ja hallo erstmal,... Am Mittwoch, 25. August 2004 09:19 schrieb Christian Schmied: > Hallo, > > ich habe seit gestern Nacht ein über 700MB größeres Transfervolumen auf > meinem Server. > > Alles Durchsehen der Log-Dateien hat nichts gebracht. > > Mittels nmap habe einen neuen Port entdeckt: Port 88 Kerberos-sec > und mit top finde ich ein Programm, das seit über sechs Stunden läuft und > scan-a heißt.
Ok. 1. Schritt Verbindung zum inet physikalisch trennen. - Rechner nicht herunterfahren! 2. Neuen Server (anderes Gerät) mit Backups installieren Mondo - Mindi falls verfügbar. Dieser soll die Dienste übernehmen. 3. Gehe auch ww.chkrootkit.org Lade dir das dortige Programm herunter. Übersetze es statisch! auf einem sauberen System. Packe zudem dieses und alle benötigten Binaries (die dortige Doku lesen!) auf eine CD / einen USB-Stick und lasse das Programm durchlaufen. 4. Stelle fest, welche Programme im Arbeitsspeicher sind, geladen sind, checke die IDS-Systeme (welche Dateien wurden geändert) 5. Vergleich den geladenen Kernel mit einem Memory-Abbild (guck mal system.map) Liste alle geladenen Module, Programme, Bibliotheken auf und druck es am besten direkt aus. 6. Boote das System mit Knoppix und untersuche das System per Hand (und gründlich) auf Kompromitierungen. Welche Dateien sind dort, welche müssen dort sein. Stimmen die md5-Summen der Dateien mit denen von den aus den Debian-Paketen überein. 7. Wenn du das Loch findest, schließe es. Falls nicht, so besteht immer wieder die Gefahr, dass dieses nochmal passiert. Solltest du es nicht finden, steige auf OpenBSD um. fup2 [EMAIL PROTECTED] ([EMAIL PROTECTED] , www.securityfocus.com) oder de.comp.security.misc solltest du damit Probleme haben. > Ich musste den Server neu aufsetzen, da ich ihn heute noch für eine andere > Sache benötige. Trotzdem würde ich gerne wissen ob mit den beiden obigen > Aussagen jemand von euch was anfangen kann? Siehe oben. Alles andere ist fahrlässig. > > Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja 99,9%) > wasserdicht bekommt? http://www.debian.org/doc/manuals/securing-debian-howto/ http://www.grsecurity.org oder http://www.openbsd.org Trusted Solaris ist auch ganz nett. Keep smiling yanosz