# gehackt? panik!

## new_nOOb

hallo hab ein prob beim durschnüffeln meiner log ist mir aufgefallen das sehr häufig versucht wurde sich bei mir einzuloggen und dabei alle möglichen namen ausprobiert wurden und psw. auch per mysql wurde einiges probiert. nun hab ich natürlich panik das diese person es auch geschaft hat. was mich in der hinsicht auch stutzig macht das obwohl alle user ausgelogt sind er mir noch immer anzeigt das eine person (root) angemeldet ist. das passiert selbst nach einen gerade durchgeführten neustart. hat sich da tatsächlich jemand eingehackt und was installiert?

wäre für jede hilfe dankbar.!

----------

## Arudil

 *new_nOOb wrote:*   

> mich in der hinsicht auch stutzig macht das obwohl alle user ausgelogt sind er mir noch immer anzeigt das eine person (root) angemeldet ist.

 

das ist aber nicht rein zufällig der user, mit dem du gerade angemeldet bist..?

und nunja, zum crackversuch:

sowas passiert. Deshalb gibt es Passwörter, die möglichst lang sind, und genügend andere Sicherheitsmassnahmen. Ich denk du wirst ned der einzige sein, bei dem probiert wird sich einzucracken. Ausserdem kann man davon aussgehn dass diese lästige aufgabe von dummen Try-and-Error-and-next-try-and-next-error ausgeführt wird  :Wink: 

Ob ers geschafft hat? Da schau mal in die Logs. Da sollte drinstehen wer sich wann eingeloggt hat.

----------

## zworK

 *Arudil wrote:*   

> ...Ich denk du wirst ned der einzige sein, bei dem probiert wird sich einzucracken. Ausserdem kann man davon aussgehn dass diese lästige aufgabe von dummen Try-and-Error-and-next-try-and-next-error ausgeführt wird 

 

Mit Sicherheit nicht  :Wink:  , schau ich die Logfiles von meinem Apache oder FTP-Server durch finde ich immer wieder Versuche sich anzumelden oder einen Overflow zu erzeugen. Wenn man Server-Dienste ins Netz stellt sollte man immer die Logs im Auge behalten und falls Sicherheitslücken auftauchen, auch dementsprechend reagieren.

Du könntest z.B. noch prüfen ob es neue Benutzer gibts, die Bash-History durchblättern, die Logs auf ungewöhnliche Sachen prüfen (ob z.B. was fehlt)...

----------

## moe

Ich nehme mal an, es handelt sich um einen Rechner zuhause, an einer DSL-Leitung?

Dann kanns auch sein, dass jmd. auf seinen eigenen Rechner wollte, aber seine dyndns-Adresse noch nicht aktualisiert wurde o.ä.

Aber auf jeden Fall im Auge behalten, und wie gesagt den Rechner auf verdächtige Dateien untersuchen.. Im Portage findest du auch chkrootkit und rkhunter, die dir die Suche erleichtern, aber nicht alle Arbeit abnehmen.

Und dann sollte man natürlich sein System so gut wie möglich absichern, mysql z.B. muss in den meisten Fällen gar nicht von ausserhalb erreichbar sein, distcc ist eine beliebte Einbruchshilfe und Dienste die man nicht braucht sollten auch nicht laufen.

Gruss Maurice

----------

## amne

Wie im englischen Thread i got hacked. what were they up to? auch bereits ausführlich besprochen versuchen seit einiger Zeit ein paar Leute relativ erfolgreich, via ssh mit relativ primitiven User/Passwort-Kombinationen einzubrechen. Über unsichere Accounts wie user: test, pass: test wurden schon einige Systeme kompromittiert. Sofern du einigermassen sichere Passwörter gewählt hast solltest du dir keine Sorgen machen brauchen. Mit rkhunter und chkrootkit (am Besten von einer Live-CD gebootet) kannst du dein System zusätzlich nach installierten Backdoors absuchen.

Um in Zukunft besser zu schlafen empfehlen sich mehrere Massnahmen (die nicht immer gleich gut umsetzbar sind):

 sshd abdrehen weil man ihn gar nicht braucht.  :Wink: 

 sshd auf anderen Port verlegen (für Privatgebrauch OK, bei öffentlichen Servern meist nicht so gute Idee).

