Hallo,
ich arbeite im Moment in einem mittelständischen Unternehmen, was größtenteils noch im Aufbau ist. Nun gab es heute einige Probleme mit einem Server (Linux). Nachdem das Problem von mir behoben wurde, habe ich mir einige logfiles einmal angeschaut. Ich muss dazu sagen, das der Rechner direkt am Internet hängt. Bis jetzt hat der Systemadmin noch keine Zeit/Lust, wie auch immer, eine Firewall zu installieren. Jedenfalls bei durchforsten der logfiles von samba traten einige verbindungen von außerhalb häufiger auf, nachdem ich mir dann auch noch die logfiles von dem alten Server angeschaut hatte, hatte ich festgestellt, das es eine Personengruppe dies schon länger versucht, doch bis jetzt kein Erfolg hatte. Was auch noch interessant war, es wurde auch versucht über den apache code auszuführen von diesen Adressen, sieht alles ziemlich eindeutig. Nun habe ich angefangen damit zu beschäftigen, eine Firewall aufzusetzen, dies kann leider bei der Arbeit die im Moment anliegt noch etwas dauern. Was mich nun eigentlich interssiert. Was kann man in solch einer Situation machen und wie gehe ich korrekt vor. Ich denke mal nicht, das es richtige Hacker sind, die dort am Werk sind, diese würde glaube ich kein Jahr brauchen um so ein System zu hacken. Außerdem hat man Versuch irgendwelche Windows Programme auf den Apache auszuführen. Nun ist halte die Frage, wie ich in solcher Situation vorgehe, da ich mit sowas noch nicht viel zu tun hatte.
Es wäre nett, wenn die Antwort an: purple.haze@gmx.net gehen könnte

jorekpinorek

Hi,

System (wenn möglich) neu aufsetzen, dann
a) firewall installieren, oder zumindest einen packet filter á la iptables
b) ein IDS á la snort installieren
c) ein Kontrollsystem á la tripwire installieren - die tripwire Referenzdaten dann auf eine CD-ROM brennen
d) regelmäßig die einzelnen Logdateien anschauen
e) keine Usernamen & Kennwörter aus dem LAN auf der FW nutzen
f) sämtliche Dienste, bis auf die benötigten, laufen lassen
g) Dienste soweit wie möglich an Interfaces binden
h) keine, außer den notwendigen, Dienste & Anwendungen als root laufen lassen
i) den bisherigen Admin kräftig in den Arsch treten!!!

Gruß

btw: http://www.linuxforen.de/forums/showthread.php?s=&threadid=49496 ;)

Original geschrieben von jorekpinorek
Es wäre nett, wenn die Antwort an: purple.haze@gmx.net gehen könnte

nein, genau das wollen wir hier nicht, dass hier ist ein Forum und kein Problem Board ohne die Lösungen...

Original geschrieben von Stormbringer

i) den bisherigen Admin kräftig in den Arsch treten!!!



den bisherigen Admin kündigen, weil soetwas unverantwortlich ist!

btw: Mrlch hat vollkommen recht! Die antworten sollten für jeden hier im Forum zugänglich sein, damit auch jeder etwas davon hat/lernen kann!

cu

Jochen

Original geschrieben von Spike05
den bisherigen Admin kündigen, weil soetwas unverantwortlich ist!
hi,

jein .. zumindest mal ordentlich zur Brust nehmen ... wenn er den Server so wie du beschrieben hast
ans Internet gehängt hat .. mit Samba und ohne Firewall .. dann gibt es nur 2 Möglichkeiten...
entweder er hat wirklich keine Ahnung von dem was er tut oder einfach kein Interesse daran.

Bei Ersterem .. sofort zur Schulung schicken ..
Bei Letzterem .. Abmahnen ...

Aber der Sachverhalt muss gemeldet werden, es geht hier um die Unternehmensdaten !

grüsse,

Vielen dank, für eure antworten. Das der Systemadmin seinen Job verliert möchte ich nicht, denn dieser soll mir noch mein Studium mitfinanzieren. Aber danke für die Hinweise. Ich weiß was ich heute und den rest der woche zu tun habe, lesen lesen lesen und die punkte oben abarbeiten.
Das mit der E-Mail sollte eigentlich nur passieren, damit ich die Informationen schnell zur verfügung habe, ich weiß genau wie so ein board funktioniert. Das sollte nicht böse gemeint sein.

gruß
jorekpinorek

PS: Danke für den Hinweis, habe es gleich mal gändert mit der Signatur. Komme leider nicht so oft zum lesen hier.

hm... glaub mir: (m)ein chef sieht es ganz gerne, wenn man sich einen kopf macht.
und ein derartiger sicherheitsverstoss gehört gemeldet!

Hallo zusammen,

Ich bin in Linux ziemlich neu. Ich betreibe Privat auch einen Webserver, nun meine Frage, wo liegen den die relevanten Logfiles? Wo auf einen Angriffsversuch deuten?
Ich habe 4 user die SSH zugriff haben. Kann ich kontrollieren was die machen? Was Sie eingeben? etc.

Was ich noch sagen kann ich habe SuSE8.1 minimal + Webserver + wget + lynx + Samba ohne GUI.

Vielen Dank und Gruss
GiA

Hi,

die Logdateien liegen i. d. R. in /var/log/
Ofmals geben die Namen der Dateien, bzw. Unterverzeichnisse von /var/log Hinweise über ihre Funktion.

Gruß

logfiles liegen normalerweise unter /var/log/...

Ich habe 4 user die SSH zugriff haben. Kann ich kontrollieren was die machen? Was Sie eingeben? etc.

Du kannst dir die history Datei der jeweiligen User einsehen.
So kannst Du überprüfen, welche Befehle eingegeben wurden.

Grüße
DaGrrr

Original geschrieben von DaGrrr
Du kannst dir die history Datei der jeweiligen User einsehen.
So kannst Du überprüfen, welche Befehle eingegeben wurden, ......wenn sie der jeweilige User nicht geloescht oder die Protokollierung ausgeschaltet hat;-)

Gruss Pit.

Vielen Dank ;o)

hmm wegen der User-History, wie und wo schaltet man die ab und an? Weil ich sehe bei keinem der User eine Datei .bash_history?

hmm ich habe mal ein ls in die /var/log gemacht:

@
bash-2.05a$ ls
boot.log cron.2 ksyms.2 maillog.1 messages.3 rpmpkgs.4 spooler.1
boot.log.1 cron.3 ksyms.3 maillog.2 messages.4 secure spooler.2
boot.log.2 cron.4 ksyms.4 maillog.3 mysqld.log secure.1 spooler.3
boot.log.3 dmesg ksyms.5 maillog.4 rpmpkgs secure.2 spooler.4
boot.log.4 httpd ksyms.6 messages rpmpkgs.1 secure.3 wtmp
cron ksyms.0 lastlog messages.1 rpmpkgs.2 secure.4 wtmp.1
cron.1 ksyms.1 maillog messages.2 rpmpkgs.3 spooler xferlog

Wenn ich jedoch wtmp.1 anschaue sieht die so aus?!?

^G^@^@^@åT^@^@pts/0^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@ts/0swissnet^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@adsl-xxx-xxx-xxx-xxx.solnet.ch^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^MhÞ>~n^G^@Ôe^P^O^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@ ^@^@^@^@^@^@^@^@^@^@^@^@^@^H^@^@^@äT^@^@pts/0^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@djÞ>Úä^C^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@ ^@^@^@^@^@^@^@^@^@^@^@^@^@^@^G^@^@^@bi^@^@pts/0^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@ts/0root^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^ @^@^@^@^@^@pop-zh-8-2-dialup-54.freesurf.ch^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@ ^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@ ^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@ ^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@ ^@^@^@^@^@^@^@^@
"wtmp.1" [readonly][noeol] 10L, 58368C

Was mache ich falsch?

Danke und Gruss
GiA

gibt man normalerweise nicht nur leuten, denen man vertraut einen ssh zugang?

ehm, ja schon :p vertrauen ist gut, kontrolle ist besser..

Das sind 4 schulkollegen, deshalb habe ich ein bisschen sorgen *gg*

Gruss GiA

Hi,

die History Dasteien liegen normalerweise im home Verzeichnis der Benutzer (bspw. /home/user1).
Diese müssen nicht.bash_history heißen, sondern können auch einfach nur .history hießen - es gibt da mehrere Möglichkeiten, kommt wohl, so glaube ich, auf die shell sowie das OS an.

Gruß

... kann keine .history oder sonst was im Homeverzeichnis finden.

Aber kann mir einer sagen was ich hier falsch mache?
Wenn ich wtmp.1 anschaue sieht die so aus?!?

^G^@^@^@åT^@^@pts/ 0^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^
@^@^@ts/ 0swissnet^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^
@^@^@^@adsl-xxx-xxx-xxx-xxx.solnet. ch^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@
^@^@^@^@^@^@^@^@^@^@^@^@^MhÞ> ~n^G^@Ôe^P^O^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@
^@^@^@^@^@^@^@^@^@^@^@^@^@^H^@^@^@äT^@^@pts/ 0^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^
@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^
@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^
@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^
@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^
@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^
@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^
@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^
@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^
@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^
@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^
@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^
@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^
@^@^@djÞ> Úä^C^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^G^@^@^@bi^@^@pts/ 0^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^
@^@^@ts/ 0root^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^
@^@^@^@^@^@pop-zh-8-2-dialup-54.freesurf. ch^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@
^@^@
"wtmp.1" [readonly][noeol] 10L, 58368C

Danke und Gruss
GiA

gib mal

last

auf der console ein

Danke ;o)

Also kann ich nochmals zusammen fassen, wichtige log dateien:

~/.bash_history oder ~/.history
last
lastlog
/var/log/

Habe ich was wichtiges vergessen?

Dann noch eine Frage, in welcher Konfigurationsdatei steht drin wo die .bash_history gespeichert wird?

Kann ich die Logs einfach löschen, die sich im /var/log befinden?

Danke nochmals und Gruss GiA

hi

bin jetzt auch neugierig geworden...

wie schaltet man die überwachung / logs ein für ssh der user ?

interessiert mich jetzt auch :)

also wenn es jemand weis wäre es voll super wenn er diese info preis geben würde.


danke

zicke :)

Auch wenn es vielleicht nicht mehr topaktuell ist: Bei der bash kann man mit
"export HISTCONTROL=ignoreboth" alle abgesetzten Befehle vom Loggen ausschliessen, wenn sie mit einem (oder mehreren) Blank(s) beginnen.

Gruss Pit.