Hallo, ich habe hier ein sehr seltsames Verhalten des Yast-Firewall Moduls. Da ich mich in letzter Zeit immer wieder über plötzliches Rattern meiner Festplatte gewundert habe, das dann ein paar Sekunden lang ging. Nach etwas Suche und Auf-der-Lauer-liegen habe ich dann festgestellt, dass wohl ein vnc-Zugriff auf meinen Rechner stattgefunden hat. Interessanterweise habe ich dann anschließend in meine Firewall gesehen und festgestellt, dass folgende Dienste freigeschalten waren: SSH IPP-Broadcast NFS-Client NFS-Server Na gut, habe ich mir gedacht, das hat ja eigentlich nix mit dem Port 5900 zu tun, der da gerade eben benutzt worden ist und wollte mich gerade mit dem Gedanken anfreunden, dass ich mich vielleicht doch getäuscht haben sollte und meine Kiste doch safe ist. Dann habe ich in die Details der vier freigegebenen Dienste gesehen und war leicht verwundert. Für jeden dieser Dienste sind die Ports "21 5900 5902:5910" eingetragen, also FTP und VNC wenn mich nicht alles täuscht. Jetzt habe ich erstmal alle vier Dienste rausgekickt und die Firewall komplett dicht gemacht. Naja, soweit so gut. Als nächstes habe ich die Passwörter auf dem Rechner geändert, sowie nach authorized_keys (SSH-Keys) gesucht (aber keine gefunden). Interessanterweise hängt diese Kiste (Suse 10.2) hinter einem Telekom Router mit eingeschalteter Firewall. Die Frage ist nun, ist sowas normal? Doch wohl eher nicht, oder? Ist der Rechner gehackt? Was sollte ich tun...? -- Michael Herrmann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Mittwoch, 21. November 2007 13:29:20 schrieb Michael Herrmann: Hallo Michael,
ich habe hier ein sehr seltsames Verhalten des Yast-Firewall Moduls. Da ich mich in letzter Zeit immer wieder über plötzliches Rattern meiner Festplatte gewundert habe, das dann ein paar Sekunden lang ging. Nach etwas Suche und Auf-der-Lauer-liegen habe ich dann festgestellt, dass wohl ein vnc-Zugriff auf meinen Rechner stattgefunden hat.
Interessanterweise habe ich dann anschließend in meine Firewall gesehen und festgestellt, dass folgende Dienste freigeschalten waren:
SSH IPP-Broadcast NFS-Client NFS-Server
Deine Angaben nuetzen hier nicht viel in Bezug auf "Rechner gahackt"! Schau doch bitte mal ins Logfile der Firewall: /var/log/firewall und suche dort nach Auffaelligkeiten. Weiterhin koenntest Du mit last nachschauen, wer sich zu welcher Zeit auf Deiner Kiste rumgetrieben hat. Ich wuerde das Rattern Deiner Festplatte auf beagle & Co. oder auf Updatedb schieben. Wenns wieder mal rattert, schau mal mit ps ax was gerade so laeuft und sollte die CPU auch mehr als ueblich schindern, dann schau mit top, was gerade rennt. MfG Th. Moritz -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Thomas Moritz schrieb:
Am Mittwoch, 21. November 2007 13:29:20 schrieb Michael Herrmann:
Hallo Michael,
ich habe hier ein sehr seltsames Verhalten des Yast-Firewall Moduls. Da ich mich in letzter Zeit immer wieder über plötzliches Rattern meiner Festplatte gewundert habe, das dann ein paar Sekunden lang ging. Nach etwas Suche und Auf-der-Lauer-liegen habe ich dann festgestellt, dass wohl ein vnc-Zugriff auf meinen Rechner stattgefunden hat.
