On Thursday 11 March 2004 18:43, Joerg Fischer wrote: > Hallo Welt, > > auf meinem Debian SID, aktueller Stand von heute, sind merkw�rdige > Dinge passiert. Ich benutze xpppload um meine DSL-Leitung ein wenig im > Auge zu behalten. Heute nachmittag war da pl�tzlich Verkehr, der dort > nicht hingeh�rt. Es lief eigentlich nichts, aber xpppload zeigte im > Schnitt 5-10kB/s Last an. Ob ankommend oder abgehend kann xpppload > leider nicht sagen. Hallo, da k�nnte ifconfig oder ein Sniffer helfen. Leider ist es jetzt wohl zu sp�t daf�r. > > Richtung Internet l�uft ein iptable-Paketfilter, nach innen offen ist > ssh und http. Abgehende Verbindungen sind zul�ssig, ebenso nat�rlich > Antworten auf abgehende Pakete. Ich habe der Reihe nach alle Dienste > beendet die halbwegs in Verdacht kommen. Zun�chst nat�rlich den apache, > dann alles was es eigentlich *nicht* sein kann. bind9, ntp, ssh, naja, > einfach alles. Bei '/etc/init.d/samba stop' verschwand der Verkehr... > > Ja, ein Samba ist installiert und nach innen offen. Ich bin mir aber zu > 98% sicher mit der 'interfaces'-Option gearbeitet zu haben. Die war in > /etc/smaba/smb.conf aber WEG! Daf�r gibt es einen Eintrag, an dessen > anlegen ich mich nicht recht erinnern kann (ich will es aber auch nicht > > ganz ausschlie�en, ich konfiguriere selten am Samba herum...): > |[fileserver] > | comment = Samba server's /fileserver > | writable = yes > | locking = yes > | path = /fileserver > | public = yes > > Ein Verzeichnis /fileserver existiert _nicht_... (Ich betone nochmal > das smb Richtung Internet nat�rlich nicht durch den Paketfilter kommt.)
Kann es sein, dass Samba upgedated wurde und dpkg dich gefragt hat, ob es die alte Konfigurationsdatei �berschreiben soll? Eventuell solltest du deine Version von /etc/samba/smb.conf mit der Standardversion von Debian vergleichen. Dies k�nnte den Eintrag /fileserver erkl�ren. > Ich habe die Logfiles inspiziert und mu�te feststellen das heute f�r um > 7.30 das logging endete. Normalerweise schlagen ja immer mal Pakete am > Firewall auf, die logge ich z.B. mit.) Wenn m�glich kannst du versuchen, von einem anderen Rechner einen Portscan auf dein System zu starten oder manuell auf einen geschlossenen Port zugreifen. Wenn dies nich in den Logfiles auftaucht, kann es sein, dass auf dem System ein Rootkit installiert ist. Auch chkrootkit (am besten von KNOPPIX aus gestartet) k�nnte hilfreich sein. > > Das war der Moment wo ich die Kiste vom Netz genommen habe um in Ruhe > nachzudenken. Ich habe eine Knoppix gebootet und die Platte relativ > genau unter die Lupe genommen. 'find -ctime' hilft leider nicht weiter, > da ich *gerade heute* jede Menge Pakete aktualisiert hatte. :-/ Meine > h�ndische Suche nach Auff�lligkeiten brachte nichts. �berpr�fe noch einmal Ver�nderungen bei /sbin/init, dem Kernel und allen Modulen. Dort k�nnte ein Rootkit versteckt sein. Wenn du den Kernel selbst kompiliert hast, k�nntest du ihn zur Sicherheit von KNOPPIX aus neu kompilieren. > > Auf der Maschine sind nur 3 User eingerichtet, alle mit guten, langen > Passw�rtern. Da sie au�er apache und ssh keine Dienste anbot kann ich > mir das ganze irgendwie nicht ganz erkl�ren. Und weil ich es mir nicht > erkl�ren konnte, bin ich mit angeschaltenem ethereal wieder ans Netz. Kann es sein, dass ein User einen Cronjob hat, der den Traffick erzeugt? Ich z.B. hole meine Mails mit einem Cronjob �ber fetchmail. > > Jetzt beobachte ich seit ungef�hr 2h gebannt was hier passiert. Der > omin�se Datenverkehr ist weg. Der syslog loggt wie immer. > Arbeitshypothese: Jemand hatte gegen mich einen Portscan laufen, das > war der sichtbare Datenverkehr. Der Portscan war *zuf�llig* ungef�hr da > zu Ende wo ich den Samba anhielt. Es kann auch sein, dass derjenige, der die IP-Adresse vor dir hatte, ein P2P-Programm verwendet hat und andere Clients versuchen, auf ihn zuzugreifen. Da P2P-Programme eine unerreichbare IP nach einer gewissen Zeit vergessen, kann dies ein pl�tzliches Ende des "Angriffs" erkl�ren. > > Was w�rdet ihr an meiner Stelle tun? Maschine nur auf Verdacht neu > aufsetzen? Wenn die oben genannten Tests den Verdacht nicht erh�rten k�nnen, ist das IMHO nicht notwendig. Gruss Jakob -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
