akamai Geschrieben 6. Januar 2009 Geschrieben 6. Januar 2009 (bearbeitet) Hi, habe heute morgen meine mails gecheckt und ich und eine fremde mailadresse bekam einen shadow auszug. dann habe ich gleich auf meinen mandriva server geschaut und im log folgendes entdeckt: CROND[20513]: (root) CMD ( chown root:root /dev/shm/prctl && chmod 4755 /dev/shm/prctl && rm -rf /etc/cron.d/core && kill -USR1 13212) das kam glaube ich fast jede minute dazu: Jan 6 10:40:43 xxx sshd[1517]: Received signal 15; terminating. Jan 6 10:40:43 xxx sshd: stop succeeded Jan 6 10:40:43 xxx sshd[21194]: Listener created on port 22. Jan 6 10:40:43 xxx sshd[21197]: Daemon is running. Jan 6 10:40:43 xxx sshd: sshd: OpenSSH_2.9p2 on i686-pc-linux-gnu Jan 6 10:40:43 xxx sshd: Start succeeded und: Jan 6 10:36:27 xxx xinetd[1536]: Starting reconfiguration Jan 6 10:36:27 xxx xinetd[1536]: Service ftp: attribute already set: disable [file=/etc/xinetd.d/proftpd-xinetd] [line=16] Jan 6 10:36:27 xxx xinetd[1536]: Swapping defaults Jan 6 10:36:27 xxx xinetd[1536]: Reconfigured: new=0 old=0 dropped=0 (services) kann mir damit jemand helfen? also muss ich mir sorgen um den ssh daemon machen? ftp hatte ich vor paar monaten deaktiviert. und die prctl hab ich auch mal verschoben. achja passwörter habe ich schon alle geändert Bearbeitet 6. Januar 2009 von akamai Zitieren
Forcid Geschrieben 6. Januar 2009 Geschrieben 6. Januar 2009 Also wegen dem Cron-Kram musst du dir keine Sorgen macht. Ist unbedenklich. Wenn du den SSH-Zugang wirklich absichern willst, mach ne iptables-Regel, dass nur eine bestimmte IP bzw eine bestimmte Range sich per SSH connecten kann. Damit hast du schonmal 99% des Risikos gemindert. Zitieren
akamai Geschrieben 6. Januar 2009 Autor Geschrieben 6. Januar 2009 danke. ich finde im log einfach nicht wie er sich die shadow schicken konnte. es war noch ein /usr/mozi neu eingerichtet. naja hab grad mal fail2ban installiert und werd mal deinen vorschlag mit der hosts.allow durchführen. weiß jemand etwas von diesem Linux/Exploit-PRCTL? Zitieren
Forcid Geschrieben 6. Januar 2009 Geschrieben 6. Januar 2009 guck auch mal die prozesse durch, ob da irgendwo was läuft, was nicht laufen sollte. dem neuen user würd ich auch mal die bash wegnehmen und pw ändern wenn du dir sicher bist, dass das kein systemuser ist bzw irgendeiner von dir, kannst den auch entfernen. Zitieren
akamai Geschrieben 6. Januar 2009 Autor Geschrieben 6. Januar 2009 hatte ihn gleich entfernt weil die mail auch diesen namen enthielt danke für die info Zitieren
akamai Geschrieben 7. Januar 2009 Autor Geschrieben 7. Januar 2009 hi, etwas beunruhigt mich noch. jedesmal wenn ich eine ssh session starte, wird dieser /usr/mozi angelegt und schreibt den benutzernamen (mit welchem ich mich gerade anmelde) und das kennwort dort rein. kann ich herausfinden, wo dieser befehl steckt dass er diesen immer wieder anlegt? Zitieren
Forcid Geschrieben 7. Januar 2009 Geschrieben 7. Januar 2009 Da wird wohl jemand die Befehle ausgetauscht haben. Guck dir mal alles, was mit ssh zu tun hat an bzw such dir die Originalen Dateien von deinem System und ersetz die alten durch die Originale. Hatten wir in der Firma auch schon ab und an mal sowas. Das Blöde bei uns war, dass selbst Befehle wie cp, less, ssh usw komplett gecrackt waren. Achja, guck noch bissl rum, ob nicht unter /home, /tmp oder /var irgendwelche Verzeichnisse angelegt wurden, die Scripte beinhalten, mit denen jemand auf den Server zugreifen kann. Zitieren
akamai Geschrieben 7. Januar 2009 Autor Geschrieben 7. Januar 2009 mist leider kenn ich mich da nicht so aus, als daß ich erkennen würde was geändert wurde. vielleicht mach ich doch lieber alles neu Zitieren
Forcid Geschrieben 7. Januar 2009 Geschrieben 7. Januar 2009 Ersetz einfach alle ssh-Befehle im /bin, /sbin und /root/bin bzw /root/sbin durch die Originaldateien deines Betriebssystems. Welches OS benutzt du denn genau? Zitieren
akamai Geschrieben 7. Januar 2009 Autor Geschrieben 7. Januar 2009 hat mir mein cheffe eingerichtet. Linux version 2.6.16-xenU (root@localhost) (gcc version 4.0.1 (4.0.1-5mdk for Mandriva Linux release 2006.0)) #1 SMP Thu Mar 23 13:35:44 CET 2006 Zitieren
Forcid Geschrieben 7. Januar 2009 Geschrieben 7. Januar 2009 Mandriva...hm, davon hab ich nu garkeine Ahnung. Aber is halt auch nur Linux. Also kannst dir ja aussuchen, was du machst. Würd erstmal gucken, dass ich die Befehle wieder fixe. Wenn du das net hinbekommst, kannst es ja immernoch plattmachen. Aber würds erstmal probieren. Denn mit solchen Attacken wirst dus immer wieder zu tun haben. Ist aber immernoch weitaus harmloser und nicht annähernd so häufig wie bei nem Windows... Zitieren
akamai Geschrieben 7. Januar 2009 Autor Geschrieben 7. Januar 2009 ok vielen dank für die hilfe. dachte bei linux systemen wird mehr versucht. ist windows doch so interessant oder so schwach Zitieren
Forcid Geschrieben 7. Januar 2009 Geschrieben 7. Januar 2009 Nee, der Denkansatz ist schon falsch. Windows nutzen die meisten Leute, also gibts dafür auch die meiste schadhafte Software. Linux ist ansich schon sehr sicher, mit vernünftiger Rechtevergabe und z.b. iptables kann man es komplett sicher machen. Das wirst du bei Windows nie schaffen, außer du hast nen Linux-Server als Proxy *gg* Ansich ist Linux interessanter zu knacken, weils halt meist Produktivsysteme sind. Aber an Windows kommt man halt viel einfacher. Und Kontodaten oder andere Infos in der Richtung bekommt man da einfach leichter. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.