Re: Fw: Einbruch in Rechner
On Sun, Jul 20, 2003 at 07:30:35PM +0200, Andreas Kretschmer wrote: am Sun, dem 20.07.2003, um 19:24:22 +0200 mailte Björn Gaworski folgendes: Linux ist so sicher, wie der Administrator es einstellt. Ich dachte immer Linux Standard Policy ist verbiete alles! Ich habe es Nein, das ist von Distri zu Distri schon unterschiedlich. Was IMHO default zu 100% sicher ist: KNOPPIX. Da lauscht nix nach außen. Naja 100% wohl auch nicht. Prinzipiell kann jetzt Software, inklusive der Kernel aufgrund von Bugs Dinge tun, die nicht vorgesehen sind. Gefählich wirds dann, wenn jemand von außen die Software so mit Daten füttern kann, daß sie Dinge tut, die seinen bösartigen zwecken dienen. Dies hat mit von außen zugänglichen Diensten nichts mehr zu tun. Draus leitet sich z.B. die Empfehlung ab, sowenig Dinge wie mögliche als root zu tun, um in einem solchen Fall die tragweite eines Angriffes zu beschränken. Beispielsweise könnte dein E-Mail-Programm einen Fehler enthalten, der sich ausnutzen läßt um beliebigen Code auszuführen. Ich könnte nun Dir eine E-Mail schicken, die diesen Fehler ausnutzt, und ein Stück Code ausführt, der mir deine Online-Banking-Daten von gnucash zusendet. Deswegen recht es leider weder aus, Ports zu schließen, Firewalls irgendwo zwischenzuhänge, oder Dienste generell nicht nach außen anzubieten. Die Windows-typischen E-Mail-Würmer funktioneren ja genau nach diesem Prinzip. -billy. -- Meisterbohne Meisterbohne GbR, Küfner, Mekle, Meier Tel: +49-731-399 499-0 eLösungen Söflinger Straße 100 Fax: +49-731-399 499-9 89077 Ulm http://www.meisterbohne.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Naja 100% wohl auch nicht. Prinzipiell kann jetzt Software, inklusive der Kernel aufgrund von Bugs Dinge tun, die nicht vorgesehen sind. Gefählich wirds dann, wenn jemand von außen die Software so mit Daten füttern kann, daß sie Dinge tut, die seinen bösartigen zwecken dienen. Dies hat mit von außen zugänglichen Diensten nichts mehr zu tun. Draus leitet sich z.B. die Empfehlung ab, sowenig Dinge wie mögliche als root zu tun, um in einem solchen Fall die tragweite eines Angriffes zu beschränken. Beispielsweise könnte dein E-Mail-Programm einen Fehler enthalten, der sich ausnutzen läßt um beliebigen Code auszuführen. Ich könnte nun Dir eine E-Mail schicken, die diesen Fehler ausnutzt, und ein Stück Code ausführt, der mir deine Online-Banking-Daten von gnucash zusendet. Deswegen recht es leider weder aus, Ports zu schließen, Firewalls irgendwo zwischenzuhänge, oder Dienste generell nicht nach außen anzubieten. Die Windows-typischen E-Mail-Würmer funktioneren ja genau nach diesem Prinzip. -billy. Gegen so etwas kann man sich sowieso nie schützen, außer man verbietet es generell ausführbare Programme per Mail zu versenden, was Outlook Express mittlerweile tut ;) Kann man aber zum Glück ausschalten. Bei den meisten Kiddiewürmern für Windows liegt es immer noch am User, der die Mail empfängt das Programm auszuführen. Ist für Linux ja auch nicht weiter schwer soetwas zu programmieren. Bei ausführen einfach mal die Kontaktliste auslesen und sich selber an alle Adressen versenden, wenns der User startet, selber Schuld :D __ Björn -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Tue, Jul 22, 2003 at 07:36:32PM +0200, Björn Gaworski wrote: Beispielsweise könnte dein E-Mail-Programm einen Fehler enthalten, der sich ausnutzen läßt um beliebigen Code auszuführen. Ich könnte nun Dir eine E-Mail schicken, die diesen Fehler ausnutzt, und ein Stück Code ausführt, der mir deine Online-Banking-Daten von gnucash zusendet. Deswegen recht es leider weder aus, Ports zu schließen, Firewalls irgendwo zwischenzuhänge, oder Dienste generell nicht nach außen anzubieten. Die Windows-typischen E-Mail-Würmer funktioneren ja genau nach diesem Prinzip. -billy. Gegen so etwas kann man sich sowieso nie schützen, außer man verbietet es generell ausführbare Programme per Mail zu versenden, was Outlook Express mittlerweile tut ;) Kann man aber zum Glück ausschalten. Das ist nicht das, worauf ich hinauswollte. Mit ausführbaren Dateien ist ja klar. Ich schick die ein shellscript mit 'sudo nohup rm -rf / ' und so weiter. Das fiese ist, wenn dein Mailprogramm einen bug hat, z.B. einen Pufferüberlauf bei der Behandlung des Subjects, dann kann ich Dir eine meine mit einem specially crafted, also speziell erzeugtem Subject schicke, und -- ohne das das ausfürbahre Attachments sind, oder Du etwas anklicken mußt -- wird bei der Darstellung der Liste der neuen Mails dein Mail-Programm einen Schluckaufbekommen und meinen code ausführen. IMHO hatte mutt im letzten halben Jahr mal einen Buffer-Overflow-Bug, weiß jetzt aber nicht mehr, ob der einen remote code exploit ermöglicht hat. -billy. -- Meisterbohne Meisterbohne GbR, Küfner, Mekle, Meier Tel: +49-731-399 499-0 eLösungen Söflinger Straße 100 Fax: +49-731-399 499-9 89077 Ulm http://www.meisterbohne.