Zum Inhalt springen

Empfohlene Beiträge

Geschrieben (bearbeitet)

Hi,

habe heute morgen meine mails gecheckt und ich und eine fremde mailadresse bekam einen shadow auszug.

dann habe ich gleich auf meinen mandriva server geschaut und im log folgendes entdeckt:

CROND[20513]: (root) CMD ( chown root:root /dev/shm/prctl && chmod 4755 /dev/shm/prctl && rm -rf /etc/cron.d/core && kill -USR1 13212)

das kam glaube ich fast jede minute

dazu:

Jan 6 10:40:43 xxx sshd[1517]: Received signal 15; terminating.

Jan 6 10:40:43 xxx sshd: stop succeeded

Jan 6 10:40:43 xxx sshd[21194]: Listener created on port 22.

Jan 6 10:40:43 xxx sshd[21197]: Daemon is running.

Jan 6 10:40:43 xxx sshd: sshd: OpenSSH_2.9p2 on i686-pc-linux-gnu

Jan 6 10:40:43 xxx sshd: Start succeeded

und:

Jan 6 10:36:27 xxx xinetd[1536]: Starting reconfiguration

Jan 6 10:36:27 xxx xinetd[1536]: Service ftp: attribute already set: disable [file=/etc/xinetd.d/proftpd-xinetd] [line=16]

Jan 6 10:36:27 xxx xinetd[1536]: Swapping defaults

Jan 6 10:36:27 xxx xinetd[1536]: Reconfigured: new=0 old=0 dropped=0 (services)

kann mir damit jemand helfen? also muss ich mir sorgen um den ssh daemon machen? ftp hatte ich vor paar monaten deaktiviert. und die prctl hab ich auch mal verschoben.

achja passwörter habe ich schon alle geändert :)

Bearbeitet von akamai
Geschrieben

Also wegen dem Cron-Kram musst du dir keine Sorgen macht. Ist unbedenklich.

Wenn du den SSH-Zugang wirklich absichern willst, mach ne iptables-Regel, dass nur eine bestimmte IP bzw eine bestimmte Range sich per SSH connecten kann. Damit hast du schonmal 99% des Risikos gemindert.

Geschrieben

danke.

ich finde im log einfach nicht wie er sich die shadow schicken konnte. es war noch ein /usr/mozi neu eingerichtet.

naja hab grad mal fail2ban installiert und werd mal deinen vorschlag mit der hosts.allow durchführen.

weiß jemand etwas von diesem Linux/Exploit-PRCTL?

Geschrieben

guck auch mal die prozesse durch, ob da irgendwo was läuft, was nicht laufen sollte. dem neuen user würd ich auch mal die bash wegnehmen und pw ändern :) wenn du dir sicher bist, dass das kein systemuser ist bzw irgendeiner von dir, kannst den auch entfernen.

Geschrieben

hi,

etwas beunruhigt mich noch. jedesmal wenn ich eine ssh session starte, wird dieser /usr/mozi angelegt und schreibt den benutzernamen (mit welchem ich mich gerade anmelde) und das kennwort dort rein.

kann ich herausfinden, wo dieser befehl steckt dass er diesen immer wieder anlegt?

Geschrieben

Da wird wohl jemand die Befehle ausgetauscht haben. Guck dir mal alles, was mit ssh zu tun hat an bzw such dir die Originalen Dateien von deinem System und ersetz die alten durch die Originale. Hatten wir in der Firma auch schon ab und an mal sowas. Das Blöde bei uns war, dass selbst Befehle wie cp, less, ssh usw komplett gecrackt waren.

Achja, guck noch bissl rum, ob nicht unter /home, /tmp oder /var irgendwelche Verzeichnisse angelegt wurden, die Scripte beinhalten, mit denen jemand auf den Server zugreifen kann.

Geschrieben

hat mir mein cheffe eingerichtet.

Linux version 2.6.16-xenU (root@localhost) (gcc version 4.0.1 (4.0.1-5mdk for Mandriva Linux release 2006.0)) #1 SMP Thu Mar 23 13:35:44 CET 2006

Geschrieben

Mandriva...hm, davon hab ich nu garkeine Ahnung. Aber is halt auch nur Linux.

Also kannst dir ja aussuchen, was du machst. Würd erstmal gucken, dass ich die Befehle wieder fixe. Wenn du das net hinbekommst, kannst es ja immernoch plattmachen. Aber würds erstmal probieren. Denn mit solchen Attacken wirst dus immer wieder zu tun haben.

Ist aber immernoch weitaus harmloser und nicht annähernd so häufig wie bei nem Windows... :)

Geschrieben

Nee, der Denkansatz ist schon falsch. Windows nutzen die meisten Leute, also gibts dafür auch die meiste schadhafte Software. Linux ist ansich schon sehr sicher, mit vernünftiger Rechtevergabe und z.b. iptables kann man es komplett sicher machen. Das wirst du bei Windows nie schaffen, außer du hast nen Linux-Server als Proxy *gg*

Ansich ist Linux interessanter zu knacken, weils halt meist Produktivsysteme sind. Aber an Windows kommt man halt viel einfacher. Und Kontodaten oder andere Infos in der Richtung bekommt man da einfach leichter.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...