Hi, Leute,

Problem: Ich habe so alles mögliche versucht, mein System sicher zu machen mit Suse-Firewall und zusätzlichen Packetfilteroptionen, nur eines habe ich dummerweise anscheinend völlig verdrängt: FTP. Ich hab also einen FTP-Server laufen und mich aus der Aussenwelt übers Internet sozusagen an ihm angemeldet. Aber das Passwort wird doch wohl unverschlüsselt übertragen! Und ich hab es einfach so eingegeben.

Was soll ich tun? Ein neues Passwort für root bringt doch jetzt auch keine Sicherheit mehr. Bleibt nur eine Neuinstalltion mit neuem Passwort?

Hilfe ... Sauertopf

Original geschrieben von sauertopf
Hi, Leute,

Problem: Ich habe so alles mögliche versucht, mein System sicher zu machen mit Suse-Firewall und zusätzlichen Packetfilteroptionen, nur eines habe ich dummerweise anscheinend völlig verdrängt: FTP. Ich hab also einen FTP-Server laufen und mich aus der Aussenwelt übers Internet sozusagen an ihm angemeldet. Aber das Passwort wird doch wohl unverschlüsselt übertragen! Und ich hab es einfach so eingegeben.

Was soll ich tun? Ein neues Passwort für root bringt doch jetzt auch keine Sicherheit mehr. Bleibt nur eine Neuinstalltion mit neuem Passwort?

Hilfe ... Sauertopf

hallo!

warum neuinstallation?
root-passwd ändern würde sicher was bringen.
wenn deine ftp-session niemand mitgehört hat dann kann dir auch nichts passieren.
wenn du mit ftp sicher arbeiten willst dann musst du sftp nehmen(openssh).

mfg
richard

Na wenn jetzt einer die Session mitgehört hat und dadurch das root-Passwort hat; kann er doch mein System verändern, dass er auch erfährt, welches Passwort ich als root neueingebe; indem er zum Beispiel "passwd" manipuliert. Ich bin mir aber nicht sicher, ob das überhaupt möglich ist.

MfG S.

das halte ich fuer sehr unwahrscheinlich. dann muesste jemand mit diesen konkreten absichten zu genau diesem zeitpunkt "gelauscht" haben. ich glaube nicht wirklich daran, dass sich jemand mit diesen faehigkeiten (90% der "angreifer" sind doch eh nur 13 jaehrige mit aol und win xp) gerade in dein einwahlnetz verirrt und gerade dich ablauscht. nun sei mal ganz ehrlich. wie groß ist diese wahrscheinlichkeit?

hallo!

die wahrscheinlichkeit das einer deine ftp-session mitgehört hat is sehr gering.
aber ich würde dir folgendes empfehlen:

1. root-passwd ändern
2. last aufrufen, dann siehst du wer sich wann von woaus an deinem system angemeldet hat.
3. mal in die log-files reinschauen
4. nach öffenen ports suchen die dir nicht bekannt sind.(mit netstat -ln)
5. nach einem rootkit suchen(mit chkrootkit)

mfg
richard

Original geschrieben von feuerwand
das halte ich fuer sehr unwahrscheinlich. dann muesste jemand mit diesen konkreten absichten zu genau diesem zeitpunkt "gelauscht" haben. ich glaube nicht wirklich daran, dass sich jemand mit diesen faehigkeiten (90% der "angreifer" sind doch eh nur 13 jaehrige mit aol und win xp) gerade in dein einwahlnetz verirrt und gerade dich ablauscht. nun sei mal ganz ehrlich. wie groß ist diese wahrscheinlichkeit?

Warum genau zu diesem Zeitpunkt? Kann man nicht permanent lauschen und "interessante Sachen", wie z. B. Passwörter filtern? Meine ftp-session ging natürlich über viele Server; und ich habe ehrlich gesagt mehr Angst in einer Datenbank der Grossen zu stehen als wenn mir ein dreizehnjährigier die Festplatte formatiert. Das mit der Ehrlichkeit: Natürlich bin ich nicht so "wichtig"; aber ich wollte eben wissen, was man überhaupt machen kann, wenn einem so'n Fehler passiert ist.