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Das ist nicht das, worauf ich hinauswollte. Mit ausführbaren Dateien ist ja klar. Ich schick die ein shellscript mit 'sudo nohup rm -rf / ' und so weiter. Das fiese ist, wenn dein Mailprogramm einen bug hat, z.B. einen Pufferüberlauf bei der Behandlung des Subjects, dann kann ich Dir eine meine mit einem specially crafted, also speziell erzeugtem Subject schicke, und -- ohne das das ausfürbahre Attachments sind, oder Du etwas anklicken mußt -- wird bei der Darstellung der Liste der neuen Mails dein Mail-Programm einen Schluckaufbekommen und meinen code ausführen. IMHO hatte mutt im letzten halben Jahr mal einen Buffer-Overflow-Bug, weiß jetzt aber nicht mehr, ob der einen remote code exploit ermöglicht hat. -billy. Ja stimmt, die meisten solcher Bugs sind darauf zurückzuführen, das die Programmierer Buffer nicht rcihtig verwalten können, und es zu Overflows bzw. Underruns kommt. Und das obwohl die eigentlich wissen sollten, wie man es richtig macht. __ Björn -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Die, 22 Jul 2003 at 20:48 (+0200), Björn Gaworski wrote: [...] Ja stimmt, die meisten solcher Bugs sind darauf zurückzuführen, das die Programmierer Buffer nicht rcihtig verwalten können, und es zu Overflows bzw. Underruns kommt. Und das obwohl die eigentlich wissen sollten, wie man es richtig macht. Nur mal so aus Interesse: Was haben Buffer underruns mit Sicherheitslecks zu tun? Jan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Tue, Jul 22, 2003 at 09:52:46PM +0200, Jan Trippler wrote: On Die, 22 Jul 2003 at 20:48 (+0200), Björn Gaworski wrote: [...] Ja stimmt, die meisten solcher Bugs sind darauf zurückzuführen, das die Programmierer Buffer nicht rcihtig verwalten können, und es zu Overflows bzw. Underruns kommt. Und das obwohl die eigentlich wissen sollten, wie man es richtig macht. Nur mal so aus Interesse: Was haben Buffer underruns mit Sicherheitslecks zu tun? Ich versuch das als nicht-C-Programmierer mal möglichst einfach zu erklären. Meistens reserviert Software für die Speicherung von Daten, wie z.B. Zeichenketten einen festen Speicherbereich. Wird nun beim Kopieren von Daten in diese Speicherbereiche z.B. beim Einlesen von eMails oder eines HTTP-Requests die Größe dieses Bereichs nicht überprüft, so werden andere Bereiche im Speicher überschrieben. Unter umständen sind das dummerweise Bereiche, in dem nicht Daten gespeichert sind, sondern der ausführbare Maschinencode. Ist dem Angreifer das Opfer-System bekannt, als ist das ein x86-System oder ein PowerPC, läuft ein Linux / BSD / MacOS, und welche Version hat z.B. der Apache, so läßt sich unter Umständen ein solcher Fehler zur geziehlten Ausführung von bösartigem Code ausnutzen. (Dies ist ein Grund, warum manche Betreiber von Webservern z.B. die Rückmeldung, um welches System es sich handelt, und welche Softwareversion eingestzt wird unterdrücken.) Dererlei Angriffe sind allerdings nicht ganz trivial, da je nach System ein spezieller Angriff gebastelt werden muß. IIRC gibt es allerdings auch dafür schon unterstützende Tools. -billy. -- Meisterbohne Meisterbohne GbR, Küfner, Mekle, Meier Tel: +49-731-399 499-0 eLösungen Söflinger Straße 100 Fax: +49-731-399 499-9 89077 Ulm http://www.meisterbohne.