Hi,

ich habe eine kleine Frage.

Ich habe einen Linux Server der 'vor' einem Windows Netzwerk hängt. Eigentlich hat dieser auch einen anderen Nummernkreis. Nur da beide Netze ins Internet müssen, hängen die am selben Switch.

Um mit dem Windows Netzwerk ins Internet zu kommen routet der Windows Server die Anfragen (dieser ist auch als Firewall eingerichtet). Ja mir ist schon bekannt, dass das mit Linux auch geht (sogar besser - aber das Netzwerk an sich verwalte ich nicht. ich werde nur gefragt, wenn es Probleme gibt). Der Linux Rechner im Anderen Netzwerk hat 2 Netzwerkkarten (Extern (damit wir von unserem Netz aus drauf zugreifen können - Intern als Traffic log Rechner). Nun hat die Windows Firewall eine Mail an mich geschickt, dass von der externen IP des Linux Rechners ein All-Port-Scan-Angriff gestartet worden sei. (hää... der Linux Rechner macht nichts anderes Traffic Loggen).

Bedeutet das schon, dass ich gehackt worden bin oder werde? Warum sollte der Linux Rechner alle Ports scannen?

Wäre nett, wenn mir jemand einen Tipp geben kann wo ich mich darüber kundig machen kann!

Gruß Alexander

Hallo,

wenn die Linux-Box in einem "externen" und einem "internen" Netzwerk hängt, was meinst Du dann damit? Hängt die Box etwa irgendwie ungeschützt direkt am Internet?

Falls ja, dann solltet Ihr ganz fix diesen Linux-Rechner überprüfen.

Log-Files durchschauen, Überprüfung der Netzwerkdienste (möglicherweise laufen da Dienste, die gar nicht benötigt werden), checken der User-Accounts, Dateisysteme auf Veränderungen prüfen etc.

Im schlimmsten Fall könnte der Rechner gehackt sein. Wenn das so ist und der Hacker nicht besonders professionell vorgegangen ist, dann werdet Ihr das schnell anhand des Checks obiger Infos rausfinden.
Ist da vielleicht ein guter Hacker am Werk gewesen dann kann die Einbruchserkennung im Nachhinein (also ohne geeignete Präventionsmaßnahmen) schwierig sein; zumal vielleicht auch ein Root-Kit installiert sein könnte, welches beispielsweise die Prozeßliste verändert oder Verzeichnisse versteckt um Trojaner zu verbergen.

Vielleicht hat aber auch der Admin auf der Linux-Box nur mal eben nmap getestet und dadurch den Portscan-Detect auf der Firewall ausgelöst.

Ein Portscan-Detect ist zunächst mal ein Alarmsignal und sollte den Admin direkt dazu veranlassen, die Ursache zu überprüfen. Alle weiteren Schritte sind bis zum Abschluß der Überprüfung nicht genauer definiert.

Übrigens: Für solche Fälle sollte man eine Checkliste zur Hand haben, die man dann Punkt für Punkt durchgeht ;)

Harry

eigentlich läuft auch auf der linux kiste eine firewall. bin zwar noch nicht dazu gekommen aber ich wollte mir die Logfiles etc schon durchsehen.

gibt es schon eine vor- erarbeitete checkliste od. ist das da besser eine eigene zu erstellen (ich denke dabei daran, dass man ja leicht etwas übersieht.)

gruß alexander

Hallo,

es gibt keine generellen Checklisten, die auf jedes System passen, dennoch ...
beispielsweise das BSI bietet ein IT-Grundschutzhandbuch, in dem solche Vorgehensweisen beschrieben sind ... das BSI ist dabei formell eh die Referenz Nr. 1 in Sachen Sicherheitsfragen bei und in Deutschland.
http://www.bsi.de/gshb/deutsch/menue.htm

Beispielsweise gibt es auch beim LFD Niedersachsen eine recht ordentliche Checkliste.
http://www.lfd.niedersachsen.de/dokumente/firewall.pdf

Harry