Tim Boneko:
>
> ich musste kürzlich feststellen, dass eine meiner Bastel- Baustellen
> geknackt wurde: Laut lastlog hatte sich ein Mitglied der Gruppe "user"
> von der Domain "linuxkiddies.com" aus angemeldet. So weit, so scheiße.
Dann tippe ich mal, dass linuxkiddies.com auch aufgemacht wurde. Könnte
für Dich und den Betrieber hilfreich sein, dem Bescheid zu sagen. Das
nmap-Ergebnis sieht auch nicht besonders vertrauenserweckend aus.
Du weißt nicht, welcher User genau sich angemeldet hat?
> Jetzt frage ich mich: Wie kann das sein? Bis auf Port 22 ist die
> Firewall dicht, default-policy für INPUT ist DROP. Genau genommen hat
> der betreffende User kein ssh eingerichtet.
SSH wird nicht auf Userbasis eingerichtet. In der Standardkonfiguration
kann sich jeder User echte User (also keine Systemuser wie www-data
oder so) von außen mit seinem Passwort anmelden.
Einbruchsmöglichkeiten, die mir spontan einfallen:
- Verwundbarkeit im TCP/IP-Stack (sehr unwahrscheinlich)
- Verwundbarkeit in SSH ohne Authentifizierung (auch recht
unwahrscheinlich, außer Du benutzt eine antike Version)
- Schlecht gewähltes Passwort
Seit mehr als einem Jahr gibt es an wahrscheinlich jedem SSH-Server
Anmeldeversuche mit billigen Username-Passwort-Kombinationen.
Vielleicht bist du denen zum Opfer gefallen?
Abhilfe für die Zukunft schafft für diesen Fall die Einschränkung der
User, die sich überhaupt anmelden dürfen und Authentifizierung mit
public keys statt Passwort.
J.
--
I hate myself but have no clear idea why.
[Agree] [Disagree]
<http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature