Mailinglist Archive: opensuse-de (977 mails)
| < Previous | Next > |
Re: massenhaft versuche "einzubrechen" was kann ich machen
- From: "Erik P. Roderwald" <suse@xxxxxxxxxxxx>
- Date: Thu, 29 Oct 2009 23:24:48 +0200
- Message-id: <200910292224.48750.suse@xxxxxxxxxxxx>
Hallo zusammen,
On Mittwoch 28 Oktober 2009, robert rottermann wrote:
1. netstat -apnee
Den Befehl führe ich täglich aus und zwar nicht automatisiert,
sondern ich selbst. Bei dem Ergebnis interssiert einmal, ob
wirklich die Ports nur offen sind, die auch offen sein müssen.
Die stehen in den Zeilen, in denen "LISTEN" steht. (Wehe, Dein
Server spricht Deutsch mit Dir. ;) ) Sind es auch die Prozesse,
die diese Ports offen halten sollen?
Aber auch die stehenden Verbindungen sind interessant. Auf Port
80 hat man hoffentlich gaaaaanz viele. ;) Aber was tut sich so
auf den anderen Ports? Ist da vielleicht eine ssh-Verbindung,
von der Du nichts weißt oder sind vielleicht Verbindungen von
außen auf Ports, die gar nicht offen sein sollten?
2. ps aux
Das mache ich auch täglich. Laufen nur Prozesse, die auch laufen
dürfen? Du kennst sie nicht alle? Google ist Dein Freund. ;)
Dann lernst Du nebenbei noch Dein System kennen.
3. Verzeichnisse durchsuchen
Alle von außen erreichbaren Verzeichnisse (also z. B. per http)
nach Dateien durchsuchen, die da nicht hingehören. Außerdem auch
Verzeichnisse, in denen ausführbare Dateien liegen (also z.
B. /usr/bin oder /bin) durchwühlen. Alles noch in Ordnung? Das
ist eine langwierige Angelegenheit.
4. Sniffer einsetzen
Wenn Du ganz genau wissen willst, was so über Deinen Draht ins
große weite Netz hinausgeht, dann kannst Du mittels eines
Sniffers mal eine Weile direkt auf der Netzwerkkarte mitloggen.
Leider lässt sich das nicht von vornherein vernünftig filtern,
da man schon den ganzen Netzverkehr mitschreiben muss, wenn man
wissen will, was los ist. In http z. B. kann man eine Menge
verstecken. Was Du aber auf keinen Fall mitloggen darfst sind
Email-Pakete und andere schützenswerte Daten, die
unverschlüsselt übermittelt werden. Das muss schon beim
Schreiben gefiltert werden.
Entdeckt man was bei den Untersuchungen, dann Neuinstallation.
Die Frage ist, wie wahrscheinlich ist es, dass Ihr gehackt
wurdet? Wie sehen die Passwörter aus? Dürfen einfache verwendet
werden oder zwingst Du die user zu harten Passwörtern? Wie oft
werden sie gewechselt? Wie sehen die Benutzernamen aus? Viele
gängige Vornamen wie z. B. Hans oder Peter? Oder eher
Abkürzungen der Namen oder der Funktion? Sprich wie
wahrscheinlich ist es, dass eine solche Wörterbuchattacke Erfolg
hatte? Mir hat bisher immer 1. und 2. genügt, um ruhig schlafen
zu können. Wie genau Du es brauchst, musst Du abschätzen. ;)
Liebe Grüße
Erik
--
"Kreiere mir eine Zigarre, die so ist wie unser Land, die nach
Kuba duftet und den ganzen Saft unseres fruchtbaren Bodens in
sich trägt. Sie soll das verkörpern, dass für dieses wunderbare
Fleckchen Erde spricht."
Fidel Castro als er die Cohiba in Auftrag gab
Erik P. Roderwald * Uhlenhoffweg 18 * 21129 Hamburg
Telefon: +49 (0)40 8510 3150 * Fax: +49(0)40 8510 3148
http://www.zigarren-rollen.de
http://www.roderwald.de
http://blogs.roderwald.de
http://forum.roderwald.de
http://twitter.com/erikrode
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
On Mittwoch 28 Oktober 2009, robert rottermann wrote:
gibt es eine möglichkeit festzustellen, ob wir "gehackt"
wurden?
1. netstat -apnee
Den Befehl führe ich täglich aus und zwar nicht automatisiert,
sondern ich selbst. Bei dem Ergebnis interssiert einmal, ob
wirklich die Ports nur offen sind, die auch offen sein müssen.
Die stehen in den Zeilen, in denen "LISTEN" steht. (Wehe, Dein
Server spricht Deutsch mit Dir. ;) ) Sind es auch die Prozesse,
die diese Ports offen halten sollen?
Aber auch die stehenden Verbindungen sind interessant. Auf Port
80 hat man hoffentlich gaaaaanz viele. ;) Aber was tut sich so
auf den anderen Ports? Ist da vielleicht eine ssh-Verbindung,
von der Du nichts weißt oder sind vielleicht Verbindungen von
außen auf Ports, die gar nicht offen sein sollten?
2. ps aux
Das mache ich auch täglich. Laufen nur Prozesse, die auch laufen
dürfen? Du kennst sie nicht alle? Google ist Dein Freund. ;)
Dann lernst Du nebenbei noch Dein System kennen.
3. Verzeichnisse durchsuchen
Alle von außen erreichbaren Verzeichnisse (also z. B. per http)
nach Dateien durchsuchen, die da nicht hingehören. Außerdem auch
Verzeichnisse, in denen ausführbare Dateien liegen (also z.
B. /usr/bin oder /bin) durchwühlen. Alles noch in Ordnung? Das
ist eine langwierige Angelegenheit.
4. Sniffer einsetzen
Wenn Du ganz genau wissen willst, was so über Deinen Draht ins
große weite Netz hinausgeht, dann kannst Du mittels eines
Sniffers mal eine Weile direkt auf der Netzwerkkarte mitloggen.
Leider lässt sich das nicht von vornherein vernünftig filtern,
da man schon den ganzen Netzverkehr mitschreiben muss, wenn man
wissen will, was los ist. In http z. B. kann man eine Menge
verstecken. Was Du aber auf keinen Fall mitloggen darfst sind
Email-Pakete und andere schützenswerte Daten, die
unverschlüsselt übermittelt werden. Das muss schon beim
Schreiben gefiltert werden.
Entdeckt man was bei den Untersuchungen, dann Neuinstallation.
Die Frage ist, wie wahrscheinlich ist es, dass Ihr gehackt
wurdet? Wie sehen die Passwörter aus? Dürfen einfache verwendet
werden oder zwingst Du die user zu harten Passwörtern? Wie oft
werden sie gewechselt? Wie sehen die Benutzernamen aus? Viele
gängige Vornamen wie z. B. Hans oder Peter? Oder eher
Abkürzungen der Namen oder der Funktion? Sprich wie
wahrscheinlich ist es, dass eine solche Wörterbuchattacke Erfolg
hatte? Mir hat bisher immer 1. und 2. genügt, um ruhig schlafen
zu können. Wie genau Du es brauchst, musst Du abschätzen. ;)
Liebe Grüße
Erik
--
"Kreiere mir eine Zigarre, die so ist wie unser Land, die nach
Kuba duftet und den ganzen Saft unseres fruchtbaren Bodens in
sich trägt. Sie soll das verkörpern, dass für dieses wunderbare
Fleckchen Erde spricht."
Fidel Castro als er die Cohiba in Auftrag gab
Erik P. Roderwald * Uhlenhoffweg 18 * 21129 Hamburg
Telefon: +49 (0)40 8510 3150 * Fax: +49(0)40 8510 3148
http://www.zigarren-rollen.de
http://www.roderwald.de
http://blogs.roderwald.de
http://forum.roderwald.de
http://twitter.com/erikrode
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
| < Previous | Next > |