Am 21.06.2012 16:37, schrieb Lentes, Bernd:
Hi,
nachdem ich mich ein wenig vertröstet habe nach dem Motto "da hast Du viell. doch die Firewall runtergefahren und kannst Dich nur nicht mehr daran erinnern", ist sie jetzt wieder runtergefahren und auch die Symlinks in den runlevelvdirectories sind wieder weg. Also 2x habe ich das garantiert nicht gemacht. Ich habe jetzt mal den Server mit der Sysreccd gebootet und chkrootkit drüber laufen lassen, dies hat nichts gefunden. Gibt es eine Live-CD mit rootkithunter ? Was sonst könnte ich noch tun ? Sind sleuthkit und autopsy sinnvolle Werkzeuge ?
Bernd
ich frage mich, ob das nicht eher ein Konfigurationsproblem ist... die FW abschalten, ok, das hat für einen Angreifer Sinn. Aber die Skripte löschen ist doch nur blöd! Wenn ich einmal bei Dir drauf wäre, würde ich das dahinterstehende Filter-Binary tauschen gegen eins, was mir meine Ports offen lässt, dann würdest Du das gar nicht merken, wenn Du nicht Checksummen vergleichst. Und dann würde ich "Deine" Firewall rennen lassen, was das Zeug hält ;-) Für Skriptkiddies scheint mir das zu komplex, für Profis zu offensichtlich. Was genau hast Du an FW laufen - die Susekiste? Die kann evt. auch als Folge anderer Softwareänderungen deinstalliert werden ... vielleicht ein Fehler in irgendwelchen Abhängigkeiten??? Versuch mal in alle solche Richtungen zu denken, kannst Du ggf. ein Skript installieren, dass Dir eine Mail schickt, wenn die FW abschaltet. Läuft das System 7/24 oder wie? Mit geplanten Reboots (mach ich z.B.)? Ich weiß es nicht mehr so genau, aber ich hab die Suse-FW mal irgendwann bei einer Netzwerkumkonfiguration versehentlich runtergehaun, wo ich es auch nicht erwartet hatte. Im laufenden Betrieb habe ich ein eigenes FW-Skript, das über /etc/rc.d/local gestartet wird... cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org