PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Userkontrolle



unknownlsl
01.08.08, 14:35
*ich sag da nix dazu*

marce
01.08.08, 14:38
Melde den Server ab und beschäftige Dich mit den Linuxgrundlagen.

Alternativ findest Du hilfreiche Links in:
http://www.root-und-kein-plan.ath.cx/

unknownlsl
01.08.08, 14:45
*ich sag da nix dazu*

marce
01.08.08, 14:48
Die Befehle und Kentnisse, die Du für die von Dir genannten Dinge benötigst sind die grundlegensten Grundlagen - knapp nach ls und cd.

Und mit "abschieben" hast das nichts zu tun. Allerdings zeigt Deine Frage, daß Du mit der Administration eines Server eindeutig zu 100% überfordert bist.

HirschHeisseIch
01.08.08, 14:49
Guck Dir halt die Apache-Logs an.
Da steht die IP drin.
Blocken kannst mit iptables.

Killen lustigerweise mit 'kill' ;)
Also... Den entsprechenden Apache-Prozess...

unknownlsl
01.08.08, 14:51
*ich sag da nix dazu*

BedriddenTech
01.08.08, 17:20
Was genau willst Du überprüfen? Je nachdem, ob Du nachträgliche «Forensik» betreiben willst oder im Betrieb Kontrollen brauchst, ändert sich die Methode der Untersuchung. Es wäre schon schön, was Du unter «herumfummeln» verstehst und welche Dienste involviert sind. Meine Glaskugel ist beim letzten Polieren irgendwie blind geworden. :( Da Du von Logins redest, denke ich mal, daß es um SSH geht.

SSH-Logins werden normalerweise mitgeschrieben, z. B. in /var/log/secure oder /var/log/auth.log. Mußt mal die Konfiguration deines SSH- und Syslog-Daemons untersuchen. Daraus kriegst Du schon eine ganze Menge Informationen:

Aug 1 15:16:17 hitomi sshd[4435]: Accepted publickey for foobar from 192.168.1.2 port 46261 ssh2

Bannen nach einer gewissen Anzahl von Versuchen ist mit Programmen wie fail2ban leicht möglich; die untersuchen auch nur diese Logs. (Fail2ban funktioniert übrigens auch mit anderen Diensten.)

Seine IP zu blockieren wird schwer, schließlich kann die sich nach einer erneuten Einwahl wieder ändern. Aber Du kannst problemlos den Benutzer an sich bannen, z. B. indem Du ihm eine Shell gibst, die keinen Login erlaubt, bspw /sbin/nologin.

Ich weiß nicht genau, ob es möglich ist, eine Liste aller Benutzer, die sich irgendwie anmelden dürfen, zu kriegen. Ich würde mir zuerst die PAM-Datei für den Dienst ansehen (also SSH), die Module für den Dienst «auth» merken und die entsprechend durchgehen. Bei pam_unix.so z. B. ist das schlicht die /etc/passwd...

Newbie314
01.08.08, 18:10
und zwar fummelt irgendjemand ununterbrochen an meinem Server herum

Kannst gleich anfangen das Backdoor mitzusuchen das er wahrscheinlich längst installiert hat ....