Cracker - was nun ?

Dieses Thema im Forum "Internet, lokale Netzwerke und Wireless Lan" wurde erstellt von Willibold, 30.01.2011.

  1. #1 Willibold, 30.01.2011
    Zuletzt bearbeitet: 30.01.2011
    Willibold

    Willibold Grünschnabel

    Dabei seit:
    30.01.2011
    Beiträge:
    5
    Zustimmungen:
    0
    Ich habe einen Server (Apache, Mysql, ssh, Samba, Mythtv, mediathomb, tftp, dhcp und bind) mit 2 Netzwerkkarten und ne 16000er DSL
    -eine im internen Netz mit XXX.XXX.128.XXX
    -eine für den Internetzugriff xxx.xxx.178.xxx

    Das Interne Netz geht über Masquerading über diesen Server online
    Die Karte für extern ist an den WLAN Router angeschlossen
    Die interne an einen Switch
    zusätzlich hat der WLAN Router einen LAN Verbindung zum Schwitch (Damit WLAN auch ins Interne Netz kommt)

    Hat bisher immer gut funktioniert seit kurzen stürtz mir oft (8-10 Mal) der WLAN Router ab - dabei bootet dieser komplett neu und ist erst wieder einsetzbar wenn ich das Kabel zur Externen Karte entfernen und den Stecker ziehe
    Danach lag mir die Vermutung eines Angriffs von außen nahe (susefirewall on)

    Nun habe ich folgendes herausgefunden:

    cron macht minütlich dies hier : /tmp/.,/update >/dev/null 2>&1

    anschließend gibt es einen neuen Prozess crond als wwrun gestartet

    und jetzt die ausgabe von ss
    Die Ziel IP (61.153.224.178) liegt in China (lt. UTRACE.de)

    wenn ich den Prozess crond kille ist die Verbindung wieder weg. Seit dem schon 18h Ruhe alles funkt. wie vorher)

    ein Eintrag in HOST.deny ALL: 61.153.224.178 bringt keine Ergebnisse (vermute die Verbindung wird durch meinen server aufgebaut)


    Habe mittlerweile eindeutig festgestellt das sich jemand mit www rechten Zugriff verschafft hat

    Dabei hat er (der jemand) im /tmp Ordner 2 Verzeichnisse angelegt ./ und ../ in diesem liegen diverse Dateien unter anderem ein crond binary (gh mal davon aus das dies der afs3 fileserver ist) da mir irgendein befehl angezeigt hat das dieser den Port 35477 offen hält

    Leider hilft das Abschießen des crond aus dem tmp Ordner nicht - hatt in der nacht doch noch besuch, (Anderung in ner datei in tmp)

    1. und wichtigste Frage - was hat er gesehen ? Ich denke mal als wwwrun kann er nicht viel machen oder hat er sich durch den afs3 Server höhere Rechte verschafft ?

    2. Was kann ich unternehmen ? Liege ich mit meiner Vermutung richtig das er wahrscheinlich über den http-server rein ist ? (da wwwrun)

    3. hilft es jetzt noch ein indru... ich meine snort oder sowas zu installieren ?

    HILFE
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 HeadCrash, 30.01.2011
    HeadCrash

    HeadCrash Routinier

    Dabei seit:
    16.05.2009
    Beiträge:
    482
    Zustimmungen:
    1
    Ort:
    Bayern
    Abend,

    das Probleme dürfte sein, dass du dir nie 100% sicher sein kannst, ob die Maschine wirklich wieder sauber bekommen hast.

    Da hier Dienste alls wwwrun laufen, liegt die Vermutung nahe, dass es irgendwie über den Apachen gelaufen ist. Das muss nicht zwangsweise ein Problem des Apachen selbst sein, sondern kann eventuell auch durch eine darauf laufende Applikation (typo3, wordpress, what-ever) geschehen sein.

    Intrusion Detection Systeme, ala snrot, alamieren dich nur wenn sie etwas entdecken, dazu müssen sie aber gepflegt und ihre Logfiles ausgewertet werden, im Nachhinein dürfte das recht wenig helfen.

    mfg
    HeadCrash
     
  4. #3 saeckereier, 30.01.2011
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Grundregel: Sobald in ein System eingebrochen wurde, wird das System gesichert um Beweise zu sichern und den Einbruch nachvollziehen zu können und dann komplett neu eingerichtet.
     
