Anzeige:
Ergebnis 1 bis 11 von 11

Thema: PC wurde gehackt

  1. #1
    ****verdreher
    Registriert seit
    Sep 2003
    Beiträge
    322

    PC wurde gehackt

    Heute wurde mein PC gehackt. Die Platte fing plötzlich zu rödeln an.
    Das kam mir merkwürdig vor. In der Systemüberwachung fand ich einen
    Benutzer Nobody der die Programme find und su laufen hatte.

    Da durchsuchte also jemand meinen Rechner.
    Ich habe sofort das Netzwerkkabel abgezogen und den PC ausgeschaltet.
    Und nach einem Neustart die Benutzer Passwörter geändert.

    Da ich nicht weiß ob der Angreifer schon root Rechte hatte, muß ich wohl vom
    schlimmsten Fall ausgehen.

    Wie kann ich herausfinden wo der Angreifer reinkam?
    Welche Logdateien sind jetzt interessant?

    Ich verwende Kanotix:

    Code:
    Linux tux 2.6.17-kanotix-1 #1 SMP PREEMPT Mon Jun 19 23:40:22 CEST 2006 i686 GNU/Linux
    Die Prozesse die momentan laufen:

    Code:
    root@tux:/home/stefan# ps -ef
    UID        PID  PPID  C STIME TTY          TIME CMD
    root         1     0  0 20:20 ?        00:00:01 init [5]
    root         2     1  0 20:20 ?        00:00:00 [migration/0]
    root         3     1  0 20:20 ?        00:00:00 [ksoftirqd/0]
    root         4     1  0 20:20 ?        00:00:00 [watchdog/0]
    root         5     1  0 20:20 ?        00:00:00 [events/0]
    root         6     1  0 20:20 ?        00:00:00 [khelper]
    root         7     1  0 20:20 ?        00:00:00 [kthread]
    root         9     7  0 20:20 ?        00:00:00 [kblockd/0]
    root        10     7  0 20:20 ?        00:00:00 [kacpid]
    root        82     7  0 20:20 ?        00:00:00 [kseriod]
    root       135     7  0 20:20 ?        00:00:00 [pdflush]
    root       136     7  0 20:20 ?        00:00:00 [pdflush]
    root       137     1  0 20:20 ?        00:00:00 [kswapd0]
    root       138     7  0 20:20 ?        00:00:00 [aio/0]
    root       139     7  0 20:20 ?        00:00:00 [xfslogd/0]
    root       140     7  0 20:20 ?        00:00:00 [xfsdatad/0]
    root       217     7  0 20:20 ?        00:00:00 [cqueue/0]
    root       287     7  0 20:20 ?        00:00:00 [ata/0]
    root       316     7  0 20:20 ?        00:00:00 [kcryptd/0]
    root       317     7  0 20:20 ?        00:00:00 [kmpathd/0]
    root       318     7  0 20:20 ?        00:00:00 [kmirrord]
    root       319     7  0 20:20 ?        00:00:00 [kedac]
    root       355     7  0 20:20 ?        00:00:00 [kjournald]
    root       433     1  0 20:20 ?        00:00:00 udevd --daemon
    root       641     7  0 20:20 ?        00:00:00 [khubd]
    root       646     7  0 20:20 ?        00:00:00 [kgameportd]
    root       651     7  0 20:20 ?        00:00:00 [kpsmoused]
    root       824     7  0 20:21 ?        00:00:00 [shpchpd]
    root      1135     7  0 20:21 ?        00:00:00 [kjournald]
    root      1490     1  0 20:21 ?        00:00:00 /sbin/syslogd
    root      1500     1  0 20:21 ?        00:00:00 /sbin/klogd -x
    root      1588     1  0 20:21 ?        00:00:00 /usr/sbin/acpid -c /etc/acpi/everoot      1614     1  0 20:21 ?        00:00:00 /usr/sbin/cupsd
    108       1626     1  0 20:21 ?        00:00:00 /usr/bin/dbus-daemon --system
