Hallo,
Hallo Jochen, From the keyboard of Jochen,
Hi,
ich habe vermutlich einen Hacker auf einem meiner SuSE-Rechner (SuSE Version zwischen 6.2 und 7.0).
s/Hacker/Cracker/ --> Danke.
Ich wurde informiert, dass von dem Rechner Portscans in andere Netze ausgehen. Zu diesem Zeitpunkt konnte ich mich auf der Maschine zwar per ssh einloggen, aber keinen Root-Zugang mehr erhalten, das Password hat nicht funktioniert.
Inzwischen habe ich wieder physikalischen Zugriff auf den Server. Per Console kann ich mich gar nicht auf der Maschine anmelden. Nach der Eingabe des accounts kommt nicht die PWD-Abfrage, sondern nur wieder ein frischer LogIn-Screen...
Sammelt noch ein paar Passworte der Penner.
Hast du zufällig ein dd der kompletten Platte oder noch besser Partitionsweise gemacht, sodaß man die Sache noch analysieren kann, um festzustellen, wie er in dein System eingedrungen ist?
Ich wollte das System allerdings eh auf SuSE 7.3 Pro bringen und so will ich nur wichtige Konfigurationen und Daten retten...
sei aber vorsichtig, nicht das du dir ein root-kit oder ne Backdoor mitschleppst.
das Problem dabei ist aber, dass der Installer von 7.3 meine Raidpartitionen nicht erkennt... die Partitionsgrößen sind falsch (viel zu klein) und die zwar als Linux AutoRaid gekennzeichneten Partitionen werden nicht zusammengefügt und ich weiß nicht, wie ich sie von Hand aktivieren könnte. Das ist vor allem ein Problem für die Partition, die neben den Daten nun auch zur Zwischensicherung weiterer Daten herhalten soll. Zwar kann ich die Partitionen unter Umgehung des Raids einzeln als ext2 mounten und die Daten passieren, allerdings kann es sein, dass die Daten wieder weg sind, wenn das Raid das nächste Mal startet.
Zudem weiß ich leider den Mount-Typ nicht, den ich anwenden kann, um ein Raid von Hand (unter 7.3 rescue) zu mounten (mount -t ??? /dev/md0 /mnt).
Das Raid habe ich damals mit den Raidtools 0.90 erstellt, ein für Redhat verfügbarer lilo-patch erlaubte es, vom Raid zu booten.
Wie gehe ich am besten vor???
Ich glaube der RAID-Support bei der Installation von SuSE kränkelt noch ein wenig. Ich kenne mich mit RAID unter Linux nicht genügend aus, um dir da weitergehend zu helfen.
bye Waldemar
ich kann dir jetzt zwar nich helfen was dein problem mit dem sichern der daten angeht, da ich selber kein raid verwende, aber vielleicht solltest du dir in zukunft mal portsentry und logcheck anschaun. gibts unter http://www.psionic.com . die beiden tools sind sehr gut was das hacken angeht. mit den portsentry hab ich in der letzten woche alleine 3 hackangriffe abgewehrt. Marko