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Die, 22 Jul 2003 at 22:35 (+0200), Philipp Meier wrote: On Tue, Jul 22, 2003 at 09:52:46PM +0200, Jan Trippler wrote: On Die, 22 Jul 2003 at 20:48 (+0200), Björn Gaworski wrote: [...] Ja stimmt, die meisten solcher Bugs sind darauf zurückzuführen, das die Programmierer Buffer nicht rcihtig verwalten können, und es zu Overflows bzw. Underruns kommt. Und das obwohl die eigentlich wissen sollten, wie man es richtig macht. Nur mal so aus Interesse: Was haben Buffer underruns mit Sicherheitslecks zu tun? Ich versuch das als nicht-C-Programmierer mal möglichst einfach zu erklären. [...] Und ich als (auch) C-Programmierer frage deshalb, weil Du hier Buffer *Overflows* meinst - Buffer *Underruns* treten im Allgemeinen im Zusammenhang mit CD-/DVD-Brennern auf und haben überhaupt nix mit Sicherheitslecks zu tun. Jan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Die, 22 Jul 2003 at 22:35 (+0200), Philipp Meier wrote: On Tue, Jul 22, 2003 at 09:52:46PM +0200, Jan Trippler wrote: On Die, 22 Jul 2003 at 20:48 (+0200), Björn Gaworski wrote: [...] Ja stimmt, die meisten solcher Bugs sind darauf zurückzuführen, das die Programmierer Buffer nicht rcihtig verwalten können, und es zu Overflows bzw. Underruns kommt. Und das obwohl die eigentlich wissen sollten, wie man es richtig macht. Nur mal so aus Interesse: Was haben Buffer underruns mit Sicherheitslecks zu tun? Ich versuch das als nicht-C-Programmierer mal möglichst einfach zu erklären. [...] Und ich als (auch) C-Programmierer frage deshalb, weil Du hier Buffer *Overflows* meinst - Buffer *Underruns* treten im Allgemeinen im Zusammenhang mit CD-/DVD-Brennern auf und haben überhaupt nix mit Sicherheitslecks zu tun. Jan Nun ja, sicherlich ist das der bekannteste Bufferunderun. Buffer underrun ist aber auch , wenn ein Programm auf eine Speicheradresse zugreift, die es sich zwar reserviert hat, aber z.B. nicht mit 0 o.ä. initialisiert hat und in der momentan undefiniertes steht. Das kann zum Absturz des Programms führen oder zu anderem unerwartetem Verhalten. Das hat jetzt indirekt etwas mit sicherheitslecks zu tun, da, wenn man dieses Fehlverhalten z.B. einer Firewall kennt, man es vielleicht als Angreifer herbeiführen kann und schon stürzt die Firewall ab. In erster Linie habe ich das aber der vollständigkeit halber erwähnt, und wollte eigentlich nur sagen, das man als Programmierer auf beides achten muss, über- und unterläufe. __ Björn -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Tue, Jul 22, 2003 at 11:31:40PM +0200, Jan Trippler wrote: On Die, 22 Jul 2003 at 22:35 (+0200), Philipp Meier wrote: On Tue, Jul 22, 2003 at 09:52:46PM +0200, Jan Trippler wrote: On Die, 22 Jul 2003 at 20:48 (+0200), Björn Gaworski wrote: [...] Ja stimmt, die meisten solcher Bugs sind darauf zurückzuführen, das die Programmierer Buffer nicht rcihtig verwalten können, und es zu Overflows bzw. Underruns kommt. Und das obwohl die eigentlich wissen sollten, wie man es richtig macht. Nur mal so aus Interesse: Was haben Buffer underruns mit Sicherheitslecks zu tun? Ich versuch das als nicht-C-Programmierer mal möglichst einfach zu erklären. [...] Und ich als (auch) C-Programmierer frage deshalb, weil Du hier Buffer *Overflows* meinst - Buffer *Underruns* treten im Allgemeinen im Zusammenhang mit CD-/DVD-Brennern auf und haben überhaupt nix mit Sicherheitslecks zu tun. Buffer Underruns wurden von Björn erwähnt und nicht von mir ;-) Theoretisch ist es bestimmt möglich Buffer Underruns auf für exploits zu nutzen. Ich interpretieres Buffer Underrun mal als den Fall, daß in dem entsprechenden Bereich noch vorhandene Daten nicht gelöscht werden und sich somit somit mit den neuen Daten vermischen / sich anhängen und insofern diese verschmutzen. Keine Ahnung, ob sowas in der freien Wildbahn schonmal als exploit umgesetzt wurde. -billy. -- Meisterbohne Meisterbohne GbR, Küfner, Mekle, Meier Tel: +49-731-399 499-0 eLösungen Söflinger Straße 100 Fax: +49-731-399 499-9 89077 Ulm http://www.meisterbohne.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
* Michelle Konzack [EMAIL PROTECTED] wrote: Nutze seit 1999 Linux + FreeBSD wurde ebenfals noch nie gehackt, Hast Du nicht noch ein Betriebsystem vergessen? , | X-Mailer: QUALCOMM Windows Eudora Light Version 3.0.6 (16) ` :-) Gruß, Marcus -- Rafael: Wieviele Welten müssen noch brennen, bevor Du genug hast, Gabriel? - Gabriel: Nur noch eine. Diese. Ich bin nicht gierig. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Hallo, * Peter Schubert [EMAIL PROTECTED] [030720 21:25]: Dieter Franzke schrieb: Linux aber auch nicht ;-) Das dürfte kein System wegstecken. Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette ich meinen Hintern dagegen, dass danach auch nichts mehr geht. Hat hier funktioniert. Natürlich habe ich vorher einen entsprechenden neuen Kernel kompiliert (Sockel7 Board auf Athlon XP Board). Uli -- 'The box said, 'Requires Windows 95 or better', so I installed Linux - TKK 5 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
