Re: bin ich gehackt ? - Spurensuche
![](https://seccdn.libravatar.org/avatar/2a0d9f17afa936fe9558e9e32ba91b92.jpg?s=120&d=mm&r=g)
Joerg Thuemmler schrieb: Patches, die die Einstellungen in den Runleveln ändern? Da sei Linus vor! Gibt es sowas, ohne dass das umfassend (!) vorher angekündigt wird? Hab ich noch nie gehört... Hallo Joerg, nicht gerade Patches, aber Systemupdates... ich bin gerade dabei, in der Arbeit eine Kiste nach der anderen auf 12.1 zu heben, und es macht jedesmal wieder Freude, wenn nach dem Neustart das Netzwerk tot ist einmal: die langweilige eth0 durch eine schöne, aber unkonfigurierte eth1 ersetzt regelmässig: kein rpcbind, deshalb kein portmap regelmässig: avahi eingeschaltet und in der nsswitch.conf dazu mdns eingetragen Wolfgang Hamann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
![](https://seccdn.libravatar.org/avatar/3b88186bea83a1e6f8dc1e8959e80e75.jpg?s=120&d=mm&r=g)
Hi, nachdem ich mich ein wenig vertröstet habe nach dem Motto "da hast Du viell. doch die Firewall runtergefahren und kannst Dich nur nicht mehr daran erinnern", ist sie jetzt wieder runtergefahren und auch die Symlinks in den runlevelvdirectories sind wieder weg. Also 2x habe ich das garantiert nicht gemacht. Ich habe jetzt mal den Server mit der Sysreccd gebootet und chkrootkit drüber laufen lassen, dies hat nichts gefunden. Gibt es eine Live-CD mit rootkithunter ? Was sonst könnte ich noch tun ? Sind sleuthkit und autopsy sinnvolle Werkzeuge ? Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
![](https://seccdn.libravatar.org/avatar/8c3c40c634277ad02bc114e708b7577d.jpg?s=120&d=mm&r=g)
Hallo Bernd, Am Donnerstag 21 Juni 2012 schrieb Lentes, Bernd:
nachdem ich mich ein wenig vertröstet habe nach dem Motto "da hast Du viell. doch die Firewall runtergefahren und kannst Dich nur nicht mehr daran erinnern", ist sie jetzt wieder runtergefahren und auch die Symlinks in den runlevelvdirectories sind wieder weg. Also 2x habe ich das garantiert nicht gemacht. Ich habe jetzt mal den Server mit der Sysreccd gebootet und chkrootkit drüber laufen lassen, dies hat nichts gefunden. Gibt es eine Live-CD mit rootkithunter ? Was sonst könnte ich noch tun ? Sind sleuthkit und autopsy sinnvolle Werkzeuge ?
Die setzt Du ein, wenn das Kind schon in den Brunnen gefallen ist. An Deiner Stelle würde ich erst mal gucken, was Du für einen Sicherheitsbedarf hast und mir anhand dessen gucken, was ich in welchen Stufen absichern sollte oder muss. Hängt ja nun auch ganz stark vom System, dessen Einsatzzweck und den zu schützenden Daten ab. Ob sich jetzt einer auf Deinem System Unfug angestellt hast, kannst Du mit einem Intrusion Detection System feststellen. Leider ist es da auch schon zu spät. ZBsp aide. Gibt's für jede Distri vom Paketmanager. Womit ich gute Erfahrungen gemacht habe, ist mittels logwatch gucken lassen, ob meine Logs Auffälligkeiten aufweisen. (Der Profi wird sich da nicht greifen lassen, aber alle anderen schon). Ich selbst betreibe 'nur' einen Webserver. Mein wichtigstes Augenmerk legte ich auf die sichere Konfiguration der einzelnen Dienste. Das sind nicht viele. Außerdem ist der Server PHP-freie Zone. Mein 'Lieblingsspielzeug' gegen lästige Angriffsversuche ist dort 'fail2ban'. Das macht nach einigen Fehlversuchen einfach die Bude dicht. Ein Firewallskript läuft da übrigens nicht drauf. Die Dienste, die drauf laufen, sollen erreichbar sein. Nicht benötigte Dienste sind erst gar nicht installiert. Jetzt musst Du Dir halt überlegen, welche Anforderungen stellst Du an Dein Szenario. Helga -- ## Technik: [http://de.opensuse.org] ## Politik: [http://www.piratenpartei.de] ## Privat: [http://www.eschkitai.de] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
![](https://seccdn.libravatar.org/avatar/36545824f598e466583a81e838e79f14.jpg?s=120&d=mm&r=g)
Am 21.06.2012 16:37, schrieb Lentes, Bernd:
Hi,
nachdem ich mich ein wenig vertröstet habe nach dem Motto "da hast Du viell. doch die Firewall runtergefahren und kannst Dich nur nicht mehr daran erinnern", ist sie jetzt wieder runtergefahren und auch die Symlinks in den runlevelvdirectories sind wieder weg. Also 2x habe ich das garantiert nicht gemacht. Ich habe jetzt mal den Server mit der Sysreccd gebootet und chkrootkit drüber laufen lassen, dies hat nichts gefunden. Gibt es eine Live-CD mit rootkithunter ? Was sonst könnte ich noch tun ? Sind sleuthkit und autopsy sinnvolle Werkzeuge ?
Bernd
ich frage mich, ob das nicht eher ein Konfigurationsproblem ist... die FW abschalten, ok, das hat für einen Angreifer Sinn. Aber die Skripte löschen ist doch nur blöd! Wenn ich einmal bei Dir drauf wäre, würde ich das dahinterstehende Filter-Binary tauschen gegen eins, was mir meine Ports offen lässt, dann würdest Du das gar nicht merken, wenn Du nicht Checksummen vergleichst. Und dann würde ich "Deine" Firewall rennen lassen, was das Zeug hält ;-) Für Skriptkiddies scheint mir das zu komplex, für Profis zu offensichtlich. Was genau hast Du an FW laufen - die Susekiste? Die kann evt. auch als Folge anderer Softwareänderungen deinstalliert werden ... vielleicht ein Fehler in irgendwelchen Abhängigkeiten??? Versuch mal in alle solche Richtungen zu denken, kannst Du ggf. ein Skript installieren, dass Dir eine Mail schickt, wenn die FW abschaltet. Läuft das System 7/24 oder wie? Mit geplanten Reboots (mach ich z.B.)? Ich weiß es nicht mehr so genau, aber ich hab die Suse-FW mal irgendwann bei einer Netzwerkumkonfiguration versehentlich runtergehaun, wo ich es auch nicht erwartet hatte. Im laufenden Betrieb habe ich ein eigenes FW-Skript, das über /etc/rc.d/local gestartet wird... cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
![](https://seccdn.libravatar.org/avatar/3b88186bea83a1e6f8dc1e8959e80e75.jpg?s=120&d=mm&r=g)
Jörg schrieb:
ich frage mich, ob das nicht eher ein Konfigurationsproblem ist... die FW abschalten, ok, das hat für einen Angreifer Sinn. Aber die Skripte löschen ist doch nur blöd! Wenn ich einmal bei Dir drauf wäre, würde ich das dahinterstehende Filter-Binary tauschen gegen eins, was mir meine Ports offen lässt, dann würdest Du das gar nicht merken, wenn Du nicht Checksummen vergleichst. Und dann würde ich "Deine" Firewall rennen lassen, was das Zeug hält ;-)
Für Skriptkiddies scheint mir das zu komplex, für Profis zu offensichtlich.
Was genau hast Du an FW laufen - die Susekiste? Die kann evt. auch als Folge anderer Softwareänderungen deinstalliert werden ... vielleicht ein Fehler in irgendwelchen Abhängigkeiten???
Versuch mal in alle solche Richtungen zu denken, kannst Du ggf. ein Skript installieren, dass Dir eine Mail schickt, wenn die FW abschaltet. Läuft das System 7/24 oder wie? Mit geplanten Reboots (mach ich z.B.)?
Ich weiß es nicht mehr so genau, aber ich hab die Suse-FW mal irgendwann bei einer Netzwerkumkonfiguration versehentlich runtergehaun, wo ich es auch nicht erwartet hatte. Im laufenden Betrieb habe ich ein eigenes FW-Skript, das über /etc/rc.d/local gestartet wird...
cu jth
Hi, ist eine gute Idee. Ich habe ein simples Skritp geschrieben, daß cron jede minute startet und mir sofort eine email schickt, sobald die SFW runtergefahren ist. Ich habe jetzt von einer Live-CD (Ubuntu eignet sich gut dafür) mal chkrootkit und rkhunter über die Maschine laufen lassen ... nix gefunden. Beruhigt ein wenig, aber diese Tools sind nat. auch nicht 100%ig. Mann, da machst Du was mit. Habe mir jetzt zwei Nächste um die Ohren gehauen ... heute abend wird nur auf der Couch gelegen und Fußball geguckt, und wenn die Welt untergeht. Denmächst werde ich noch mal die logs checken, in der history rumsuchen und was mir noch so einfällt. Btw: ich habe auch zeitweise an der Netzwerkkonfiguration Änderungen gemacht. Damit habe ich mich dann auch beim 1. Mal vertröstet, aber beim 2. Mal war's schon komisch ... Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (4)
-
hamann.w@t-online.de
-
Helga Fischer
-
Joerg Thuemmler
-
Lentes, Bernd