 Root-Login abdrehen (Login mit anderem User, dessen Name der Angreifer erst mal rausfinden muss und su).

 Mit AllowUsers / AllowGroups die User einschränken (Selbst wenn test:test exisitiert kann er dann nicht mehr einloggen sofern er nicht auf der Allow-Liste steht).

 Login nur mehr via ssh-key und nicht nur mit Passwort allein.

 Mit iptables und/oder /etc/hosts.allow nur Logins von gewissen IPs zulassen.

 Portknocking.

Nur aus dem Gedächtnis ein paar Tips, mehr steht wie gesagt im oben genannten Thread.

----------

## sven-tek

Wenn der ssh port auf einen nicht standardport gelegt wird der recht hoch liegt (> 2000) werden solche try and error logins erheblich weniger.

----------

## new_nOOb

vielen dank für die antworten:)

laut den scan´s von rkhunterhat er nix gefunden aber chkrootkit hat 

bindshell'... INFECTED (PORTS:  4000) gefunden... tja und nu?  :Smile:  wie bekomme ich das weg und vorallem wie konnte das passieren?  :Sad: 

das root passwort ist recht lang und nicht per try+error herrauszubekommen. habe dieses psw allerdings auch leider bei mysql in benutzung

*edit* ahhh das lag am mldonkey (google sei dank:)

wenn beide nix gefunden haben kann ich mir also sicher sein?

der immer eingeloggte user macht mir sorgen (also z.b wenn nur eine console aktiv ist steht trotzdem da 2 user)

----------

## gentop

Kann es sein, das der zweite User der User ist, unter dessen Namen X gestartet wurde? Das ist nähmlich meistens root...

Da steht dann halt hinder dem user nicht sowas wie "tty..." sondern ":0" oder so ähnlich (kann grad nicht genau nachschauen - bin unter Windoof  :Wink:  )

Gruß gentop

----------

## new_nOOb

x läuft net trotzdem danke

----------

## gentop

Ansonsten schau dir doch mal alle laufenden Prozesse an, die von root aus laufen:

```

ps -U 0 xf

```

Fällt dir da was verdächtiges auf?

Gruß gentop

----------

## Dr_Pepper

poste mal die Ausgabe von

```
who
```

von

```
last
```

und von

```
lastlog
```

----------

## gentop

Und? Wie siehts aus?

//gentop

----------

## Anarcho

Was ich sehr gut finde:

logwatch

dasmit lass ich mir jeden morgen n Summary der letzen 24h zuschicken, also wer von wo aus sich eingeloggt hat, wer su benutzt hat, wer ein falsches pw benutzt hat etc.

Das läuft sowohl auf meinem Server zuhause als auch auf 2 Root-servern.

Ebenso chkrootkit per Cron und bericht dann per mail.

Jetzt plane ich noch den syslog-ng auf nem anderen Server loggen zu lassen,

bzw. gibt es da die möglichkeit sowohl auf nem Log-server und lokal zu loggen? Nen Tutorial zu syslog-ng wäre fein, muss ich mal nach suchen, oder hat da einer eins in der Hemdtasche?

Kann ich also nur empfehlen.

----------

## Flying_Horse

... mal in der Hemdentasche (tuxcards) nach syslog-ng gekramt und wirklich was gefunden    :Smile: 

http://www.lug-bs.de/lug/faq/syslogng

Damit hab ich auch meine Server konfiguriert, damit alles auf einem zentralen Logserver aufläuft.

Zur Serversicherheit kann ich noch einen Hinweis auf "samhain" (http://la-samhna.de/samhain) beisteuern. Das ist ein Host-IDS System, mit dem sich wichtige Files auf den Maschinen überwachen lassen. Es kann auch im Client/Server-Betrieb laufen und mit dem Webtool "Beltane" konfiguriert werden. Dauert zwar etwas bis es sinnvoll eingerichtet ist, gibt aber dann doch ein beruhigendes Gefühl  :Wink: 

Gruss, Klaus

----------

## Anarcho

Prima, vielen Dank,

werde ich mir gleich mal zur gemüte fügen!

----------

