PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : System gehackt oder nur admin zugriff ?



F.S.WhiTeY
20.06.07, 12:56
Hallo leute ich bin heute auf meinen Rootserver connected und habe bemerkt, das jemand ohne mein Wissen bestimmte commands ausgeführt hat. Ich bin der einzige mit root-Zugriff von daher sollte das nicht passieren.
Folgendes wurde gemacht ohne das ich was damit zutun hatte... einiges gibt mir sehr zu denken :



#last
#who
#su core
#cat /etc/passwd
#su rpc
#gcc
#ps -auxwwwf
#exit
#su whitey
# ls -alF
#find / -type -f -name include.php
#php -v
#cat /etc/httpd/conf/http.conf |greep Document Root
#netstat -anv
#df -h


Meine eigentliche Frage : Wie finde ich heraus wer sich eingelockt hat und wer auch diese commands ausgeführt hat ? Wenn es ein Admin local war is das wumpe, ärgerlich zwar aber egal, aber ich würde mich gerne vergewissern. Sollte ich die möglichkeit habe jemanden zu bestimmen und es war nicht local gibbet ne Strafanzeige, nur dazu braucht man erstmal jemanden den man anzeigen kann ^^

Rain_maker
20.06.07, 13:01
System gehackt oder nur admin zugriff ?

Ich versuche gerade einen Unterschied zwischen beiden Fällen zu finden.....



Ich bin der einzige mit root-Zugriff von daher sollte das nicht passieren.

OK, also _KEIN_ Unterschied.

Ich glaube kaum, daß sich die Admins (im RZ, oder wen meinst Du damit?) "einfach so" auf Deiner Kiste lokal einloggen.

Und wenn doch, dann frag sie einfach danach.

Greetz,

RM

F.S.WhiTeY
20.06.07, 13:10
OK, also _KEIN_ Unterschied.

Ich glaube kaum, daß sich die Admins (im RZ, oder wen meinst Du damit?) "einfach so" auf Deiner Kiste lokal einloggen.

Und wenn doch, dann frag sie einfach danach.

Greetz,

RM

Ich gebe dir völlig recht, aber versuch mal bei Lycos irgendwelchen Support zu bekommen... das RZ is in Schweden und die leute Local hier geben keine Auskünfte...

Kann ich durch irgendwelche Logdatein herausfinden wer das war ?

MfG David

Rain_maker
20.06.07, 13:19
Erste Anlaufstelle:



man lastlog

Anhand dessen, was der "Geisteradmin" da anstellt, würde ich anfangen, mir Sorgen zu machen.

Greetz,

RM

F.S.WhiTeY
20.06.07, 13:29
Ich muss zugeben, das ich damit gerade nich so wirklich klarkomme. Den lezten login zeigt mir lastlog an aber der lezte zugriff auf root bin ich. Kann man das auch noch früher datieren ?

Rain_maker
20.06.07, 13:37
In den Logfiles nachsehen, wer sich alles eingeloggt hat seit ....(das musst Du selbst wissen).

Ich denke da wird 'grep' Dein Freund sein.

Wenn Du Pech hast, dann war der Fremde clever genug und hat die Dinger manipuliert.

Ich würde mich eher fragen, wieso jemand auf Deiner Kiste so etwas hier veranstalten sollte.


#cat /etc/passwd
#su rpc
#gcc
#ps -auxwwwf
#exit
#su whitey
# ls -alF
#find / -type -f -name include.php
#php -v
#cat /etc/httpd/conf/http.conf |greep Document Root
Wieso verwendet er auf einmal den Login des Uers "whitey"?

Was wollte der denn da kompilieren?

Oder anders gefragt, was hat ein Admin des Rechenzentrums auf einem fremden Rechner zu kompilieren?

Mir kommt das ziemlich spanisch vor.

Und ein besonderer Kenner war der "Geisteradmin" auch nicht gerade, oder kennst Du das Kommando "greep"?

Ich nicht.

Passt das zu jemandem, der in einem Rechenzentrum sitzt und $AHNUNG von Linux hat?

Greetz,

RM

F.S.WhiTeY
20.06.07, 13:45
#cat /etc/passwd

#gcc

#su whitey

#cat /etc/httpd/conf/http.conf |greep Document Root

passwd können wir uns beide denken ;)

gcc .... keine Ahnung ?!

su whitey ---> mein ftp-Benuzernahme für alle meine Webprojekte

cat /etc/httpd.... ---> Ich hab keine Ahnung, vilt wollte er sehen ob er mit dem httpd was anstellen kann oder was interessantes findet .. Kundendaten etc.