Interessanterweise habe ich dann anschließend in meine Firewall gesehen und festgestellt, dass folgende Dienste freigeschalten waren:
SSH IPP-Broadcast NFS-Client NFS-Server
Deine Angaben nuetzen hier nicht viel in Bezug auf "Rechner gahackt"! Schau doch bitte mal ins Logfile der Firewall:
/var/log/firewall
und suche dort nach Auffaelligkeiten. Weiterhin koenntest Du mit
last
nachschauen, wer sich zu welcher Zeit auf Deiner Kiste rumgetrieben hat. Ich wuerde das Rattern Deiner Festplatte auf beagle & Co. oder auf Updatedb schieben. Wenns wieder mal rattert, schau mal mit
ps ax
was gerade so laeuft und sollte die CPU auch mehr als ueblich schindern, dann schau mit top, was gerade rennt.
und wenn da so ein böses rootkit installiert wurde zeigen diese Tools natürlich alles nur nicht den Feind mfg Wolfgang Geisendörfer
MfG Th. Moritz
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Wolfgang Geisendörfer schrieb:
Thomas Moritz schrieb:
Am Mittwoch, 21. November 2007 13:29:20 schrieb Michael Herrmann:
Hallo Michael,
ich habe hier ein sehr seltsames Verhalten des Yast-Firewall Moduls. Da ich mich in letzter Zeit immer wieder über plötzliches Rattern meiner Festplatte gewundert habe, das dann ein paar Sekunden lang ging. Nach etwas Suche und Auf-der-Lauer-liegen habe ich dann festgestellt, dass wohl ein vnc-Zugriff auf meinen Rechner stattgefunden hat.
Interessanterweise habe ich dann anschließend in meine Firewall gesehen und festgestellt, dass folgende Dienste freigeschalten waren:
SSH IPP-Broadcast NFS-Client NFS-Server
Deine Angaben nuetzen hier nicht viel in Bezug auf "Rechner gahackt"! Schau doch bitte mal ins Logfile der Firewall:
/var/log/firewall
und suche dort nach Auffaelligkeiten. Weiterhin koenntest Du mit
last
nachschauen, wer sich zu welcher Zeit auf Deiner Kiste rumgetrieben hat. Ich wuerde das Rattern Deiner Festplatte auf beagle & Co. oder auf Updatedb schieben. Wenns wieder mal rattert, schau mal mit ps ax
was gerade so laeuft und sollte die CPU auch mehr als ueblich schindern, dann schau mit top, was gerade rennt.
und wenn da so ein böses rootkit installiert wurde zeigen diese Tools natürlich alles nur nicht den Feind
mfg
Wolfgang Geisendörfer
MfG Th. Moritz
da kann man ja auch gegen wirken z.B. mit rkhunter um nach solchen rootkits zu suchen Gruß Robert -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org iD8DBQFHRECjlYuM4ozDZ7URAsBAAJ9vztticVoQP2HHF9SWlDfR2MPKcACgibmD dPzx04w7JTs6x+DeL6ojdnw= =S9yy -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Mittwoch, 21. November 2007 15:39:50 schrieb Wolfgang Geisendörfer:
Thomas Moritz schrieb:
Am Mittwoch, 21. November 2007 13:29:20 schrieb Michael Herrmann:
Hallo Michael,
ich habe hier ein sehr seltsames Verhalten des Yast-Firewall Moduls. Da ich mich in letzter Zeit immer wieder über plötzliches Rattern meiner Festplatte gewundert habe, das dann ein paar Sekunden lang ging. Nach etwas Suche und Auf-der-Lauer-liegen habe ich dann festgestellt, dass wohl ein vnc-Zugriff auf meinen Rechner stattgefunden hat.
