Jörg schrieb:
Hi,
ich mußte auf einem host (SLES 10) feststellen, daß zum einen die Firewall abgeschaltet war, und zum anderen auch die
Am 18.06.2012 14:35, schrieb Lentes, Bernd: links in den /etc/init.d/rcx.d verschwunden waren, so daß bei einem Reboot die Firewall nicht automatisch startet. Ich kann mich nicht daran erinnern, eines von beiden getan zu haben, bin aber manchmal auch vergesslich. In der history war diesbzgl. nichts zu finden. Das heißt aber auch nicht unbedingt etwas. Wenn ich an der Konsole Eingaben mache und anschließend den host runterfahre, _ohne_ die Konsole mit exit vorher zu schließen, tauchen die Befehle dieser Sitzung nicht in der history auf (könnte auch mal gefixt werden).
Also bin ich mal von einem Angriff ausgegangen und habe
folgendes getan:
- mit last nach Anmeldevorgängen irgendwelcher fremden IP's gesucht - nix - mit w geguckt, ob da irgendjemand angemeldet ist, der nicht da sein sollte - keiner da - mit netstat nach seltsamen Verbindungen geschaut - keine da - mit df geschaut, ob irgendwo auf einmal ein Verzeichnis zuläuft - läuft nix zu - mit top geschaut, ob irgendwelche ungewöhnlichen Prozesse Last erzeugen - nix gefunden - das habe ich alles mit binaries von einer CD gemacht, die statisch gelinkt waren
Des weiteren: - Portscan von anderer Maschine - keine ungewöhnlichen Ports offen - In den logs von apache (Port 80 ist von außen zugänglich) nach Einbruchsversuchen gesucht. Gibt zwar Spuren von solchen (z.B. wird nach phpMyAdmin o.ä. gesucht), es deutet aber nichts auf einen erfolgreichen Einbruch hin
Was könnte ich noch machen ? Mal die rpm-Pakete mit verify überprüfen, ob da ein binary verändert/ausgetauscht wurde ?
Bernd
@Bernd: Sorry for pm... falsche Taste...
kein Problem.
Wenn Du absolut sicher gehen musst, mach ihn platt ;-(
Im Ernst, was für Dienste laufen im Normalfall: apache2, sshd, cupsd ... andere??? Was läuft im Webserver für Zeugs? Nur statisch?
Einen nackigen Webserver, cupsd und sshd zu hacken, ist auch ohne FW nicht so trivial, mindestens müßte der Indianer ja selbst verwundbar sein und eine Seite anbieten, der man was unterjubeln kann, ohne <form> und Verwandte geht da wenig ... am heikelsten ist wohl ein großes CMS, falls öffentliche upload-Möglichkeiten bestehen... Für sshd braucht man wohl eine Authentifizierung, an hacken ist da IMHO eher nicht zu denken, wenn Du halbwegs gescheite PWs hast, läuft da nix... passwortlose Authentifizierungen, da kenn ich mich nicht aus, wie sicher sowas ist... Cupsd ist evt. leichter zu hacken, aber sollte ja keine root-Rechte haben, da ist's auch nicht trivial...
Binaries und Bibliotheken checken ... kann hübsch aufwändig werden... hast Du ein Backup, was sicher noch mit eingeschalteter FW gezogen ist? ... vielleicht kannst Du dagegen prüfen...
Am Ende kommts drauf an, wie heikel das Ganze ist... Ich würde den Kasten, wenn ich nichts fände, vielleicht eine Weile im Auge behalten, checksummen, FW-Status, Apache-Logs...
Von außen ist nur Port 80 erreichbar. System wird 2x/Woche gepatcht. Ich habe noch eine Zeit lang den Netzwerkverkehr mitgesnifft und nicht unregelmäßiges gefunden. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org