  5. #4 Willibold, 31.01.2011
    Willibold

    Willibold Grünschnabel

    Dabei seit:
    30.01.2011
    Beiträge:
    5
    Zustimmungen:
    0
    Genau das ist meine Befüchtung

    Das habe ich mir auch dedacht - aber gibt es eine Soft, die mir im Nachhinein hilft herauszufinden wo er genau rein kam ?

    Hab zwar ne Vermutung (phpMyAdmin - Setup Script) - bin mir aber gar nicht sicher
     
  6. #5 Willibold, 31.01.2011
    Willibold

    Willibold Grünschnabel

    Dabei seit:
    30.01.2011
    Beiträge:
    5
    Zustimmungen:
    0
    Das werde ich tun, der Server ist erstmal vom Netz und off .

    - was ist für die Neueinrichtung zu empfehlen also z.b. eine Soft alla snort (was einfacheres wäre mir natürlich lieber)

    - ist opensuse generell eher ungeeignet ? Lieber eine andere Distri. ?

    - bringt die Installation von squid mehr Sicherheit in Bezug au den o.g. Fall


    Vielen Dank an alle die helfen
     
  7. doc

    doc Kaffeetrinker

    Dabei seit:
    26.08.2006
    Beiträge:
    586
    Zustimmungen:
    0
    Ort:
    bremen
    die distri (wenn aktuell) ist in der regel das geringste problem, schon eher, das du nicht rechtzeitig updatest, oder irgendwelche (fremd)software installiert hast und diese nicht pflegst. phpmyadmin sollteste nur ausm lokalen netz erlauben, von aussen generell nur zulassen was wirklich nötig ist.

    was intrusion detection angeht macht http://www.ossec.net/ nen netten eindruck, auch gerne in verbindung mit snort.
     
  8. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  9. #7 Willibold, 01.02.2011
    Willibold

    Willibold Grünschnabel

    Dabei seit:
    30.01.2011
    Beiträge:
    5
    Zustimmungen:
    0
    Danke für den Tipp, sieht auf den ersten Blick gut, ich werde das mal ausprobieren
     
  10. #8 Willibold, 01.02.2011
    Willibold

    Willibold Grünschnabel

    Dabei seit:
    30.01.2011
    Beiträge:
    5
    Zustimmungen:
    0
    Ich habe gelesen, dass der af2s Server unabhäning von den System Benutzerrechten arbeitet, heist das dass er auch aus den rechten mit den er gestartet wurde (wwrun) "ausbrechen" kann und so auf die Dateien andere Nutzer zugreifen kann ?
     
Thema:

Cracker - was nun ?

Die Seite wird geladen...

Cracker - was nun ? - Ähnliche Themen

  1. Hydra Network Logon Cracker 7.4

    Hydra Network Logon Cracker 7.4: THC-Hydra is a high quality parallelized login hacker for Samba, Smbnt, Cisco AAA, FTP, POP3, IMAP, Telnet, HTTP Auth, LDAP, NNTP, MySQL, VNC,...
  2. Hydra Network Logon Cracker 7.4

    Hydra Network Logon Cracker 7.4: THC-Hydra is a high quality parallelized login hacker for Samba, Smbnt, Cisco AAA, FTP, POP3, IMAP, Telnet, HTTP Auth, LDAP, NNTP, MySQL, VNC,...
  3. Hydra Network Logon Cracker 7.3

    Hydra Network Logon Cracker 7.3: HC-Hydra is a high quality parallelized login hacker for Samba, Smbnt, Cisco AAA, FTP, POP3, IMAP, Telnet, HTTP Auth, LDAP, NNTP, MySQL, VNC, ICQ,...
  4. Cracker will meine account

    Cracker will meine account: Als ich heute Guild Wars gezockt habe hat mich da einer angeschrieben er meinte das er meine email adresse hätte und meine account hacken würde...