ja hallo erstmal,... Am Mittwoch, 25. August 2004 09:19 schrieb Christian Schmied: > Hallo, > > ich habe seit gestern Nacht ein �ber 700MB gr��eres Transfervolumen auf > meinem Server. > > Alles Durchsehen der Log-Dateien hat nichts gebracht. > > Mittels nmap habe einen neuen Port entdeckt: Port 88 Kerberos-sec > und mit top finde ich ein Programm, das seit �ber sechs Stunden l�uft und > scan-a hei�t.
Ok. 1. Schritt Verbindung zum inet physikalisch trennen. - Rechner nicht herunterfahren! 2. Neuen Server (anderes Ger�t) mit Backups installieren Mondo - Mindi falls verf�gbar. Dieser soll die Dienste �bernehmen. 3. Gehe auch ww.chkrootkit.org Lade dir das dortige Programm herunter. �bersetze es statisch! auf einem sauberen System. Packe zudem dieses und alle ben�tigten Binaries (die dortige Doku lesen!) auf eine CD / einen USB-Stick und lasse das Programm durchlaufen. 4. Stelle fest, welche Programme im Arbeitsspeicher sind, geladen sind, checke die IDS-Systeme (welche Dateien wurden ge�ndert) 5. Vergleich den geladenen Kernel mit einem Memory-Abbild (guck mal system.map) Liste alle geladenen Module, Programme, Bibliotheken auf und druck es am besten direkt aus. 6. Boote das System mit Knoppix und untersuche das System per Hand (und gr�ndlich) auf Kompromitierungen. Welche Dateien sind dort, welche m�ssen dort sein. Stimmen die md5-Summen der Dateien mit denen von den aus den Debian-Paketen �berein. 7. Wenn du das Loch findest, schlie�e es. Falls nicht, so besteht immer wieder die Gefahr, dass dieses nochmal passiert. Solltest du es nicht finden, steige auf OpenBSD um. fup2 [EMAIL PROTECTED] ([EMAIL PROTECTED] , www.securityfocus.com) oder de.comp.security.misc solltest du damit Probleme haben. > Ich musste den Server neu aufsetzen, da ich ihn heute noch f�r eine andere > Sache ben�tige. Trotzdem w�rde ich gerne wissen ob mit den beiden obigen > Aussagen jemand von euch was anfangen kann? Siehe oben. Alles andere ist fahrl�ssig. > > Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja 99,9%) > wasserdicht bekommt? http://www.debian.org/doc/manuals/securing-debian-howto/ http://www.grsecurity.org oder http://www.openbsd.org Trusted Solaris ist auch ganz nett. Keep smiling yanosz