So, mir ist gerade aufgefallen, das ich wahrscheinlich die Emailadresse vom Einbrecher hab. Ich konnte nämlich vom Linuxrechner über sendmail nix versenden, weil ich das nicht konfiguriert hatte. Und jetzt steht im Syslog ne Fehlermeldung, dass eine Email an [EMAIL PROTECTED] nicht gesendet werden konnte, wegen irgendwelcher Domäneneinstellungen. Jetzt brauch ich mir nur noch überlegen, was ich dem blöden Idioten schreibe ;-) __ Björn Gaworski -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
On Mon, Jul 21, 2003 at 11:06:54AM +0200, Björn Gaworski wrote: So, mir ist gerade aufgefallen, das ich wahrscheinlich die Emailadresse vom Einbrecher hab. Ich konnte nämlich vom Linuxrechner über sendmail nix versenden, weil ich das nicht konfiguriert hatte. Und jetzt steht im Syslog ne Fehlermeldung, dass eine Email an [EMAIL PROTECTED] nicht gesendet werden konnte, wegen irgendwelcher Domäneneinstellungen. Schau dir mal den Inhalt der Mail an! Siehts evtl. nach Spam aus? Jetzt brauch ich mir nur noch überlegen, was ich dem blöden Idioten schreibe ;-) Falls es wirklich seine E-Mail Adresse ist, dann lass deiner Phantasie freien lauf ;-) __ Björn Gaworski gruss f -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Hi, Am Montag, 21. Juli 2003 10:27 schrieb Ulrich Wiederhold: Hallo, * Peter Schubert [EMAIL PROTECTED] [030720 21:25]: Dieter Franzke schrieb: Linux aber auch nicht ;-) Das dürfte kein System wegstecken. Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette ich meinen Hintern dagegen, dass danach auch nichts mehr geht. Hat hier funktioniert. Natürlich habe ich vorher einen entsprechenden neuen Kernel kompiliert (Sockel7 Board auf Athlon XP Board). fasse mal zusammen: wenn du einen modularen Kernel hast, der alle Treiber als module laden kann (z.B: die berüchtigten SuSE-Kernel, die aber wirklich auch alles mit sich rumschleppen...) und dazu noch mit ner knackigen initrd daherkommt, stehen deine Chancen ausgezeichnet Haste aber nen Eigenbau, angepasst an deine Hardware sieht's schlecht aus, dann wird's wohl definitiv nicht gehen. Unter Windows stehen die chancen mit älteren Versionen besser, da die neuen nicht intelligent genug sind zu merken, dass sie statt gar keinen ide-controller-treiber zu laden, nur den Standard-Treiber laden müssten Ist halt Windows, dumm und träge...:))) Dieter -- registered linuxuser 199810 publickey: http://www.eyenovation.de/people/franzke/franzke.asc TCPA keine Chance! --- http://www.againsttcpa.com/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
On 20.Jul 2003 - 20:17:36, Björn Gaworski wrote: neuinstallieren muss, was ich jetzt unter Linux tun muss. Ich hab generell noch nie neuinstalliert seit es Win2k gibt, außer ich hatte neue Hardware, das verkraftet Windows nicht, wenn man die Mainboards wechselt, ist halt pech. Also so pauschal kann man das ja nun nicht stehen lassen. Ich hab meinem PIII schonmal ein neues Motherboard spendiert und W2K hat nicht gemeckert. Allerdings war das auch nur ein Herstellerwechsel von Gigabyte zu Asus, wobei der Chipsatz derselbe geblieben ist. W98 hingegen hat nichtmal das verkraftet. Andreas -- Packungsaufschriften US-amerikanischer Produkte: Auf MARKS SPENCER BREAD PUDDING: Produkt wird nach dem Erwärmen heiß sein. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
On Mon, Jul 21, 2003 at 11:06:54AM +0200, Björn Gaworski wrote: So, mir ist gerade aufgefallen, das ich wahrscheinlich die Emailadresse vom Einbrecher hab. Ich konnte nämlich vom Linuxrechner über sendmail nix versenden, weil ich das nicht konfiguriert hatte. Und jetzt steht im Syslog ne Fehlermeldung, dass eine Email an [EMAIL PROTECTED] nicht gesendet werden konnte, wegen irgendwelcher Domäneneinstellungen. Schau dir mal den Inhalt der Mail an! Siehts evtl. nach Spam aus? Nein, da stehen verschiedene Daten über den Rechner, Größe der Festplatten, Anzahl und Namen der vorhandenen User, Uptime ... solche Dinge. Jetzt brauch ich mir nur noch überlegen, was ich dem blöden Idioten schreibe ;-) Falls es wirklich seine E-Mail Adresse ist, dann lass deiner Phantasie freien lauf ;-) Klar ;) __ Björn -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Björn Gaworski [EMAIL PROTECTED] schrieb: On Mon, Jul 21, 2003 at 11:06:54AM +0200, Björn Gaworski wrote: So, mir ist gerade aufgefallen, das ich wahrscheinlich die Emailadresse vom Einbrecher hab. Ich