[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: OT: Rechner geknackt- aber wie?

Gruesse!
* Tim Boneko <tim@boneko.de> schrieb am [27.01.06 17:36]:
> Gerhard Brauer schrieb:
> 
> >Irgendwie bringst du da was durcheinander. lastlog listet nur Usernamen
> >auf, keine Gruppen. 
> 
> Äh ja, da steht auch der username drin. Habe mich nur etwas umständlich ausgedrückt. 
> "michael" heißt der User, zugriff auf ssh2.

Das ist ein Username, der bei BruteForce definitiv versucht wird. Gab es
denn bei dir einen solchen User?

> >Was willst du uns damit sagen?
> Dass ich bis gerade eben geglaubt hatte, ohne ssh- Identität in ~/.ssh sei ein ssh- 
> Login nicht möglich... Wieder was gelernt!

Das wäre nur der Fall, wenn der sshd nur Logins über Keys zulassen würde
und keine interaktive Anmeldung z.B. über Passwort-Abfrage.

> >Vorgehensweise? Hm, Rechner vom Netz nehmen,
> >Snapshot des Partition(en) erstellen. Check auf Rootkits bzw.
> >Logfile-Check überprüfen.
> 
> Ist schon erledigt.
> Danke für die erhellende Antwort!

Ist halt bei einem Testrechner die Frage, inwieweit du Zeit zur
"Spurensuche" inverstieren willst. Ansonsten halt plattmachen. Ich gebe
aber zu bedenken, daß, wenn der Rechner ins LAN eingebunden war, evtl.
jeder Rechner darin potentiell von *innen* angreifbar war bzw. korrumpiert
ist. Und da der innere Schutz meist vernachlässigt wird (wir haben ja
eine FW!)...

> So eine Sch...

Jep. Das harden-debian-Manual gibt ganz gute Hilfen zur Absicherung und
IMHO auch zum "Was tun nach eine Einbruch".

> 	timbo

Gruß
	Gerhard
-- 
HAL is running Windows...
Reply to: