Jan 11 06:25:01 server su[26847]: + ??? root-nobody
Jan 11 06:25:01 server PAM_unix[26847]: (su) session opened for user nobody by (uid=0)


Und ich weiss nicht wodran es lag..
Mein Besucher hat wärend seines aufenthalts SysLogD abgeschalten und somit hab ich da auch keine ahnung was da war..

ssager@server:/var/log$ sudo
Sorry, sudo must be setuid root.

ssager@server:/var/log$ su
Password:
setgid: Operation not permitted

Hab schon diverse logfiles durchgeschaut

Auf jeden fall hat er die mails gelesen, den mysql zerschossen und soweit alle daemons neugestartet..

System is Linux version 2.4.18-1-k7 (herbert@gondolin) (gcc version 2.95.4 20011002 (Debian prerelease)) Debian Stable Up2Date

Hab nun den server vom netz nehmen lassen und spiel grad mein backup ein - hat von euch jemand vorschläge wo man noch schauen kann wie er wohl reingekommen ist?

Hat er ein Kernel-exploit verwendet?
Benutzt du wirklich den aktuellsten Debian Kernel?

MFG fsd.

Da war 1 neues kernel update als ich gestern, bzw heut morgen mal apt-get upgrade machen wollte aber ich habs ned eingespielt, da ich den host ned neustarten wollt mitten in der nacht.

Original geschrieben von Svenny
hat von euch jemand vorschläge wo man noch schauen kann wie er wohl reingekommen ist?

Wenn er seine Sache gut gemacht hat, wohl gar nicht, oder nur sehr schwer.

klingt hier ja nicht sehr beruhigend... ;)

was liefen denn für Dienste auf deiner Kiste?
vielleicht findet sich ja da was :)

Gruß Temp

Wenn der Kernel nicht aktuell war und deshalb anfällig auf mindestens eine der kürzlich bekannt gewordenen Sicherheitslücken war und auf dem Server nicht ganz einfach abzusichernde Dienste liefen, wird es vermutlich der übliche Vorgang gewesen sein:
Dienst exploited, hat jetzt die Rechte des Dienstes, Kernel-Exploit und damit Root-Rechte.

Der Server ist nicht mehr am Netz, und das ist soweit schon mal gut. Je nachdem wie wichtig der Server war und ob du Anzeige erstatten willst, musst du eine (1:1) Kopie der Harddisk anfertigen oder gleich einen Profi holen. Wenn es nicht so schlimm war (privater Server, Gameserver etc.) würde ich trotzdem selber nach der Lücke suchen, da du dann diese stopfen kannst. Auch wenn der Logdienst abgeschaltet wurde, findest du ev. noch Dateien und andere Spuren, die auf den Einbruch-Vorgang hindeuten, wie z.B. Exploits und Root-Kits. Am besten du verwendest die Suche in diesem Forum und schaust dir ähnliche Fälle an.

Für das neue System gilt dann: Aktueller Kernel (bei Debian kein Problem) und regelmässige Updates.

Gruss, Andy

Ist eh egal... 10 Weitere Server im Rechenzentrum sind auch platt gemacht worden. das rechenzentrum wird strafanzeige stellen aufgrund der ips etc blablub.

nun nehm ich den aktuelle 2.4.24 kernel

Hallo,
das hört sich alles sehr interessant an..würd mich schon interessieren wie man so ein Einbruch bemerkt und feststellen kann.
Wenn einer nur schaut und nichts kaputt gemacht hat wird man es wohl nicht so schnell feststellen.
Halt uns mal auf dem Laufenden was diese Anzeige und so ergibt..
Gruß Udo

Original geschrieben von UdoJ
Hallo,
das hört sich alles sehr interessant an..würd mich schon interessieren wie man so ein Einbruch bemerkt und feststellen kann.
Wenn einer nur schaut und nichts kaputt gemacht hat wird man es wohl nicht so schnell feststellen.
Halt uns mal auf dem Laufenden was diese Anzeige und so ergibt..
Gruß Udo


ich blätter morgen mal im linuxmagazin und schau mal was es so hat....

ich weiss im moment nur von einem fetten 0day und das ist ein cvs bug.
aber wie gesagt, groups wie adm,teso, thc rücken schon lange keine
0days mehr raus. wäre auch schön doof.

gruss,
deadbeef

Ich werd verrückt..

ich las die syslog da sah ich schonwieder



Jan 26 06:25:01 svesa1 su[26090]: + ??? root-nobody
Jan 26 06:25:01 svesa1 PAM_unix[26090]: (su) session opened for user nobody by (uid=0)
Jan 26 06:25:01 svesa1 su[8033]: + ??? root-nobody
Jan 26 06:25:01 svesa1 PAM_unix[8033]: (su) session opened for user nobody by (uid=0)


Das heisst doch nicht etwas schonwieder, dass jemand in mein system rein ist oder?

eventuell nicht:

http://lists.debian.org/debian-french/2001/debian-french-200102/msg00161.html

1) welche dienste laufen denn
2) was sagt ein last|head
3) falls sshd läuft, binde diesen doch nur an deine IP (bzw die IPs, die auch rein dürfen)
4) mach dir gedanken über sichere passwörter
5) auch interessant: http://www.gentoo.de/inhalte/doku/gentoo-security/

Hehe.. jo.. grad auf die idee gekommen mal im crontab zu schauen und siehe da 6:25 cron.daily mit dem script find:


#! /bin/sh
#
# cron script to update the `find.codes' database.
#
# Written by Ian A. Murdock <imurdock@debian.org> and
# Kevin Dalley <kevin@aimnet.com>

if [ -f /etc/updatedb.conf ]; then
. /etc/updatedb.conf
fi

cd / && updatedb --localuser=nobody 2>/dev/null



Grr doofes updatedb ..

Ist doch _gut_ das updateDB als nobody läuft.

Weniger Paranoia, und mehr Lesen.

Naja, dann hat der Logfileeintrag meine 1. Posts auch nix mit dem hackangriff zu tun... grmpf