konnte nämlich vom Linuxrechner über sendmail nix versenden, weil ich das nicht konfiguriert hatte. Und jetzt steht im Syslog ne Fehlermeldung, dass eine Email an [EMAIL PROTECTED] nicht gesendet werden konnte, wegen irgendwelcher Domäneneinstellungen. Schau dir mal den Inhalt der Mail an! Siehts evtl. nach Spam aus? Nein, da stehen verschiedene Daten über den Rechner, Größe der Festplatten, Anzahl und Namen der vorhandenen User, Uptime ... solche Dinge. Das könnte auch den Herrn Staatsanwalt interessieren. Ich würde zwar nicht viel darauf geben, wenn der Typ in einem nicht-EU-Staat sitzt. Aber du kannst sie (eine geeignete Ermittlungsgruppe für Computerstraftaten, nicht unbedingt die örtliche Staatsanwaltschaft) ja mal fragen, ob sie Interesse haben. Gruß, Frank -- Frank Küster, Biozentrum der Univ. Basel Abt. Biophysikalische Chemie -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Frank Küster schrieb: Björn Gaworski [EMAIL PROTECTED] schrieb: On Mon, Jul 21, 2003 at 11:06:54AM +0200, Björn Gaworski wrote: So, mir ist gerade aufgefallen, das ich wahrscheinlich die Emailadresse vom Einbrecher hab. Ich konnte nämlich vom Linuxrechner über sendmail nix versenden, weil ich das nicht konfiguriert hatte. Und jetzt steht im Syslog ne Fehlermeldung, dass eine Email an [EMAIL PROTECTED] nicht gesendet werden konnte, wegen irgendwelcher Domäneneinstellungen. Schau dir mal den Inhalt der Mail an! Siehts evtl. nach Spam aus? Nein, da stehen verschiedene Daten über den Rechner, Größe der Festplatten, Anzahl und Namen der vorhandenen User, Uptime ... solche Dinge. das klingt ja wirklich wie Spionage !? Wenn es XP wäre, würde ich sagen, es ist der Statusbericht des Systems an Bill. Wenn ich schon @yahoo.com lese. Auf einigen mir bekannten Windows-Rechnern im kommerziellen Gebrauch (Arztpraxen u. Apotheken mit Web-Anbindung) sind solche Adressen längst zum Löschen auf dem Server eingestellt. @gmx.xx übrigens auch. Angeblich kamen aus diesem Winkel die meisten Mails mit Viren. Das könnte auch den Herrn Staatsanwalt interessieren. Ich würde zwar nicht viel darauf geben, wenn der Typ in einem nicht-EU-Staat sitzt. weshalb ist der weniger gefährlich ? wenn er sendmail konfiguriert hätte, wüsste der Typ jetzt, was er wissen wollte und das Web würden die EU-Grenzen wohl kaum kümmern. Gruss Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
[EMAIL PROTECTED] (Peter Schubert) schrieb: Frank Küster schrieb: Das könnte auch den Herrn Staatsanwalt interessieren. Ich würde zwar nicht viel darauf geben, wenn der Typ in einem nicht-EU-Staat sitzt. weshalb ist der weniger gefährlich ? Wer soll weniger gefährlich sein? Ich wollte doch nur sagen, dass die deutschen Behörden wenig Chancen (und daher auch wenig Lust) haben, den Eindringling/Spion zu verfolgen, wenn er von außerhalb der EU kommt. Über die Gefährlichkeit ist damit gar nichts gesagt. Gefährlich sind im übrigen auch nachlässig gewartete Rechner, die dann solchen Leuten eine Angriffsplattform bieten. Gruß, Frank -- Frank Küster, Biozentrum der Univ. Basel Abt. Biophysikalische Chemie -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Frank Küster schrieb: Gefährlich sind im übrigen auch nachlässig gewartete Rechner, die dann solchen Leuten eine Angriffsplattform bieten. Gruß, Frank absolut kein Widerspruch, nicht nur die Wartung. Bei einer Kundin wollte ich mal wissen, was sie sich denn da für eine komische Buchstabenfolge an den Schreibtisch geklebt hätte. Nichts weiter Schlimmes, nur das Passwort für die Datenbank :-D Gruss Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
On Mon, 2003-07-21 1:41:55 +0200, Peter Schubert wrote: das klingt ja wirklich wie Spionage !? Wenn es XP wäre, würde ich sagen, es ist der Statusbericht des Systems an Bill. Wenn ich schon @yahoo.com lese. Auf einigen mir bekannten Windows-Rechnern im kommerziellen Gebrauch (Arztpraxen u. Apotheken mit Web-Anbindung) sind solche Adressen längst zum Löschen auf dem Server eingestellt. @gmx.xx übrigens auch. Angeblich kamen aus diesem Winkel die meisten Mails mit Viren. Bei mir sind es so um die 8-15 Haustiere pro Woche... Das könnte auch den Herrn Staatsanwalt interessieren. Ich würde zwar nicht viel darauf geben, wenn der Typ in einem nicht-EU-Staat sitzt. weshalb ist der weniger gefährlich ? wenn er sendmail konfiguriert hätte, wüsste der Typ jetzt, was er wissen wollte und das Web würden die EU-Grenzen wohl kaum kümmern. Ich denke, das meinte er nicht... Wenn die Hacker ausserhalb der EU sitzen, sieht es mit der Zusammenarbit der Justizbehoerden grauenhaft aus... Gruss Peter Du Auch Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
