Mailinglist Archive: opensuse-de (2782 mails)

< Previous Next >
Re: Hilfe!! Einbruch in mein System??
  • From: Arno Lehmann <al@xxxxxxxxxxxxxx>
  • Date: Fri, 15 Apr 2005 22:28:55 +0200
  • Message-id: <42602407.6090503@xxxxxxxxxxxxxx>
Hallo,

Karl Sinn wrote:

Am Freitag, 15. April 2005 14:13 schrieb Hans-Martin Flesch:

Ergänzung: Gib doch mal ein "w" ein, dann siehst du die eingeloggten
Benutzer...


ok,
das bin 3 mal ich und zwei mal meine Freundin.

Das seht ja alles normal aus.

Wie kann ich denn jetzt herausfinden, ob der Eindringling es geschafft hat sich einzuloggen oder nicht?

Im Endeffekt: mit einer ordentlichen forensischen Analyse. Entweder fängst Du jetzt an _sehr_ intensiv zu lernen, dann hast Du vielleicht schon nach wenigen Wochen ein Ergebnis... oder Du bezahlst jemanden dafür.

Ansonsten: der Befehl last ist interessant.

Es wird sich aber kaum jemand Zugang verschafft haben, denn wer das ernsthaft betreibt verwischt seine Spuren. Und eben das ist ja nicht geschehen.

Im übrigen waren die "Einbruchsversuche" nicht unbedingt aktuell, oder? Laut log ja Jan / Feb, wenn meine Erinnerung mich nicht trügt...

Es gibt bei einem gelungenen Einbruchsversuch letztlich keine absolut wirksame Methode den zu entdecken und evtl. Änderungen am System aufzuspüren ohne einen genauen Vergleich des ganzen Systems mit einem gut dokumentierten Sollzustand, und den hast Du nicht.

Ansonsten hilft nur Rettungssystem booten, Festplatte leermachen, neu installieren, kein Backup einspielen, nur so kannst Du halbwegs sicher sein dass keine rootkits installiert bleiben.

Arno
Gruss
Karl


--
IT-Service Lehmann al@xxxxxxxxxxxxxx
Arno Lehmann http://www.its-lehmann.de

< Previous Next >