Am Dienstag, 14. September 2004 10:02 schrieb Anatol Schirmer:
Andre Lorenz wrote:
Am Dienstag, 14. September 2004 08:56 schrieb Anatol Schirmer: Lass dich davon nicht verrückt machen.
:-) Leicht gesagt :-) :
1. Rufe dochmal bei der Firma an und verlange mal den admin, der dafür zuständig ist. 2. bitte ihn doch einfach, sofern das ganze echt ist, um eine kopie der Logfiles.
Jup - machen wir! Haben sogar gerade von unserem Provider ne Beschwerde eingericht bekommen ... scheint wirklich zu stimmen :-/
dann ist es echt böse. Dann würde ich sofort einen neuen Server aufsetzen und nur die wichtigsten Configfiles und evtl. Daten übernehmen, auf keinen Fall Lib-Dateien oder ausführbare Dateien, da davon wahrscheinlich einige kompromittiert sind. Den Server dann hinstellen, bzw. die Platte in den alten Server einbauen, dann eine Sicherung der gesamten Platte machen, z.B. auf eine andere Platte und dann die Sicherung ganz genau untersuchen, was wann geändert oder passiert ist. Dazu gibts im Internet viele Hinweise.
2) In wiefern können mir die LogFiles vom Admin helfen?
Sie zeigen dir wo und wie dein system ge/missbraucht worden ist.
Gut so weit war ich auch schon ;-) Die Frage muß ich wohl anders stellen: Wie sehen solche LogFiles aus und wie kann man dabei ermitteln, was nun wirklich los ist.
Habe auch ein paar Zeilen vom Provider bekommen (nehme an, dass sind Logs vom betroffenen Admin). Aber das sieht mir eher wie n TCPDUMP aus:
[...] 23:48:34.490403 adsl-63-108-129-235.apid.com.49265 > web.mpango.de.websm: . ack 762561 win 33120 (DF) 23:48:34.495534 c-24-20-234-49.client.comcast.net.49626 > web.mpango.de.websm: . ack 31357 win 33304 (DF) 23:48:34.515143 pD9ED0BCC.dip0.t-ipconnect.de.ndl-aps > web.mpango.de.websm: . ack 733121 win 31647 (DF) 23:48:34.535075 ip68-7-175-74.sd.sd.cox.net.52533 > web.mpango.de.websm: . ack 764545 win 652 (DF) [...]
und wenn ich das richtig deute, dann geht doch der Weg von den ominösen Adressen zu UNSEREM Rechner! Das ist der web.mpango.de ...
1. Untersuch doch mal dein system mit checkrootkit
Jup ist in Arbeit :-)
2. gegebenfalls neu aufsetzen.
Argh! Mag nicht!!! ;-)
3. Ich persönlich mag die SuSE-Firewall nicht besonders,
Warum? Unsicher oder zu wenig konfigurierbar?
schreibe meine FW's (scripte) selbst.
cool! Wie macht man sowas?? Auch wollen!! ;-)
Ist zwar aufwendiger, aber dafür weiss ich was offen, bzw zu ist, sowie ich weiss wo an welcher stelle ich eingreifen muss.
Ja klingt vernünftig.
abgesehen davon, würde ich auch ein IDS mit aufsezten.
Hatte ich versucht: Tripwire! Aber ich habe nach der Installation irgendwie kein "Foto" des Systems hinbekommen. Da ist er immer mit ner Meldung abgestürzt: "Segmentation Fault" wars glaub ich - und das ist so die ganz böse Nummer ... Nach einer Woche rumprobierens hab ichs dann einfach aufgeben müssen ...
Mfg, Thomas