On Mon, 21 Jul 2003, Björn Gaworski told this: Vermutlich hat der Einbrecher ein rootkit installiert, welches auch diverse Programme wie ps, ls und andere ersetzt. Da du nicht weißt, was da alles geändert wurde, ist die einzige Lösung, plattmachen und neu installieren. Man lernt nie aus, von Rootkits hab ich nämlich vorher noch nie was gehört, ist bis jetzt an mir vorbei gegangen, das es unter Linux ein solches Sicherheistproblem gibt. Software hat Fehler. Auch unter Linux. Wenn man so einen Fehler mal ausnützt, will man unter Umständen einen Zugang zum Rechner, auch wenn der Eigentümer die fehlerhafte Software, über die man eingebrochen ist, ersetzt hat. Für dieses Problem gibt es rootkits, welche eben einen Zugang zum Rechner sichern, und die Spuren verwischen. Zumindest im letzten Punkt hat sich der Einbrecher in deinem Fall etwas ungeschickt verhalten. PS: Stell bitte das HTML ab, es ist überflüssig. HTML? Ich sende als Nur-Text (Ich kenn die OE-News Probs) Die letzte Mail war mit text und html (multipart/alternative), diese ist OK. Das denke ich auch, mir gings darum die Daten zu sichern, ich werds mit Knoppix versuchen, die Platte mounten und dann die Daten übers Netz sichern Bevor du die Daten nutzt, kontrolliere nach, ob da was verändert wurde. Und den befallenen Rechner auf jeden Fall vom Internet fernhalten (bis zur Neuinstallation). bye Gerhard -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Am Sun, 20 Jul 2003 21:25:12 +0200 schrieb [EMAIL PROTECTED] (Peter Schubert) : Linux aber auch nicht ;-) Das dürfte kein System wegstecken. Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette ich meinen Hintern dagegen, dass danach auch nichts mehr geht. Peter Ist aber echt nicht nett so ohne Hintern. Nach umzug der Festplatte in neuen Rechner von 500MHz nach Ahtlon XP 1600 nur den Sound und die Netzwerkkarte geändert (ist jetzt halt auf dem Motherboard) sonst war nichts nötig. Gruß Arne -- The Proper way to handle HTML postings is to cancel the article, then hire a killer to kill the poster,his wife and kids,and fuck his dog and smash his computer into little bits.Anything more is just extremism pgp0.pgp Description: PGP signature
Einbruch in Rechner
Hallo, zuerst einmal stell ich mich kurz vor, da ich neu in der Liste bin. Mein Name ist Björn Gaworski, Informatikstudentundziemlich unwissend was Linux betrifft, da ich mich diesem Gebiet erst seit neuestem widme. Nun zu meinem Problem: Ich hab einen Linuxrechner, der auf alter Hardware läuft und Routingfunktionen in meinem Netzwerk übernimmt. Heute morgen stehe ich auf und der Router läuft nicht. Also melde ich mich dort an und sehe, das es einen User musti gibt. Ich hab den nicht angelegt und mir ist auch noch nicht klar, wie er auf den Rechner gekommen ist, da der root Account mit nem ziemlich komplizierten Passwort geschützt ist (Buchstaben-Zahlen-Sonderzeichen-Kombi) und es ansonsten nur einen normalen Benutzeraccount gibt, unter dem ich mich anmelde, wenn ich mal da ran muss. Als Serverdienst läuft eigentlich nur der normale Krams: named, dhcpd, ssh, mysql, apache, sambaund ddclient für die dyndns Aktualisierung. Dann stelle ich fest, dass eth0 nicht läuft (für das lokale Netzwerk, eth1 ist am DSL Modem angeschlossen). Ich tippe fröhlich ifconfig ein und bekomme bash: /sbin/ifconfig Datei oder Verzeichnis nicht gefunden Stimmt aber nicht ls /sbin/ifconfig zeigt mir das es da ist. Root ist der Owner und alle dürfen das Prog ausführen (x gesetzt). Nun nach einigem rumprobieren auch mit apt-get (re)install net-tools hab ich herausgefunden, das ich ifconfig und netstat nicht löschen umbenennen oder sonstwas machen darf. Ich hab anscheinend keine rechte darauf, obwohl ich als root angemeldet bin und mir die Eigenschaften der Dateien anzeigen, das root der Besitzer ist und alle Rechte hat? Wie kann das sein? Und vor allem wie bekomme ich mein System wieder zum laufen? Und was könnten mögliche Lücken sein, das jemand einen Account auf dem Rechner anlegt und so einen Mist baut? Ich steh vor einem Rätsel! __ Björn Gaworski
Re: Einbruch in Rechner