Interessanterweise habe ich dann anschließend in meine Firewall gesehen und festgestellt, dass folgende Dienste freigeschalten waren:
SSH IPP-Broadcast NFS-Client NFS-Server
Deine Angaben nuetzen hier nicht viel in Bezug auf "Rechner gahackt"! Schau doch bitte mal ins Logfile der Firewall:
/var/log/firewall
und suche dort nach Auffaelligkeiten. Weiterhin koenntest Du mit
last
nachschauen, wer sich zu welcher Zeit auf Deiner Kiste rumgetrieben hat. Ich wuerde das Rattern Deiner Festplatte auf beagle & Co. oder auf Updatedb schieben. Wenns wieder mal rattert, schau mal mit
ps ax
was gerade so laeuft und sollte die CPU auch mehr als ueblich schindern, dann schau mit top, was gerade rennt.
und wenn da so ein böses rootkit installiert wurde zeigen diese Tools natürlich alles nur nicht den Feind
lass doch mal ckrootkit laufen: http://www.chkrootkit.org/ Bye Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, das Problem wurde bereits angedeutet: Wie weit kannst Du last, log-Dateien etc. trauen, wenn Du das Gefühl hast, Dein rechner wurde kompromittiert ? Auf jeden Fall nicht genug. In der IX 7/07 war ein Artikel und eine CD zu Incident Response Tools. Die CD findest Du auch hier: http://computer-forensik.org/tools/ix/ Mit dieser CD startest Du auf dem laufenden System eine statisch gelinkte shell, und hast div. Werkzeuge wie last, w, netstat ... zur Verfügung, die alle statisch gelinkt sind. Ausserdem startest Du diese von der CD, d.h. sie sind definitiv sauber. Auf der CD ist auch noch eine sehr interessante readme.txt, führ Dir die bitte zu Gemüte. Dieses Vorgehen würde ich Dir sehr empfehlen, ich nutze die CD immer, wenn ich ein ungutes Gefühl haben (das sich bisher aber nie bestätigt hat, toi toi toi). Viel Spaß Bernd -- Bernd Lentes staatl. geprüfter Techniker Systemadministration Institut für Entwicklungsgenetik GSF Raum 35/1008f Ingolstädter Landstraße 1 85764 München-Neuherberg mailto:bernd.lentes@gsf.de phoneto:089/3187-1241 faxto:089/3187-3826 http://www.gsf.de/idg
-----Original Message----- From: Dr. Jürgen Vollmer [mailto:Juergen.Vollmer@informatik-vollmer.de] Sent: Wednesday, November 21, 2007 3:30 PM To: opensuse-de@opensuse.org Subject: Re: Rechner gehackt?
Thomas Moritz schrieb:
Am Mittwoch, 21. November 2007 13:29:20 schrieb Michael Herrmann:
Hallo Michael,
ich habe hier ein sehr seltsames Verhalten des Yast-Firewall Moduls. Da ich mich in letzter Zeit immer wieder über
Am Mittwoch, 21. November 2007 15:39:50 schrieb Wolfgang Geisendörfer: plötzliches
Rattern meiner Festplatte gewundert habe, das dann ein paar Sekunden lang ging. Nach etwas Suche und Auf-der-Lauer-liegen habe ich dann festgestellt, dass wohl ein vnc-Zugriff auf meinen Rechner stattgefunden hat.
Interessanterweise habe ich dann anschließend in meine Firewall gesehen und festgestellt, dass folgende Dienste freigeschalten waren:
SSH IPP-Broadcast NFS-Client NFS-Server
Deine Angaben nuetzen hier nicht viel in Bezug auf "Rechner gahackt"! Schau doch bitte mal ins Logfile der Firewall:
/var/log/firewall
und suche dort nach Auffaelligkeiten. Weiterhin koenntest Du mit
last
nachschauen, wer sich zu welcher Zeit auf Deiner Kiste rumgetrieben hat. Ich wuerde das Rattern Deiner Festplatte auf beagle & Co. oder auf Updatedb schieben. Wenns wieder mal rattert, schau mal mit
ps ax
was gerade so laeuft und sollte die CPU auch mehr als ueblich schindern, dann schau mit top, was gerade rennt.
und wenn da so ein böses rootkit installiert wurde zeigen diese Tools natürlich alles nur nicht den Feind
lass doch mal ckrootkit laufen:
Bye Jürgen
-- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (6)
-
Dr. Jürgen Vollmer
-
Lentes, Bernd
-
Michael Herrmann
-
Robert Schmolke
-
Thomas Moritz
-
Wolfgang Geisendörfer