Am Dienstag, 14. September 2004 08:56 schrieb Anatol Schirmer:
Hilfe Liste! Nun ein paar praktische Fragen:
Lass dich davon nicht verrückt machen.
1) Wie kann ich dem ganzen Nachgehen? Wie bekomme ich raus, ob die Anschuldigungen stimmen und was kann ich dagegen tun? Ich vermute mal, ich muß mir irgendwie den Traffik ansehen und analysieren. Aber wie?
1. Rufe dochmal bei der Firma an und verlange mal den admin, der dafür zuständig ist. 2. bitte ihn doch einfach, sofern das ganze echt ist, um eine kopie der Logfiles.
2) In wiefern können mir die LogFiles vom Admin helfen?
Sie zeigen dir wo und wie dein system ge/missbraucht worden ist.
3) Kann ich die Firewall (SuSEFirewall2) so dicht bekommen, daß ich die gespooftenn Pakete blocke - ich schätze mal nicht, da das Gespoofte vermutlich über Port 80/22 oder so geht, was eh offen ist/sein muß.
1. Untersuch doch mal dein system mit checkrootkit 2. gegebenfalls neu aufsetzen. 3. Ich persönlich mag die SuSE-Firewall nicht besonders, schreibe meine FW's (scripte) selbst. Ist zwar aufwendiger, aber dafür weiss ich was offen, bzw zu ist, sowie ich weiss wo an welcher stelle ich eingreifen muss. abgesehen davon, würde ich auch ein IDS mit aufsezten.
Was haltet Ihr von dem Ganzen?
Viele Grüße Anatol
mfg Andre