Keiner der mit dem Server zu tun hat, hat auch nur annähernd soviel erfahrung mit Linux um sich auch nur auf dem ding einzuloggen... maybe haben da 2-3 schnelle Tutorials und copy/paste weitergeholfen .. Ich sehe nur keinen sinn dahinter da die Leute nix davon hätten mich auf diese weise "anzugreifen".... sind eigentlich alle ganz lieb wenn man das mal so sagen mag.

F.S.WhiTeY
20.06.07, 13:51
Ich glaube ich hab was ich brauche .. Nur wie ich weiter vorgehe weis ich noch nicht genau...



[root@XXXXX log]# last
root pts/42 p5485C520.dip.t- Wed Jun 20 12:41 still logged in
craiwler pts/36 ppp.121.17.bitsy Wed Jun 20 12:25 - 12:25 (00:00)
root pts/39 p5485C520.dip.t- Wed Jun 20 12:08 - 12:10 (00:02)
root pts/35 202.152.172.2 Wed Jun 20 11:36 - 11:54 (00:17)
root pts/4 202.152.172.2 Sun Jun 17 13:58 - 14:06 (00:08)
craiwler pts/19 ppp.130.17.bitsy Sat Jun 16 00:51 - 00:51 (00:00)
root pts/22 p5485fd3c.dip.t- Thu Jun 7 14:42 - 14:54 (00:11)
root pts/14 ppp.145.17.bitsy Mon Jun 4 23:14 - 23:15 (00:01)
craiwler pts/3 ppp.148.17.bitsy Sun Jun 3 20:04 - 20:10 (00:06)
reboot system boot 2.6.17.13-vs2.0. Sat Jun 2 03:33 (18+10:16)

wtmp begins Sat Jun 2 03:33:07 2007

Rain_maker
20.06.07, 14:27
Nun hast Du eine IP und weißt nicht, wie man weiter vorgehen sollte?



man whois

Wieviel deutlicher brauchst Du es noch?

Deine Kiste wurde zu 99% gehackt und Du solltest sie _neu aufsetzen_.

Die Anzeige kannst Du vergessen, die IP kommt aus Indonesien und ist wahrscheinlich eh nur ein Proxy für den wirklichen Angreifer gewesen.

Sichere die Logs/Userdaten, nimm die Kiste vom Netz und setze sie neu auf.

Greetz,

RM

F.S.WhiTeY
20.06.07, 15:25
Naja ob die IP in Indonesien ist kann ich nicht sagen, mein traceout hat ergeben das die eigentliche ip nicht zu kriegen ist aber ist in indonesien gestopt. Es hätte noch weiter gehen können : /

Was ich mit weiter vorgehen meinte war: gehe ich zu der Polizei und probiere mein Glück mit der Strafanzeige oder lass ich es weil die Leutz auch nicht weiter kommen wie ich und du .. sprich indonesien.

Neu aufsetzen muss ich sowieso, RH 9.0 ist weniger als up to date. Das regel ich allerdings dann mit lycos nochmal ob die mir da weiterhelfenkönnen. Die Datensicherung macht mir jetzt schon Kopfschmerzen. Immo ist der Server ausgeschaltet und wird es bis zur endgültigen lösung auch bleiben.

Rain_maker
20.06.07, 16:12
whois 202.152.172.2
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 202.152.172.0 - 202.152.173.255
netname: PDSN-SBY
country: ID
descr: PT.INDOSAT Tbk.- CDMA Starone Surabaya Division
descr: Jl. Kayoo 72
descr: Surabaya - Indonesia 10110
admin-c: HH370-AP
tech-c: SH285-AP
status: ASSIGNED NON-PORTABLE
changed: suherlianto@indosat.com 20050614
mnt-by: MAINT-ID-STLNAP
source: APNIC

person: Herry Setiadi Nurdin Herry
nic-hdl: HH370-AP
e-mail: herry.nurdin@indosat.com
address: PT. Indosat DaanMogot A Building 2nd Fl, Jl. Daan Mogot-11
address: JAKARTA BARAT 11710
phone: +62-816-804320
fax-no: +62-21-5418548
country: ID
changed: suherlianto@indosat.com 20050317
mnt-by: MAINT-ID-INDOSAT-INP
source: APNIC

person: Suherlianto Herliant
nic-hdl: SH285-AP
e-mail: suherlianto@indosat.com
address: PT. Indosat DaanMogot A BUilding 2nd Fl, Jl. Daan Mogot-11
address: Jakarta Barat 11710, Indonesia
phone: +62-816-100349
fax-no: +62-21-5418548
country: ID
mnt-by: MAINT-ID-INDOSAT-INP
changed: suherlianto@indosat.com 20050317
source: APNIC

Reicht das?

Greetz,

RM