hey ... hab nen rechner zuhause am inet laufen und ssh offen ... um es auch von aussen verwalten zu können ... hab suse 9.2 druff, aba irgendwie hat sich jemand bei mir als root angemeldet obwohl es nicht einmal ein 0815-passwort ist!!! nun will ich der sache auf den grund gehen ... ip hab ich ... aba wo kann ich am besten durchschauen was er bei mir gemacht hat?? bzw noch ein paar infos ... hab schon inner messages geguggt aba ausser der ssh-login steht nix da ... die ip is auch vorher nicht aufgetaucht!!! also einmal probiert und drinne ... hat jemand nen vorschlag was ich tun kann ... *heul* ...

thx ...

pitch

Ja alle leute die das Passwort haben, erschießen :-) Nein spaß bei seite mir fällt nichts außer dem verzeichnis /var/log ein und vielleicht mal die bash history durchgucken (Wenn die irgendwo gespeichert wird), alle wichtigen config files auf änderungen überprüfen und es gibt bestimmt auch eine möglichkeit die Festplatte nach kürzlich erstellten/geänderten Dateien zu durchsuchen, mir fällt jetzt nur nichts ein, vielleicht locate oder slocate.

CoS

Gib doch mal -> last ... ein, da werden Dir die letzten login-Usre angezeigt.

Hast Du mal ein rootkit drüberlaufen lassen?

Überprüfe die Passwd-Datei hinsichtlich neuer User!

Wieviele Zeichen ist Dein Kennwort lang, ich empfehle 12 und aufwärts, um einigermaßen vor brute force angriffen sicher zu sein. 8 Zeichen und weniger sind eindeutig zu kurz!

Noch was vergessen, kill den User sofort mit kill -9 id

aba? War das nicht eine Band? Ach nein, die hieß Abba.
druff? Ist das nicht ein Sinneszustand?
inner? Ist das nicht ein Teil eines Bandnamens? Innercicle oder wie die hießen?
drinne? Ist das eine neuartige Regenrinne?

Irgendwie werde ich den Verdacht nicht los, dass das nur ein übler Dialekt ist.

hab schon inner messages geguggt aba ausser der ssh-login steht nix da

Woher stammt denn die IP-Adresse? Hast du schon ein whois gemacht? Vielleicht warst du es ja selber? ;)

löööl, das wäre ja der Hammer hoch drei :ugly:
... aber Nervenbalsam für -> pitch

Ich danke euch für die rege Teilnahme an meinem Problem, auch wenn Mancher ein bisschen übertrieben die Rechtschreibung meines Beitrags kritisiert hat. :cool:


... nee mal im Ernst ... also last hat mir verraten, dass er von 8:20 - 8:20 eingeloggt war ... wie kann das sein ... befehle hat er auch net ausgeführt (@BASH-History!)
@IT-Low: ich wars auch net ... denn ich war 1. auf Arbeit und 2. hab ich nix mit T-O*line zu tun ;)

... hab jetzt erstmal den root-account von ssh gesperrt!!! ... und alle benutzer deaktiviert ausser meinen login!!! sollte erstma helfen :)

also thx

pitcher

also last hat mir verraten, dass er von 8:20 - 8:20 eingeloggt wurde das denn auch in der /var/log/messages mitgeloggt? Wenn nicht, ist das ganz einfach: .... vor dem Ausloggen setzt der Hacker Datum und Uhrzeit auf das Einlogg-Datum/Zeit, er hatte ja roor-Rechte.

Wer ein guter Hacker ist, der weiß auch seine Spuren zu verwischen, d.h. der weiß genau, was wo mitprotokolliert wird. :mad: Kannste nix dagegen machen. -> doch: GUTES KENNWORT!

wurde das denn auch in der /var/log/messages mitgeloggt? Wenn nicht, ist das ganz einfach: .... vor dem Ausloggen setzt der Hacker Datum und Uhrzeit auf das Einlogg-Datum/Zeit, er hatte ja roor-Rechte.

Wer ein guter Hacker ist, der weiß auch seine Spuren zu verwischen, d.h. der weiß genau, was wo mitprotokolliert wird. :mad: Kannste nix dagegen machen. -> doch: GUTES KENNWORT!

und das System neu aufsetzen.

nee er hat hundertpro die zeit nicht geändert *zumglück* ...
hab die zeit gestern erst angepasst und die stimmt noch ... naja wird mir nen rätsel bleiben aber man kann nur draus lernen!!!

:)

pitcher

Ähm,
was hindert Ihn die Uhrzeit zu verstellen? Und beim exit das auch nochmal zu machen?

Gruß malte

das system kannst du wegwerfen :p

viel glück beim nächsten mal.