Hallo zusammen, On Freitag 30 Oktober 2009, Al Bogner wrote:
Auch nicht in den Logs?
Nein, auch nicht in den Logs. Auch der User, unter dem die Seite zu sehen war, muss nicht mehr existieren. Also wenn ich sowas machen würde, dann so: Erstmal Server kapern. Habe ich einmal root-access, dann bin ich ja bekanntlich Gott und darf alles. ;) Also schalte ich erstmal alles, was mit logs zu tun hat, aus. Zumindest die logs, die mich verraten könnten. Das, was schon drin steht (also z. B. mein login als root), lösche ich. Etwas mehr Arbeit macht das geschicktere Vorgehen, nur das nicht mitzulogen, was mich verraten könnte. Ansonsten entstehen ja komische Löcher in den Logs. Nun will ich also eine Phishing-Seite unterbringen. Dazu lege ich ein neues Verzeichnis an. Dein Angreifer hat offenbar auch gleich einen neuen User angelegt. Da ja nicht mehr gelogt wird, erscheint davon auch nichts in den logs. Dann lege ich meine Seite ab und warte auf die Pins und Tans. Erfahrungsgemäß reagiert nach ein paar Stunden irgendjemand und diese Seite ist verbrannt. Also kann ich sie wieder löschen, den User auch wieder und zum Schluss schalte ich das Log wieder ein. Das war's. Spuren findest Du keine mehr, wenn ich sauber gearbeitet habe. Der Angreifer hat aber immer noch den root-Zugang. Liebe Grüße Erik -- "Tabak verwandelt Gedanken in Träume." Victor Hugo Erik P. Roderwald * Uhlenhoffweg 18 * 21129 Hamburg Telefon: +49 (0)40 8510 3150 * Fax: +49(0)40 8510 3148 http://www.zigarren-rollen.de http://www.roderwald.de http://blogs.roderwald.de http://forum.roderwald.de http://twitter.com/erikrode -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org