Jörg schrieb:
ich frage mich, ob das nicht eher ein Konfigurationsproblem ist... die FW abschalten, ok, das hat für einen Angreifer Sinn. Aber die Skripte löschen ist doch nur blöd! Wenn ich einmal bei Dir drauf wäre, würde ich das dahinterstehende Filter-Binary tauschen gegen eins, was mir meine Ports offen lässt, dann würdest Du das gar nicht merken, wenn Du nicht Checksummen vergleichst. Und dann würde ich "Deine" Firewall rennen lassen, was das Zeug hält ;-)
Für Skriptkiddies scheint mir das zu komplex, für Profis zu offensichtlich.
Was genau hast Du an FW laufen - die Susekiste? Die kann evt. auch als Folge anderer Softwareänderungen deinstalliert werden ... vielleicht ein Fehler in irgendwelchen Abhängigkeiten???
Versuch mal in alle solche Richtungen zu denken, kannst Du ggf. ein Skript installieren, dass Dir eine Mail schickt, wenn die FW abschaltet. Läuft das System 7/24 oder wie? Mit geplanten Reboots (mach ich z.B.)?
Ich weiß es nicht mehr so genau, aber ich hab die Suse-FW mal irgendwann bei einer Netzwerkumkonfiguration versehentlich runtergehaun, wo ich es auch nicht erwartet hatte. Im laufenden Betrieb habe ich ein eigenes FW-Skript, das über /etc/rc.d/local gestartet wird...
cu jth
Hi, ist eine gute Idee. Ich habe ein simples Skritp geschrieben, daß cron jede minute startet und mir sofort eine email schickt, sobald die SFW runtergefahren ist. Ich habe jetzt von einer Live-CD (Ubuntu eignet sich gut dafür) mal chkrootkit und rkhunter über die Maschine laufen lassen ... nix gefunden. Beruhigt ein wenig, aber diese Tools sind nat. auch nicht 100%ig. Mann, da machst Du was mit. Habe mir jetzt zwei Nächste um die Ohren gehauen ... heute abend wird nur auf der Couch gelegen und Fußball geguckt, und wenn die Welt untergeht. Denmächst werde ich noch mal die logs checken, in der history rumsuchen und was mir noch so einfällt. Btw: ich habe auch zeitweise an der Netzwerkkonfiguration Änderungen gemacht. Damit habe ich mich dann auch beim 1. Mal vertröstet, aber beim 2. Mal war's schon komisch ... Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org