Joerg Fischer wrote: > Hallo Welt, >
Ein Echo zur�ck, [..] > > Was w�rdet ihr an meiner Stelle tun? Maschine nur auf Verdacht neu > aufsetzen? > > J�rg > Sollte ein Angreifer Dein System kompromitiert und die vermeintliche �nderung in der smb.conf vorgenommen haben, so sieht dies nach einem sehr plumen Einbruchsversuch aus. Eine solche �nderung w�rde von einem normalen User (wie mir :)) in kurzer Zeit entdeckt werden. Das Verzeichnis was dabei freigegeben wurden sein soll, befindet sich im RootPath und ist dort kaum zu �bersehen. Vielleicht solltest Du dieses n�her untersuchen, falls es existiert. Ver�nderung weiterer Dateien deren Aufbau man nicht selber kennt, l�sst sich wohl nur durch einen Vergleich mit einem Checksum der original Datei (unver�nderte Datei) pr�fen, welche wohl kein normaler User anfertigt. In Sachen logs: Interessanter als das abruppte Eenden der Paketfiltermeldungen (was auf viele verschiedene Ursachen zur�ckzuf�hren w�re, die zu erst ausgeschlossen werden m�ssen) w�ren die logs von /var/log/samba/* (wann wurde dieser neugestartet) /var/log/messages (fehlt ein -- MARK -- Eintrag) /var/log/setuid.changes (wurden setuid programme ge�ndert) /var/log/auth.log (hat sich jemand in der Zeit als root angemeldet) usw. Da wir gerade beim Checken des Systems sind, f�llt mir gleich ein gute Debian Artikel ein, der mit der kompromitierung der Debian Server vor ein paar Monaten zusammenh�ngt. Dieser erkl�rt gut, was nach einer Kompromitierung zu beachten ist und wie man rootkits usw. aufsp�ren kann: <http://www.wiggy.net/debian/developer-securing/> Ja was kann man noch empfehlen. Solltest Du das System nicht neu aufsetzen, sind weitere Vorg�nge nat�rlich best m�glich zu �berwachen. Es ist unwahrscheinlich das der Angreifer an irgendwelchen Informationen in Deinem System interessiert ist, ausser Du hast irgendwelche f�r ihn ziemlich interessanten Informationen, das kann ich schwer beurteilen. Wahrscheinlicher ist das der Angreifer das System als Spungbrett verwenden m�chte, was aber auch f�r Dich selber unangenehme Konsequenzen haben kann. Eine �nderung aller Passw�rter und Schl�ssel ist aber wohl auf jeden fall anzuraten. HTH, Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
