On Thu, 4 Mar 1999, Stefan Lindecke wrote:
Ich hatte heute einen Angriff mit popper und jener "Mensch" hat mir geholfen mein home-Verzeichnis aufzuraeumen, indem er es mit allen usern drin geloescht hat.
Ein Cracker wird sich schlecht damit begnügen, Dein Homeverzeichnis aufzu- räumen. Ich möchte eher tippen, daß zum Beispiel jemand Dein Passwort mit- bekommen hat.
Das interressante ist, das er eine IP genommen hat, die unserem Chef der DVZ gehoert und auf seinem Rechner laeuft 98. Also gehe ich davon aus, das er mit seiner IP von einem anderen Rechner diesen Angriff gemacht hat.
Liegt es im Bereich des Möglichen, daß sich - gegebenenfalls unter anderem - Dein Chef durch eine eventuell deinerseits vorhandene Linuxmanie veranlaßt gefühlt hat, Dir mal den Kopf zu waschen?
Die einzigen Eintragungen in der /var/log/messages sind :
Mar 4 11:45:53 pc2080 popper[10465]: connect from 193.175.112.33 Mar 4 11:45:53 pc2080 wu.ftpd[10464]: connect from 193.175.112.33 Mar 4 11:45:53 pc2080 popper[10465]: error: cannot execute /usr/sbin/popper: No such file or directory
Obwohl popper bei mir installiert ist, hat er es geschafft auf meinen Rechner zu kommen, mit meinem Namen. Hab ich per last gelesen. Auf den Console 8.
Über das Netzwerk auf Deinen Rechner auf Console 8!? Dann würde ich es für wahrscheinlicher halten, daß Du Dich dort eingeloggt und vergessen hast, Dich wieder auszuloggen, was jemand ausgenutzt hat.
Ich habe die neuesten Patches von Suse am Anfang der Woche installiert. Trotz Firewall (ipfadm) hat er dies geschafft.
Womit wir wieder beim Thema "Eine Firewall nutzt nicht, wenn man sonst keine Ahnung davon hat" wären... Die Daemons, die installiert sind, müssen sicher sein. IP-Filter begrenzen nur den Zugriff auf Dienste des Rechners. Hinter den Ports, die offen sind, muß Software sitzen, die keine unerwünschten Aktionen zuläßt.
WIE!
Sind wir Hellseher? Aus diesen Schnippseln sollen wir das sehen!? Ich glaube nicht, daß jemand "eingebrochen" ist. Ich glaube, jemand hat einen offengelassenen Login für einen "Streich" mißbraucht.
Ich bin ohne Ende sauer, da extrem wichtige Dateien dabei waren.
Böser böser Cracker... ;)
Das letzte Backup habe ich zwar erst gestern gemacht, aber trotzalledem ist der Arbeitsaufwand extrem.
Extrem? Wa sist daran "extrem", Teile eines Tar-Archivs zurückzuspielen?
Gibt es Tools die sich bemerkbar machen, wenn ein popper-angriff kommt und evt. die eth0 dicht macht, fuer einige Zeit ?
TCP-Wrapper konfigurieren? Logsurfer? Henning -- ... My pants just went on a wild rampage through a Long Island Bowling Alley!! -- Um aus der Liste ausgetragen zu werden, eine Mail an majordomo@suse.com schicken, mit dem Text: unsubscribe suse-linux