W
Willibold
Grünschnabel
Ich habe einen Server (Apache, Mysql, ssh, Samba, Mythtv, mediathomb, tftp, dhcp und bind) mit 2 Netzwerkkarten und ne 16000er DSL
-eine im internen Netz mit XXX.XXX.128.XXX
-eine für den Internetzugriff xxx.xxx.178.xxx
Das Interne Netz geht über Masquerading über diesen Server online
Die Karte für extern ist an den WLAN Router angeschlossen
Die interne an einen Switch
zusätzlich hat der WLAN Router einen LAN Verbindung zum Schwitch (Damit WLAN auch ins Interne Netz kommt)
Hat bisher immer gut funktioniert seit kurzen stürtz mir oft (8-10 Mal) der WLAN Router ab - dabei bootet dieser komplett neu und ist erst wieder einsetzbar wenn ich das Kabel zur Externen Karte entfernen und den Stecker ziehe
Danach lag mir die Vermutung eines Angriffs von außen nahe (susefirewall on)
Nun habe ich folgendes herausgefunden:
cron macht minütlich dies hier : /tmp/.,/update >/dev/null 2>&1
anschließend gibt es einen neuen Prozess crond als wwrun gestartet
und jetzt die ausgabe von ss
Die Ziel IP (61.153.224.17 liegt in China (lt. UTRACE.de)
wenn ich den Prozess crond kille ist die Verbindung wieder weg. Seit dem schon 18h Ruhe alles funkt. wie vorher)
ein Eintrag in HOST.deny ALL: 61.153.224.178 bringt keine Ergebnisse (vermute die Verbindung wird durch meinen server aufgebaut)
Habe mittlerweile eindeutig festgestellt das sich jemand mit www rechten Zugriff verschafft hat
Dabei hat er (der jemand) im /tmp Ordner 2 Verzeichnisse angelegt ./ und ../ in diesem liegen diverse Dateien unter anderem ein crond binary (gh mal davon aus das dies der afs3 fileserver ist) da mir irgendein befehl angezeigt hat das dieser den Port 35477 offen hält
Leider hilft das Abschießen des crond aus dem tmp Ordner nicht - hatt in der nacht doch noch besuch, (Anderung in ner datei in tmp)
1. und wichtigste Frage - was hat er gesehen ? Ich denke mal als wwwrun kann er nicht viel machen oder hat er sich durch den afs3 Server höhere Rechte verschafft ?
2. Was kann ich unternehmen ? Liege ich mit meiner Vermutung richtig das er wahrscheinlich über den http-server rein ist ? (da wwwrun)
3. hilft es jetzt noch ein indru... ich meine snort oder sowas zu installieren ?
HILFE
-eine im internen Netz mit XXX.XXX.128.XXX
-eine für den Internetzugriff xxx.xxx.178.xxx
Das Interne Netz geht über Masquerading über diesen Server online
Die Karte für extern ist an den WLAN Router angeschlossen
Die interne an einen Switch
zusätzlich hat der WLAN Router einen LAN Verbindung zum Schwitch (Damit WLAN auch ins Interne Netz kommt)
Hat bisher immer gut funktioniert seit kurzen stürtz mir oft (8-10 Mal) der WLAN Router ab - dabei bootet dieser komplett neu und ist erst wieder einsetzbar wenn ich das Kabel zur Externen Karte entfernen und den Stecker ziehe
Danach lag mir die Vermutung eines Angriffs von außen nahe (susefirewall on)
Nun habe ich folgendes herausgefunden:
cron macht minütlich dies hier : /tmp/.,/update >/dev/null 2>&1
anschließend gibt es einen neuen Prozess crond als wwrun gestartet
und jetzt die ausgabe von ss
ESTAB 0 21 [Meine externe IP]:35477 61.153.224.178:afs3-fileserver
Die Ziel IP (61.153.224.17 liegt in China (lt. UTRACE.de)
wenn ich den Prozess crond kille ist die Verbindung wieder weg. Seit dem schon 18h Ruhe alles funkt. wie vorher)
ein Eintrag in HOST.deny ALL: 61.153.224.178 bringt keine Ergebnisse (vermute die Verbindung wird durch meinen server aufgebaut)
Habe mittlerweile eindeutig festgestellt das sich jemand mit www rechten Zugriff verschafft hat
Dabei hat er (der jemand) im /tmp Ordner 2 Verzeichnisse angelegt ./ und ../ in diesem liegen diverse Dateien unter anderem ein crond binary (gh mal davon aus das dies der afs3 fileserver ist) da mir irgendein befehl angezeigt hat das dieser den Port 35477 offen hält
Leider hilft das Abschießen des crond aus dem tmp Ordner nicht - hatt in der nacht doch noch besuch, (Anderung in ner datei in tmp)
1. und wichtigste Frage - was hat er gesehen ? Ich denke mal als wwwrun kann er nicht viel machen oder hat er sich durch den afs3 Server höhere Rechte verschafft ?
2. Was kann ich unternehmen ? Liege ich mit meiner Vermutung richtig das er wahrscheinlich über den http-server rein ist ? (da wwwrun)
3. hilft es jetzt noch ein indru... ich meine snort oder sowas zu installieren ?
HILFE
Zuletzt bearbeitet: