Hallo, ein Freund von mir hat bei sich daheim eine Red Hat Kiste laufen. Er wurde anscheinend Gehack und kann sich nicht mehr als root lokal auf seiner Kiste anmelden. Per ssh kommt er aber noch drauf!!!!! Weiß jemand was ich dagegen machen kann??? Gruss, Ruediger
Das hoert sich ganz nach einem rootkit an, vermutlich das adore-kit such mal in Google unter rootkit oder adore oder z.b.: www.chrootkit.org Hallo, ein Freund von mir hat bei sich daheim eine Red Hat Kiste laufen. Er wurde anscheinend Gehack und kann sich nicht mehr als root lokal auf seiner Kiste anmelden. Per ssh kommt er aber noch drauf!!!!! Weiß jemand was ich dagegen machen kann??? Gruss, Ruediger
Ruediger Demogalle wrote:
Hallo,
ein Freund von mir hat bei sich daheim eine Red Hat Kiste laufen. Er wurde anscheinend Gehack und kann sich nicht mehr als root lokal auf seiner Kiste anmelden. Per ssh kommt er aber noch drauf!!!!!
Weiß jemand was ich dagegen machen kann???
Gruss,
Ruediger
Wenn er per ssh noch draufkommt, hängt das mit den PAM-Modulen zusammen. in /etc/pam.d/login scheint etwas nicht zu stimmen. Das muß da drin stehen #%PAM-1.0 auth required /lib/security/pam_securetty.so auth required /lib/security/pam_stack.so service=system-auth auth required /lib/security/pam_nologin.so account required /lib/security/pam_stack.so service=system-auth password required /lib/security/pam_stack.so service=system-auth session required /lib/security/pam_stack.so service=system-auth session optional /lib/security/pam_console.so
On Wednesday, 13. February 2002 13:12, Ruediger Demogalle wrote: [...]
ein Freund von mir hat bei sich daheim eine Red Hat Kiste laufen. Er wurde anscheinend Gehack und kann sich nicht mehr als root lokal auf seiner Kiste anmelden. Per ssh kommt er aber noch drauf!!!!!
Weiß jemand was ich dagegen machen kann??? [...] *lachmichschlapp* Ahhh, auch jemand der fleissig Linux Magazin, freeX, c`t ... liest, die überschlagen sich momentan ja alle mit Beiträgen zur IT-Sicherheit. Muss glatt ein Virus, biologischer Art nur infektiös bei der Spezies Sapiens Linuxianis, sein. Allerdings ich muss zugeben, die Artikelserie im Linux Magazin war nicht schlecht, für den Anfang.
__Also erst einmal Entwarnung__ Ich würde zuerst einmal die Lektüre von adäquater Literatur empfehlen, bevor ich solche mutigen Äusserungen machen würde.[1] Der Sinn und Zweck eines rootkits ist ja gerade, dass der Administrator nichts davon mitbekommt das sein Pinguin in Geiselhaft genommen wurde. Also ich vermute mal die Maschine wurde nicht gehackt, sondern das wurde mit yast2 am Aauthentifizierungs Modus herumgespielt. Das jemand zu Hause gehackt wurde und ein Intruder Zeit hatte einen rootkit zu installieren ist meiner Meinung nach, auch bei heutigem Surfverhalten äusserst ungewöhnlich. Selbst bei denen die es aus Protzigkeit nicht lassen können ihre Flatrate rund um die Uhr auszunutzen würde mir ich an Stelle des Intruders ein anderes Ziel aussuchen. Also meine Vermutung: Mit 99,...% Wahrscheinlichkeit liegt das Problem in der grauen Masse zwischen den Ohren des dortigen Administrators :-)) Tschüss, Thomas [1] Linux Sicherheit; dPunkt Verlag; 1200 Seiten (recht gut lesbar und daher empfehlenswert, und grösstenteils auch noch aktuell) (TT) p.s. Heute mal ohne footer :-))
participants (4)
-
Jan Hendrik Ribbat
-
Marcel Schmedes
-
Ruediger Demogalle
-
Thomas Templin