Re: OT: Rechner geknackt- aber wie?

To: debian-user-german@lists.debian.org
Subject: Re: OT: Rechner geknackt- aber wie?
From: Gerhard Brauer <gerhard.brauer@web.de>
Date: Fri, 27 Jan 2006 15:43:28 +0100
Message-id: <[🔎] 20060127144328.GA28082@server.kis.te>
In-reply-to: <[🔎] 43DA2B19.6060600@kiste>
References: <[🔎] 43DA2B19.6060600@kiste>

Gruesse!
* Tim Boneko <tim@boneko.de> schrieb am [27.01.06 15:15]:
> Tach zusammen,
> ich musste kürzlich feststellen, dass eine meiner Bastel- Baustellen geknackt wurde: 
> Laut lastlog hatte sich ein Mitglied der Gruppe "user" von der Domain "linuxkiddies.com" 
> aus angemeldet. So weit, so scheiße.

Irgendwie bringst du da was durcheinander. lastlog listet nur Usernamen
auf, keine Gruppen. Und wenn: welcher *User* aus der "Gruppe users" war
es denn? Und über welchen port laut lastlog?

> Jetzt frage ich mich: Wie kann das sein? Bis auf Port 22 ist die Firewall dicht, 
> default-policy für INPUT ist DROP. 

Na dann wohl über port 22. Über einen auf deinem System existierenden
User mit schwachem Passort. Ggf. zum dokumentierten Zeitpunkt das Syslog
gegenchecken.

> Genau genommen hat der betreffende User kein ssh 
> eingerichtet.

Was willst du uns damit sagen?

> Wie ist der Knabe reingekommen?

Wie gesagt, über port 22. Vorgehensweise? Hm, Rechner vom Netz nehmen,
Snapshot des Partition(en) erstellen. Check auf Rootkits bzw.
Logfile-Check überprüfen.
> 
> 	timbo

Gruß
	Gerhard
-- 
Dont't drink and root!

Reply to:

Follow-Ups:
- Re: OT: Rechner geknackt- aber wie?
  - From: Tim Boneko <tim@boneko.de>

References:
- OT: Rechner geknackt- aber wie?
  - From: Tim Boneko <tim@boneko.de>

Prev by Date: Re: OT: Rechner geknackt- aber wie?
Next by Date: Re: OT: Rechner geknackt- aber wie?
Previous by thread: Re: OT: Rechner geknackt- aber wie?
Next by thread: Re: OT: Rechner geknackt- aber wie?
Index(es):
- Date
- Thread