    115       1634     1  0 20:21 ?        00:00:02 /usr/sbin/hald
    root      1635  1634  0 20:21 ?        00:00:00 hald-runner
    115       1641  1635  0 20:21 ?        00:00:00 hald-addon-acpi: listening on ac115       1651  1635  0 20:21 ?        00:00:00 hald-addon-keyboard: listening oroot      1661  1635  0 20:21 ?        00:00:00 hald-addon-storage: polling /devroot      1663  1635  0 20:21 ?        00:00:00 hald-addon-storage: polling /devdaemon    1697     1  0 20:21 ?        00:00:00 /usr/sbin/atd
    root      1704     1  0 20:21 ?        00:00:00 /usr/sbin/cron
    root      1718     1  0 20:21 ?        00:00:00 /usr/bin/kdm
    root      1731  1718  2 20:21 tty7     00:00:13 /usr/X11R6/bin/X -nolisten tcp -root      1748     1  0 20:21 tty1     00:00:00 /sbin/getty 38400 tty1
    root      1749     1  0 20:21 tty2     00:00:00 /sbin/getty 38400 tty2
    root      1750     1  0 20:21 tty3     00:00:00 /sbin/getty 38400 tty3
    root      1751     1  0 20:21 tty4     00:00:00 /sbin/getty 38400 tty4
    root      1752     1  0 20:21 tty5     00:00:00 /sbin/getty 38400 tty5
    root      1753     1  0 20:21 tty6     00:00:00 /sbin/getty 38400 tty6
    root      1764  1718  0 20:21 ?        00:00:00 -:0
    stefan    1782  1764  0 20:22 ?        00:00:00 /bin/sh /etc/xdg/xfce4/xinitrc
    stefan    1833  1782  0 20:22 ?        00:00:00 /usr/bin/ssh-agent /usr/bin/dbusstefan    1836     1  0 20:22 ?        00:00:00 /usr/bin/dbus-launch --exit-withstefan    1837     1  0 20:22 ?        00:00:00 /usr/bin/dbus-daemon --fork --prstefan    1845  1782  0 20:22 ?        00:00:00 /usr/bin/xfce4-session
    stefan    1849     1  0 20:22 ?        00:00:00 xfce-mcs-manager
    stefan    1851     1  0 20:22 ?        00:00:00 kdeinit Running...
    stefan    1855     1  0 20:22 ?        00:00:00 dcopserver [kdeinit] --nosid
    stefan    1857  1851  0 20:22 ?        00:00:00 klauncher [kdeinit]
    stefan    1859     1  3 20:22 ?        00:00:15 kded [kdeinit]
    stefan    1862     1  0 20:22 ?        00:00:00 /usr/lib/gamin/gam_server
    stefan    1867     1  4 20:22 ?        00:00:15 xfwm4 --sm-client-id 117f0000010stefan    1869     1  0 20:22 ?        00:00:01 xfdesktop --sm-client-id 117f000stefan    1871     1  4 20:22 ?        00:00:16 xfce4-panel & --sm-client-id 117stefan    1874     1  9 20:22 ?        00:00:33 ksysguard -session 117f000001000stefan    1875  1871  4 20:22 ?        00:00:17 /usr/lib/xfce4/panel-plugins/xfcstefan    1876  1871  4 20:22 ?        00:00:15 /usr/lib/xfce4/panel-plugins/xfcstefan    1881     1  4 20:23 ?        00:00:15 kio_uiserver -session 117f000001stefan    1883     1 10 20:23 ?        00:00:30 /usr/lib/firefox/firefox-bin
    stefan    1886  1874  0 20:23 ?        00:00:02 ksysguardd
    stefan    1890     1  0 20:23 ?        00:00:00 /usr/lib/libgconf2-4/gconfd-2 10stefan    1899     1  7 20:25 ?        00:00:16 xfce4-terminal
    stefan    1900  1899  0 20:25 ?        00:00:00 gnome-pty-helper
    stefan    1901  1899  0 20:25 pts/0    00:00:00 bash
    root      1920  1901  0 20:26 pts/0    00:00:00 su
    root      1921  1920  0 20:26 pts/0    00:00:00 bash
    root      1932  1921  0 20:28 pts/0    00:00:00 ps -ef

