Mailinglist Archive: opensuse-de (6694 mails)

< Previous Next >
Re: Hilfe: Hacker an Bord
Hallo,


Hallo Jochen,
From the keyboard of Jochen,

Hi,

ich habe vermutlich einen Hacker auf einem meiner SuSE-Rechner (SuSE
Version zwischen 6.2 und 7.0).

s/Hacker/Cracker/ --> Danke.

Ich wurde informiert, dass von dem Rechner Portscans in andere Netze
ausgehen. Zu diesem Zeitpunkt konnte ich mich auf der Maschine zwar per
ssh einloggen, aber keinen Root-Zugang mehr erhalten, das Password hat
nicht funktioniert.

Inzwischen habe ich wieder physikalischen Zugriff auf den Server. Per
Console kann ich mich gar nicht auf der Maschine anmelden. Nach der
Eingabe des accounts kommt nicht die PWD-Abfrage, sondern nur wieder ein
frischer LogIn-Screen...

Sammelt noch ein paar Passworte der Penner.

Hast du zufällig ein dd der kompletten Platte oder
noch besser Partitionsweise gemacht, sodaß man
die Sache noch analysieren kann, um festzustellen, wie er in dein
System eingedrungen ist?


Ich wollte das System allerdings eh auf SuSE 7.3 Pro bringen und so will
ich nur wichtige Konfigurationen und Daten retten...

sei aber vorsichtig, nicht das du dir ein root-kit oder ne Backdoor
mitschleppst.

das Problem dabei
ist aber, dass der Installer von 7.3 meine Raidpartitionen nicht
erkennt... die Partitionsgrößen sind falsch (viel zu klein) und die zwar
als Linux AutoRaid gekennzeichneten Partitionen werden nicht
zusammengefügt und ich weiß nicht, wie ich sie von Hand aktivieren
könnte. Das ist vor allem ein Problem für die Partition, die neben den
Daten nun auch zur Zwischensicherung weiterer Daten herhalten soll. Zwar
kann ich die Partitionen unter Umgehung des Raids einzeln als ext2
mounten und die Daten passieren, allerdings kann es sein, dass die Daten
wieder weg sind, wenn das Raid das nächste Mal startet.

Zudem weiß ich leider den Mount-Typ nicht, den ich anwenden kann, um ein
Raid von Hand (unter 7.3 rescue) zu mounten (mount -t ??? /dev/md0
/mnt).

Das Raid habe ich damals mit den Raidtools 0.90 erstellt, ein für Redhat
verfügbarer lilo-patch erlaubte es, vom Raid zu booten.

Wie gehe ich am besten vor???

Ich glaube der RAID-Support bei der Installation von SuSE kränkelt
noch ein wenig. Ich kenne mich mit RAID unter Linux nicht genügend
aus, um dir da weitergehend zu helfen.

bye
Waldemar


ich kann dir jetzt zwar nich helfen was dein problem mit dem sichern der
daten angeht, da ich selber kein raid verwende,
aber vielleicht solltest du dir in zukunft mal portsentry und logcheck
anschaun. gibts unter http://www.psionic.com .

die beiden tools sind sehr gut was das hacken angeht. mit den portsentry hab
ich in der letzten woche alleine 3 hackangriffe abgewehrt.

Marko


< Previous Next >
Follow Ups