" ist?
>
> Bisher gar nicht. Man koennte wohl vllt. so ein checkrootkit-Dingens
> laufen lassen, mal schauen..
Hmmm.. da gibtr's auch immer false positives, wobei ich hier nmicht
weiß, wie man das wegfiltert (procmail?).
/etc/cron.daily/chkrootkit:
/usr/lib/cgi-bin/.htaccess
You have 1 process hidden for readdir command
You have 1 process hidden for ps command
SIGINVISIBLE Adore found
Warning: Possible LKM Trojan installed
/proc/1/fd: Permission denied
eth0:vserver821: PACKET SNIFFER((null)[(null)], (null)[(null)])
Letzte Zeile kann ich nicht einschätzen, aber Adore/LKM ist ein false
positive. Diese null/null Geschichte ist irgendwann aufgetaucht, hängt
aber glaube ich mit einem upgrade/installation zusammen.
Apropos Sicherheit: Wie sieht euer cronjob für ein dist-upgrade aus?
Ich mache das momentan noch von Hand. Da kommt es natürlich des öfteren
vor, das ein wichtiges Sicherheits Update erst eine Woche später
eingespielt wird.
tripwire etc. ist wohl mit Kanonen auf Spatzen geschossen, oder?
Eine automatische Backuplösung wäre natürlich auch noch wichtig...
aber das ein anderes mal.
ciao
Gerhard
Reply to: