PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : "./ssh-scan 100" ?



Froster
10.08.05, 18:19
Hallo,

ich denke jemand hat sich unberechtigterweise mit meinem ftp-user Zugang zu meinem System verschafft. Auf jedenfall war der Server mehrere Tage langsam (in der Zeit wurde er wohl gescannt oder so). Dann war 1-2 Tage nichts und auf einmal finde ich X Prozesser "web PID TIME ./ssh-scan 100" :eek: darauf. Natürlich habe ich diese alle beendet und alle User neu gemacht per passwd. Kann mir einer weiterghelfen, was kann ich machen um auf die Spuren des Web-Users zu kommen ? (system Debian)


MFG
Froster

psy
10.08.05, 18:25
schau dir die logfiles an, aber bei einem kompromitierten system besteht natürlich die möglichkeit, dass diese verfälscht wurden, ich würde auf jedenfall die kiste neu aufsetzen.

Froster
10.08.05, 23:35
ich hab logs etc alles per grep durchsucht nichts. gefunden. das mit dem neu aufsetzen wird beim nächsten vorkomiss geschehen.

psy
11.08.05, 00:40
das mit dem neu aufsetzen wird beim nächsten vorkomiss geschehen.
nein, nicht gut, nimm das ding so schnell wie möglich vom netz.

du weißt ja nicht, was der angreifer mit deinem system noch veranstaltet hat... von vielen dingen bekommst du garnichts mit.