ssh server prozesse nach start

Dieses Thema im Forum "Security Talk" wurde erstellt von gaertner, 20.05.2006.

  1. #1 gaertner, 20.05.2006
    gaertner

    gaertner Jungspund

    Dabei seit:
    09.04.2006
    Beiträge:
    11
    Zustimmungen:
    0
    hallo leute nach dem start von ssh zeigt ps waux wirre prozesse an.

    1691 ? S 0:00 \uffff?\uffff$\uffff0\uffff$l\uffff\uffff$\uffff?\uffff$?
    1699 ? S 0:00 \uffff?\uffff$\uffff0\uffff$l\uffff\uffff$\uffff?\uffff$?


    wie kann ich rausfinden was hinter diesen prozessen wirklich läuft ?

    ?(
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Sieht fuer mich nach ner Elf-Injection aus. Deinstalliere mal ssh vollstaendig und installiere es danach neu. Damit wird der "Fehler" wahrscheinlich behoben sein. Wenn du ein IDS am Laufen hast, schau mal nach ob irgendwo ein erfolgreicher Buffer-Overflow war oder ob evtl. irgendwann irgendwelche Unregelmaessigkeiten auf deinem SSH-Port aufgelaufen sind. Solltest du ein Tool zur Ueberpruefung der Datei-Integritaet haben, solltest du mal raussuchen wann sich die Dateien, die zum SSH-Server gehoeren, zuletzt geaendert haben und im IDS und der Firewall schauen, ob es zu dieser Zeit irgendwelche Unregelmaessigkeiten gab. Evtl. irgendwann mal 'nen Update ohne Checksummen der Pakete gemacht?
     
  4. #3 gaertner, 20.05.2006
    gaertner

    gaertner Jungspund

    Dabei seit:
    09.04.2006
    Beiträge:
    11
    Zustimmungen:
    0
    danke du hast recht gehabt der sshd wurde verändert.
    ich habe den neu installiert und wech wars ;)
    hab nun fcheck mit installiert und die sshd.conf ein bischen modifizeirt, danke dir :D
     
  5. #4 damager, 20.05.2006
    damager

    damager Moderator

    Dabei seit:
    27.08.2003
    Beiträge:
    3.065
    Zustimmungen:
    0
    Ort:
    Munich
    die gefahr das noch mehr passiert ist besteht aber immer noch!
    schon mal mit rkhunter die kiste checken lassen?
     
  6. codc

    codc /dev/null

    Dabei seit:
    12.01.2004
    Beiträge:
    607
    Zustimmungen:
    0
    Mach die Kiste platt und installier komplett neu. Eine kompromittierter Rechner ist nicht mehr zu trauen. Da ist mit guter Wahrscheinlichkeit ein Rootkit drauf und du wirst niemals alle Veränderungen finden.
     
  7. #6 gaertner, 20.05.2006
    gaertner

    gaertner Jungspund

    Dabei seit:
    09.04.2006
    Beiträge:
    11
    Zustimmungen:
    0
    die tools zum finden von rootkits finden nichts.
    so schlau kann der auch nicht gewesen sein, oder er war sich zu sicher.

    die logs wurden so gelassen wie sie waren, also nix gelöscht.

    ein psybnc und ein irc fileserver installiert.

    auch andere leicht zu findende spuren waren noch da ..

    bevor ich den platt mache behalte ich ihn lieber noch im auge.

    gleich platt machen ist viel arbeit und ausserdem interessiert es mich ob nochmal etwas vorfällt.

    erstmal abwarten
     
  8. codc

    codc /dev/null

    Dabei seit:
    12.01.2004
    Beiträge:
    607
    Zustimmungen:
    0
    Oder schlauer als du und du nichts mehr findest weil ein rootkit alles unsichtbar macht.
    Natürlich wurden die nicht gelöscht - es reicht ja nur ein paar Log-Einträge zu löschen.

    Wer die Kiste nicht platt macht und dann sicherer aufzusetzen - also vorher rausbekommen wie das Zeug reingekommen ist - handelt grob fahrlässig. Zumindest wenn die Kiste am Internet hängt und womöglich noch eine Breitbandverbindung besitzt.
     
  9. #8 slasher, 23.05.2006
    slasher

    slasher König

    Dabei seit:
    22.03.2006
    Beiträge:
    827
    Zustimmungen:
    0
    FACK @codc !
     