  2. #2
    Bastard Student from Hell Avatar von THEReapMan
    Registriert seit
    May 2003
    Ort
    Hohenstein-Er.
    Beiträge
    866
    schau erstmal nach obs nich vieleicht ein cronjob war der da gerödelt hat.
    Intressante logdatei ist immer erstmal die /var/log/messages.

  3. #3
    Pinguinzüchter Avatar von Der Papst
    Registriert seit
    Nov 2006
    Beiträge
    405
    Wie kann sowas überhaupt passieren?
    Ich dachte immer, Linux ist bombensicher weil kein Fremder Rootrechte erlangen kann und nichtmal als normaler Nutzer reinkommt.
    Geändert von Der Papst (22.11.06 um 21:06 Uhr)

  4. #4
    Modzkopf Avatar von delmonico
    Registriert seit
    Feb 2003
    Beiträge
    2.807
    Nein, dann hast du nicht gedacht.

  5. #5
    Registrierter Benutzer Avatar von ldi91
    Registriert seit
    Apr 2006
    Beiträge
    595
    Zitat Zitat von jay-t Beitrag anzeigen
    Und nach einem Neustart die Benutzer Passwörter geändert.
    Zitat Zitat von THEReapMan Beitrag anzeigen
    schau erstmal nach obs nich vieleicht ein cronjob war der da gerödelt hat.
    Naja, programmierst du cronjobs die immer deine Passwörter auf ein Zufallswert ändert, den du nicht kennst?
    Nimm das Leben nicht so ernst, du kommst eh nie lebend raus! | Lieber ein Pinguin der läuft, als ein Fenster, das hängt...

  6. #6
    Rain_maker
    Gast

    Kleiner Tipp ... Vorsicht vor dem Hackertrio!

    Beim nächsten mal solltest Du auch noch weiter aufpassen, ob nicht zur selben Zeit der gefährliche Hacker "updatedb" sich auf Deinem PC rumtreibt!

    Die treten meist zu dritt auf, also nobody, find und updatedb!

    Also aufgepasst!

    Zitat Zitat von ldi91
    Naja, programmierst du cronjobs die immer deine Passwörter auf ein Zufallswert ändert, den du nicht kennst?
    Zitat Zitat von jay-t
    Ich habe sofort das Netzwerkkabel abgezogen und den PC ausgeschaltet.
    Und nach einem Neustart die Benutzer Passwörter geändert.
    Eher ein "händischer Cronjob", oder? (nennt man sowas dann "Handjob"? *lol*)

    Greetz,

    RM

    P.S. *SCNR*
    Geändert von Rain_maker (22.11.06 um 21:19 Uhr)

  7. #7
    Registrierter Benutzer
    Registriert seit
    Jun 2003
    Beiträge
    578
    Zitat Zitat von Der Papst Beitrag anzeigen
    Wie kann sowas überhaupt passieren?
    Ich dachte immer, Linux ist bombensicher weil kein Fremder Rootrechte erlangen kann und nichtmal als normaler Nutzer reinkommt.
    du kommst ja auch rein und bist für deinen pc ein fremder (bis zur anmeldung)

    daran ist ja wohl nicht linux schuld oder ...

    wenn man keinen vernünftigen passwörter verwendet und root/root root/leer oder ähnliches einträgt, ssh laufen lässt, auch wenn es nicht gebraucht wird, telnet nicht abschaltet oder was weiss ich, ist jeder, der sich ordentlich anmeldet kein fremder. du glaubst garnicht, wie oft ich schon root und leer (oder 2 space) als passwort gesehen habe.
    komisch, dass system warnungen in solchen fällen immer herzhaft ignoriert werden. beim anlegen des passworts wird immer gewarnt, wenn was nicht halbwegs sicher ist. gross und kleinbuchstaben, ziffern und sonderzeichen. ist doch garnicht so schwer. ssh niemals als root zulassen, telnet ausschalten. alles stndardregeln.....
    gruss sys;-)

