Re: OT: Rechner geknackt- aber wie?
Gruesse!
* Tim Boneko <tim@boneko.de> schrieb am [27.01.06 15:15]:
> Tach zusammen,
> ich musste kürzlich feststellen, dass eine meiner Bastel- Baustellen geknackt wurde:
> Laut lastlog hatte sich ein Mitglied der Gruppe "user" von der Domain "linuxkiddies.com"
> aus angemeldet. So weit, so scheiße.
Irgendwie bringst du da was durcheinander. lastlog listet nur Usernamen
auf, keine Gruppen. Und wenn: welcher *User* aus der "Gruppe users" war
es denn? Und über welchen port laut lastlog?
> Jetzt frage ich mich: Wie kann das sein? Bis auf Port 22 ist die Firewall dicht,
> default-policy für INPUT ist DROP.
Na dann wohl über port 22. Über einen auf deinem System existierenden
User mit schwachem Passort. Ggf. zum dokumentierten Zeitpunkt das Syslog
gegenchecken.
> Genau genommen hat der betreffende User kein ssh
> eingerichtet.
Was willst du uns damit sagen?
> Wie ist der Knabe reingekommen?
Wie gesagt, über port 22. Vorgehensweise? Hm, Rechner vom Netz nehmen,
Snapshot des Partition(en) erstellen. Check auf Rootkits bzw.
Logfile-Check überprüfen.
>
> timbo
Gruß
Gerhard
--
Dont't drink and root!
Reply to: