Hallo zusammen, On Mittwoch 28 Oktober 2009, robert rottermann wrote:
gibt es eine möglichkeit festzustellen, ob wir "gehackt" wurden?
1. netstat -apnee Den Befehl führe ich täglich aus und zwar nicht automatisiert, sondern ich selbst. Bei dem Ergebnis interssiert einmal, ob wirklich die Ports nur offen sind, die auch offen sein müssen. Die stehen in den Zeilen, in denen "LISTEN" steht. (Wehe, Dein Server spricht Deutsch mit Dir. ;) ) Sind es auch die Prozesse, die diese Ports offen halten sollen? Aber auch die stehenden Verbindungen sind interessant. Auf Port 80 hat man hoffentlich gaaaaanz viele. ;) Aber was tut sich so auf den anderen Ports? Ist da vielleicht eine ssh-Verbindung, von der Du nichts weißt oder sind vielleicht Verbindungen von außen auf Ports, die gar nicht offen sein sollten? 2. ps aux Das mache ich auch täglich. Laufen nur Prozesse, die auch laufen dürfen? Du kennst sie nicht alle? Google ist Dein Freund. ;) Dann lernst Du nebenbei noch Dein System kennen. 3. Verzeichnisse durchsuchen Alle von außen erreichbaren Verzeichnisse (also z. B. per http) nach Dateien durchsuchen, die da nicht hingehören. Außerdem auch Verzeichnisse, in denen ausführbare Dateien liegen (also z. B. /usr/bin oder /bin) durchwühlen. Alles noch in Ordnung? Das ist eine langwierige Angelegenheit. 4. Sniffer einsetzen Wenn Du ganz genau wissen willst, was so über Deinen Draht ins große weite Netz hinausgeht, dann kannst Du mittels eines Sniffers mal eine Weile direkt auf der Netzwerkkarte mitloggen. Leider lässt sich das nicht von vornherein vernünftig filtern, da man schon den ganzen Netzverkehr mitschreiben muss, wenn man wissen will, was los ist. In http z. B. kann man eine Menge verstecken. Was Du aber auf keinen Fall mitloggen darfst sind Email-Pakete und andere schützenswerte Daten, die unverschlüsselt übermittelt werden. Das muss schon beim Schreiben gefiltert werden. Entdeckt man was bei den Untersuchungen, dann Neuinstallation. Die Frage ist, wie wahrscheinlich ist es, dass Ihr gehackt wurdet? Wie sehen die Passwörter aus? Dürfen einfache verwendet werden oder zwingst Du die user zu harten Passwörtern? Wie oft werden sie gewechselt? Wie sehen die Benutzernamen aus? Viele gängige Vornamen wie z. B. Hans oder Peter? Oder eher Abkürzungen der Namen oder der Funktion? Sprich wie wahrscheinlich ist es, dass eine solche Wörterbuchattacke Erfolg hatte? Mir hat bisher immer 1. und 2. genügt, um ruhig schlafen zu können. Wie genau Du es brauchst, musst Du abschätzen. ;) Liebe Grüße Erik -- "Kreiere mir eine Zigarre, die so ist wie unser Land, die nach Kuba duftet und den ganzen Saft unseres fruchtbaren Bodens in sich trägt. Sie soll das verkörpern, dass für dieses wunderbare Fleckchen Erde spricht." Fidel Castro als er die Cohiba in Auftrag gab Erik P. Roderwald * Uhlenhoffweg 18 * 21129 Hamburg Telefon: +49 (0)40 8510 3150 * Fax: +49(0)40 8510 3148 http://www.zigarren-rollen.de http://www.roderwald.de http://blogs.roderwald.de http://forum.roderwald.de http://twitter.com/erikrode -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org