  8. #8
    Doctor Notes Avatar von zeromancer1972
    Registriert seit
    Jul 2006
    Ort
    ~/Dresden
    Beiträge
    1.794
    Schöner Thread *hau mich wech*
    Kneel and disconnect
    And waste another year
    Fill the application
    Start a new career

  9. #9
    Pinguinzüchter Avatar von Der Papst
    Registriert seit
    Nov 2006
    Beiträge
    405
    Zitat Zitat von sysop Beitrag anzeigen
    du kommst ja auch rein und bist für deinen pc ein fremder (bis zur anmeldung)

    daran ist ja wohl nicht linux schuld oder ...

    wenn man keinen vernünftigen passwörter verwendet und root/root root/leer oder ähnliches einträgt, ssh laufen lässt, auch wenn es nicht gebraucht wird, telnet nicht abschaltet oder was weiss ich, ist jeder, der sich ordentlich anmeldet kein fremder. du glaubst garnicht, wie oft ich schon root und leer (oder 2 space) als passwort gesehen habe.
    komisch, dass system warnungen in solchen fällen immer herzhaft ignoriert werden. beim anlegen des passworts wird immer gewarnt, wenn was nicht halbwegs sicher ist. gross und kleinbuchstaben, ziffern und sonderzeichen. ist doch garnicht so schwer. ssh niemals als root zulassen, telnet ausschalten. alles stndardregeln.....
    nun, mit solchen Passwörtern hab ich allerdings nicht gerechnet...

  10. #10
    Rain_maker
    Gast

    SIE sind unter UNS!!! Das Trio schlägt ZU!!

    OH MEIN GOTT!!!!

    Nun hat es MICH ERWISCHT !!!!!!1111einself!11111

    Code:
    nobody     16421  0.0  0.2   3648  1344 pts/1    S+   23:13   0:00 /bin/sh /usr/bin/updatedb
    nobody     16429  0.0  0.2   3648  1344 pts/1    S+   23:13   0:00 /bin/sh /usr/bin/updatedb
    nobody     16432  5.9  0.2   3324  1512 pts/1    R+   23:13   0:11 /usr/bin/find / 
    nobody      16   0  1776  424  368 S  0.0  0.1   0:00.08 cron
    nobody     16413  0.0  0.2   3680  1308 pts/1    S    23:13   0:00 su
    Aber ich habe den HACKER schon identifiziert !!!!elfundelfzig!!!!

    Es ist CONAN DER BARBAR!!!

    CRON!!!!

    Greetz,

    RM

  11. #11
    Kommunikator
    Registriert seit
    Apr 1999
    Ort
    Reutlingen
    Beiträge
    3.673
    OK, gut. Ich mache das hier mal zu.

    Jeder hat es wohl verstanden.

    Viele Grüße

    Eicke

Ähnliche Themen

  1. cs-server gehackt
    Von Aian im Forum Dedizierte Spiele Server
    Antworten: 12
    Letzter Beitrag: 17.06.05, 11:49
  2. Webserver wurde gehackt, nun nurnoch probleme
    Von BNO im Forum Linux als Server
    Antworten: 18
    Letzter Beitrag: 28.12.04, 22:06
  3. Windows gehackt?
    Von Windi im Forum Meldungen und Mitglieder
    Antworten: 45
    Letzter Beitrag: 30.05.04, 12:13
  4. Apache Server gehackt
    Von Ellcrys im Forum Linux als Server
    Antworten: 6
    Letzter Beitrag: 23.09.03, 13:44
  5. Gehackt! Aber was treibt der Lümmel auf meiner Kiste?
    Von Hans-Georg Normann im Forum Sicherheit
    Antworten: 42
    Letzter Beitrag: 30.04.03, 15:08

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •