Mailinglist Archive: opensuse-de (977 mails)

< Previous Next >
Re: massenhaft versuche "einzubrechen" was kann ich machen
  • From: Arno Lehmann <al@xxxxxxxxxxxxxx>
  • Date: Thu, 29 Oct 2009 23:20:02 +0100
  • Message-id: <4AEA1512.1010804@xxxxxxxxxxxxxx>
Hallo,

29.10.2009 22:35, Heinz Diehl wrote:
On 29.10.2009, Erik P. Roderwald wrote:
gibt es eine möglichkeit festzustellen, ob wir "gehackt"
wurden?

1. netstat -apnee
2. ps aux
3. Verzeichnisse durchsuchen
4. Sniffer einsetzen
[....]

Wenn eine Maschine "gehackt" wurde, dann ist sie unter fremder Kontrolle.
Alle genannten Massnahmen sind vergeblich.

Ich zitiere hier Werner Koch, wenngleich er das Zitierte aus einem ganz
anderen Grund und Sachverhalt geschrieben hat, uebertragen passt es doch:

"Please repeat with me:
There is no way to avoid or detect backdoors if
physical access to the machine has ever been granted."

Wenn die Maschine "gehackt" wurde, und der Eindringling Zugriff hat/hatte,
dann soltest du dir im Klaren sein, dass er alles manipulieren kann. Du
wirst keine Chance haben, das zu entdecken.

In diesem Falle gibt es doch eine kleine Chance: du hast eine Checksummen
Datenbank auf einem externen Medium (CD-R), das von (d)einem nachweislich
unkompromittierten System vor dem Event gemacht wurde.

Stichwort: aide.

Andere Stichworte: Bacula und Verify-Jobs.

Damit /etc /sbin /usr/sbin /bin /usr/bin (und ggf. alles andere was sich nicht ändern soll) überwachen. Wenn dann noch die Datenbank auf einem anderen Server liegt - bestens :-)

Arno


--
Arno Lehmann
IT-Service Lehmann
Sandstr. 6, 49080 Osnabrück
www.its-lehmann.de
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx

< Previous Next >