  10. #9 gaertner, 23.05.2006
    gaertner

    gaertner Jungspund

    Dabei seit:
    09.04.2006
    Beiträge:
    11
    Zustimmungen:
    0
    über die kommentare kann ich mich echt amüsieren.

    kommentare die da zwischen den zeilen lesen lassen, jau mann "du doof, ich schlau"

    macht doch mal kommentare die produktiv sind.

    ausserdem sagte ich ja schon , das ichdas im auge behalte, weil es mich gerade interessiert, ob da noch was nachkommt.
    ..wer lesen kann ist klar im vorteil.

    übrigens, jede maschine die im netz hängt kann man immer sicherer aufsetzen , nur mal so nebenbei angemerkt ;)

    greets und danke an die leute die produktive kommentare gebracht haben!
     
  11. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  12. #10 slasher, 23.05.2006
    slasher

    slasher König

    Dabei seit:
    22.03.2006
    Beiträge:
    827
    Zustimmungen:
    0
    wo steht der Rechner denn? In einem Rechenzentrum? Mit 100mbit oder ähnlich angebunden?
     
  13. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Ein erfolgreich angegriffener Rechner stellt immer eine Gefahr fuer die Allgemeinheit dar. Sicherlich kann hier auf dem Board niemand wissen, in wiefern du faehig bist die Sache wirklich unter Kontrolle zu halten, aber deine Frage vom Anfang des Threads weist darauf hin, dass sich dein Wissen in diesem Bereich sehr sehr stark in Grenzen haelt. Und scheinbar scheint dir auch nicht klar zu sein, dass es fuer dich extrem teuer werden kann, wenn mit deinem Server Schindluder im Netz getrieben wird. Verantwortlich ist nunmal nicht der Angreifer, sondern der Administrator des Rechners.

    Auch haben wir hier auf dem Board schon zu oft irgendwelche Linux-Neulinge erlebt, die sich gleich den fetten Server mit 100MBit-Anbindung gemietet haben und diesen dann zum "Linux lernen" nutzten. Du musst als verzeihen, wenn gerade User, die schon laenger hier auf dem Board sind, recht "allergisch" reagieren, wenn jemand gegen eine der Grundrichtlinien eines Administrators verstoesst: Erfolgreich angegriffene Server gehoeren umgehend vom Netz genommen! Ein Administrator, der diese Regel nicht befolgt handelt grob fahrlaessig.

    Daher auch von mir der Tipp um dir unnoetigen Aerger zu ersparen: Nimm endlich diesen Server vom Netz! Du bist fuer diesen Rechner ja scheinbar verantwortlich und du kannst dir sicher sein, dass die meisten Firmen nicht zimperlich sind, wenn ueber deinen Server bei denen Schaden angerichtet wird. Ich wuerde dich im Auftrag unserer Firma dann auch ohne mit der Wimper zu zucken verklagen. *zugeb* Und das kann verdammt teuer werden.
     
Thema:

ssh server prozesse nach start

Die Seite wird geladen...

ssh server prozesse nach start - Ähnliche Themen

  1. tote server prozesse aussortieren?

    tote server prozesse aussortieren?: Ich hab ehrlichgesagt nicht viel davon selber geschrieben sondern von linux-unix-programmieren übernommen (http://www.pronix.de/pronix-275.html...
  2. CentOS 7: Falsche Metric bei regelbasiertem Routing nach Server-Reboot

    CentOS 7: Falsche Metric bei regelbasiertem Routing nach Server-Reboot: Hallo zusammen Ich möchte unseren existierenden SFTP Server durch einen neuen Server mit CentOS 7 ersetzen. Da der Server einerseits direkt via...
  3. Empfehlung für Server Distribution

    Empfehlung für Server Distribution: Hallo, ich habe hier zu Hause einen kleinen Heimserver, auf welchem ich ein paar Daten für den Zugriff im Haus, einen kleinen Web Service für...
  4. Buch-Weitergabe: Linux-Server mit Debian 6 (Squeeze)

    Buch-Weitergabe: Linux-Server mit Debian 6 (Squeeze): Autor des Buches: Eric Amberg ISBN: 3-8266-5534-0 Praxisumpfang: Backoffice-Server, Root-Server, Linux als Gateway, Server-Security Viele...
  5. Hundertserver sucht Dich: Linux Spezialisten in Berlin.

    Hundertserver sucht Dich: Linux Spezialisten in Berlin.: Hundertserver sucht einen Linuxspezialiten in Berlin Hundertserver über sich: "Hundertserver bietet Unternehmen die Möglichkeit, digitale...