S.

Original geschrieben von derRichard


die wahrscheinlichkeit das einer deine ftp-session mitgehört hat is sehr gering.


Das seh' ich anders: Man kann kaum begründete Annahmen darüber machen wie wahrscheinlich das ist.

ABER: das mit dem "last" war'n schöner tip; ich haben jedenfalls kein login als root von ausserhalb gesehen. "chkrootkit" hab ich mir auch schon runtergeladen.

Danke, S.

Hallo Sauertopf,

ich denke, Du stehst mit Deinen Befürchtungen auf einem recht umsichtigen Standpunkt.
Die Aussage, dass ca. 90% der Angriffe von 13-jährigen Hackern kommen, ist ja in der Tat korrekt. Nur sollte einen diese Aussage genau nicht dazu veranlassen, die restlichen 10% der möglichen Angriffe außer Acht zu lassen. Denn genau diese 10% (oder eher etwas weniger) kommen von sehr fähigen Angreifern und diese hinterlassen so gut wie keine Spuren auf einem gehackten System.

Mittels chkrootkit hast Du bereits ein ordentliches Werkzeug an der Hand, welches Dir Aufschluß über die Installation evtl. Root-Kits geben kann. Nur ist dieses Werkzeug auch nicht unbetrügbar. Ebenso sind "last" oder andere Kommandos fälschbar.

Ergo: Wenn Du 100%ig sichergehen willst, dass Du ein sauberes System hast, dann ist eine Neuinstallation die einzige 100% sichere Variante.

Alle anderen Werkzeuge können Dir jeweils nur Garantien <100% geben.

Harry

>Meine ftp-session ging natürlich über viele Server

hm...das wirft ein anderes licht auf die sache. ich dachte, du haettest dich von der arbeit "mal schnell"zuhause angemeldet (oder etwas vergleichbares).

gehen wir mal davon aus, dass es ein wirklich faehiger hacker am werke war: welche zeit ist seit dem login vergangen? glaubst du, dass der dann tagelang wartet, bis das pw durch den root wieder geaendert wurde? du wirst diesen fehler sicherlich kein zweites mal begehen. er/sie wird sich dann wahrscheinlich spaet nachts oder frueh morgens an deinem system zuschaffen gemacht haben und alle programme (ps, last, top usw) ausgetauscht haben - inklusive aller logs, die etwas veraten koennten. somit haette er inzwischen wahrscheinlich schon alle interessanten daten (z.b. zugangsdaten zu weiteren netzen) -> neuinstallation hat keine oberste prioritaet. schadensbegrenzung ist nun angesagt: passwoerter aller accounts (firma, schule, e-mail, webspace usw.) umstellen. nun - nachdem du ihn wieder ausgesperrt hast - kannst du dein system neuaufsetzen und hoffen, dass es groesstenteils konsequenzenlos blieb.

mir ersteinmal nicht einen solchen grossen Kopf machen.
Nur ersteinmal, ausser natuerlich die Passwoerter wechseln, das System einwenig ordentlicher Ueberwachen.
Man koennte den syslog veranlassen alle loggings extra in eine andere File zu protokollieren. Am besten natuerlich remote auf einen anderen Rechner.
Ueberpruefen welches Programm seduid gesetzt hat und alle die es nicht brauchen --> weg damit.
Ausserdem koennte man mit lsof ueberpruefen welches *prog* sich an irgendein Port bindet. Das ganze als kleines Script und dann mit cronttab unregelmaessig aufrufen.
Falls du aber wirklich sicher gehen willst, kann ich nur Harry zustimmen. Und beim naechsten mal den Remote Root Zugang zu deinem System voellig sperren. Ob ssh oder ftp, es ist immer eine Schachstelle soetwas ueberhaupt zu erlauben.

T;o)Mes