PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Ungebetene Gäste



fatso
09.07.05, 17:33
Hallöchen, habe gerade mal ein bisschen mein auth.log durchgeschaut und festgestellt das es wohl ne menge Leute gibt die den ganzen Tag nichts besseres zu tun haben als zu versuchen in fremde Rechner einzudringen.

So, nun zu meiner Frage, wie kann ich feststellen ob es nicht schon jemandem geglückt ist? Habe auf jedenfall erstmal meine Passwörter geändert und die Ports für z.b. sshd im Router gesperrt.

psy
09.07.05, 17:47
ich würde erstmal das system nach rootkits scannen:

http://www.rootkit.nl/
http://www.chkrootkit.org/

du kannst auch mal deine auth.log anhängen, somit könnte man dein problem besser analysieren...

fatso
09.07.05, 18:13
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not infected
Checking `inetdconf'... not infected
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not found
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not found
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... nothing found
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for OBSD rk v1... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... chkproc: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/sbin/dhclient3[6190])
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted

neonknight
09.07.05, 20:35
Falls du so Einträge der Art
Illegal user admin from xxx.xxx.xxx.xxx
meinst, die kannst du eigentlich ignorieren. Das sind nur so Skriptkiddies, die mal ein paar Standardnamen/Passwörter durchprobieren. Sofern du brauchbare Passwörter hast, sind die harmlos.
Da sie aber trotzdem nerven, hab ich bei mir den sshd auf einen anderen Port verlegt. Nun ist Schluss mit solchen "Angriffchen". Das zeigt ja, dass damit nur Jagd auf die ganz Unvorsichtigen gemacht wird ;)

Ah, da fällt mir grad ein: Auf einigen Systemen ist das Passwort für den User "nobody" standardmässig auf "nobody" gesetzt :ugly: (einige ältere Mandrake-Ausgaben hatten das...). In solchen Fällen würde ich natürlich das System einer gründlicheren Überprüfung unterziehen.

fatso
09.07.05, 21:35
Laut meinem auth.log hat heute nachmittag ganz gezielt mittels dictionaries versucht bei mir einzudringen. Hab jetzt den sshd port geändert.

Ich hab übrigens Ubuntu Hoary 5.04, die Passwörter sollten auch reichen.

cane
10.07.05, 12:10
Laut meinem auth.log hat heute nachmittag ganz gezielt mittels dictionaries versucht bei mir einzudringen. Hab jetzt den sshd port geändert.


das ist mittlerweile gang und gebe - die Angreifer sind Scripte die auf jedem Pc in einer Liste gängige Passwörter ausprobieren. Sie sind also nicht auf deinen Pc fokussiert sondern auf einen Pc mit schwachen Passwörtern...

mfg
cane