Am Son, 2003-07-20 um 12.29 schrieb Björn Gaworski: Ich hab einen Linuxrechner, der auf alter Hardware läuft und Routingfunktionen in meinem Netzwerk übernimmt. Dann stelle ich fest, dass eth0 nicht läuft (für das lokale Netzwerk, eth1 ist am DSL Modem angeschlossen). Ich tippe fröhlich ifconfig ein und bekomme bash: /sbin/ifconfig Datei oder Verzeichnis nicht gefunden Stimmt aber nicht ls /sbin/ifconfig zeigt mir das es da ist. Root ist der Owner und alle dürfen das Prog ausführen (x gesetzt). Nun nach einigem rumprobieren auch mit apt-get (re)install net-tools hab ich herausgefunden, das ich ifconfig und netstat nicht löschen umbenennen oder sonstwas machen darf. Ich hab anscheinend keine rechte darauf, obwohl ich als root angemeldet bin und mir die Eigenschaften der Dateien anzeigen, das root der Besitzer ist und alle Rechte hat? Hallo Bjoern, vermutlich duerfte es schrierig sein, alle Aenderungen, die ein Unbekannter vorgenommen hat, zu finden. Ich wuerde /var/log sichern, um irgendwann eventuell noch vorhandene Einbruchspuren nachvollziehen zu koennen. In der Regel wurden aber diese schon geloescht und /etc sichern, um Reste eigener Einstellungen ablesen und haendisch wieder eingeben zu koennen. Dann wuerde ich von CDs eine Neuinstallation machen und eine Firewall installieren. Ich benutze Shorewall um iptables zu konfigurieren. -- Werner Gruesse aus Egestorf in der Lueneburger Heide http://www.heidefewo.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Björn Gaworski wrote: Hallo, hi Wie kann das sein? Und vor allem wie bekomme ich mein System wieder zum laufen? Ich steh vor einem Rätsel! versuch mal chkrootkit: apt-get install chkrootkit; chkrootkit dies untersucht dein system nach rootkits. die ausgabe würde mich interessieren! evtl. kannst du daraus schlüsse ziehen. aber ich denke auch, dass du nicht darum kommst, dein system neu aufzusetzen. gruss eric -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Am 20. Juli 2003 schrieb Björn Gaworski: Wie kann das sein? Und vor allem wie bekomme ich mein System wieder zum laufen? chattr -AacDdijsSu /sbin/* /bin/* /usr/sbin/* /usr/bin/* und dann reinstallieren, aber damit wirst du nicht alles beheben. Und was könnten mögliche Lücken sein, das jemand einen Account auf dem Rechner anlegt und so einen Mist baut? altes samba vielleicht? -- Torsten Werner +49 162 3123004 [EMAIL PROTECTED] http://www.twerner42.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Fw: Einbruch in Rechner
Ich hab den rechner jetzt komplett vom Internet abgetrennt und komm deshalb mit apt-get nicht weiter. chkrootkit ist nicht installiert, also kann ich das leider nicht starten. Ich werd das System jetzt neu installieren. __ Björn Gaworski -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
* Björn Gaworski [EMAIL PROTECTED] [030720 13:44]: chkrootkit ist nicht installiert, also kann ich das leider nicht starten. Das ist auch durchaus sinnvoll so. Was nützt es dir einen rootkit-Finder installiert zu haben, wenn der, der ein rootkit installiert, auch gleich den rootkit-Finder austauschen kann? Ich werd das System jetzt neu installieren. Sofern du nicht offentsichtliches in den Logdateien gefunden hast, wirst du dann aber nicht herausfinden, wie dein System kompromitiert wurde, und es eigentlich nur eine Frage der Zeit, bis jemand die gleiche Lücke wieder ausnutzt. Yours sincerely Alexander -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Alexander Schmehl schrieb: * Björn Gaworski [EMAIL PROTECTED] [030720 13:44]: chkrootkit ist nicht installiert, also kann ich das leider nicht starten. Das ist auch durchaus sinnvoll so. Was nützt es dir einen rootkit-Finder installiert zu haben, wenn der, der ein rootkit installiert, auch gleich den rootkit-Finder austauschen kann? Ich werd das System jetzt neu installieren. Sofern du nicht offentsichtliches in den Logdateien gefunden hast, wirst du dann aber nicht herausfinden, wie dein System kompromitiert wurde, und es eigentlich nur eine Frage der Zeit, bis jemand die gleiche Lücke wieder ausnutzt. Yours sincerely Alexander -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Hallo Björn, mache auf jeden Fall erst mal ein dd-Image in ein File oder auf eine andere Platte. Dann kannst du in Ruhe austesten, und dein Original bleibt unverändert. Am besten nimmst du eine Knoppix CD und startest mit dem Boot-Parametern noswap, damit dein Swap-File nicht verändert wird. Dann kannst du mit dd die Platte auf eine andere kopieren. Ralf -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Ich werd das System jetzt neu installieren. Sofern du nicht offentsichtliches in den Logdateien gefunden hast, wirst du dann aber nicht herausfinden, wie dein System kompromitiert wurde, und es eigentlich nur eine Frage der Zeit, bis jemand die gleiche Lücke wieder ausnutzt. Yours sincerely Alexander mich würde mal als relativem Anfänger und glücklicherweise wahrscheinlich auch nocht nicht aus dem Internet Überfallenen interessieren: - woran merkt man eindeutig, dass man von jemanden aus dem Web beklaut wurde oder so ? Wo wird das angezeigt ? - kann man sich mit einem DSL- Router, von dem der Hersteller behauptet, er habe Firewall-Funktion (NETGEAR), als sicher zurücklehnen? Selbst habe ich da wenig eingestellt. Nur so ein Portscanner im WEB hat festgestellt, dass ich rundherum dicht wäre. - Wie kann man das überhaupt selbst so testen, dass man sich hundertprozentig drauf verlassen kann ? Reichen diese Online-Portscanner aus dem Internet ? Fragen über Fragen, aber dazu sind die Experten hier ja da, dass man sie ausdrückt, oder ? ;-) Gruss Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
* [EMAIL PROTECTED] (Peter Schubert) wrote: - woran merkt man eindeutig, dass man von jemanden aus dem Web beklaut wurde oder so ? Merkwürdiges Verhalten des Rechners bzw. regelmäßiges Durchsehen der relevanten Logdateien sollten erste Anlaufpunkte für Auffälligkeiten sein. Wo wird das angezeigt ? Logdateien, nicht erwartetes Verhalten/merkwürdige Rechte bzw. Größen von Systemdateien. - kann man sich mit einem DSL- Router, von dem der Hersteller behauptet, er habe Firewall-Funktion (NETGEAR), als sicher zurücklehnen? Nein, natürlich nicht. Selbst habe ich da wenig eingestellt. Nur so ein Portscanner im WEB hat festgestellt, dass ich rundherum dicht wäre. - Wie kann man das überhaupt selbst so testen, dass man sich hundertprozentig drauf verlassen kann ? Reichen diese Online-Portscanner aus dem Internet ? Einem Onlineportscanner traue ich nicht weiter, als ich ihn werfen kann. Sie liefern zu oft Falschaussagen. Schau Dir mal nessus oder nmap an. Fragen über Fragen, aber dazu sind die Experten hier ja da, dass man sie ausdrückt, oder ? ;-) Ich würde mich eher an die Newsgroup de.comp.security.firewall wenden. Gruß, Marcus -- Lungenzüge tief ins Leere keinen Klepper, keine Mähre wie der Springer im Spiel der Spiele Der Tod ist ein Dandy -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Achso, hatte ich vergessen zu erwähnen: die Logfiles sind alle gelöscht :( Ich find das eh fragwürdig, weil ich Woody installiert hab und nix besonderes verändert oder eingestellt hab. Alle Useraccounts sind durch Passwörter geschützt. Ansich hatte ich immer gedacht Linux wär dann sicher, jetzt bin ich auf jeden Fall ziemlich enttäuscht und 'freue' mich jetzt schon dadrauf alles neu zu installieren. Daten waren zum Glück keine drauf und die ganzen Configs aus /etc hab ich sowieso gesichert. Also kein Verlust. Aber ich will halt wissen, wie so etwas passieren kann. Aber so wie ich das sehe krieg ich das ohne die Logs eh nicht raus. __ Björn - Original Message - From: Alexander Schmehl [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Sunday, July 20, 2003 2:00 PM Subject: Re: Fw: Einbruch in Rechner * Björn Gaworski [EMAIL PROTECTED] [030720 13:44]: chkrootkit ist nicht installiert, also kann ich das leider nicht starten. Das ist auch durchaus sinnvoll so. Was nützt es dir einen rootkit-Finder installiert zu haben, wenn der, der ein rootkit installiert, auch gleich den rootkit-Finder austauschen kann? Ich werd das System jetzt neu installieren. Sofern du nicht offentsichtliches in den Logdateien gefunden hast, wirst du dann aber nicht herausfinden, wie dein System kompromitiert wurde, und es eigentlich nur eine Frage der Zeit, bis jemand die gleiche Lücke wieder ausnutzt. Yours sincerely Alexander -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Also es zu merken war nicht schwer: ich hatte nen fremden Useraccount in meinem System, die Netzwerkkarte zum lokalen Netz läuft nicht mehr und ich kann als root keine Netzwerkeinstellungen vornehmen. __ Björn - Original Message - From: Peter Schubert [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Sunday, July 20, 2003 3:28 PM Subject: Re: Fw: Einbruch in Rechner Ich werd das System jetzt neu installieren. Sofern du nicht offentsichtliches in den Logdateien gefunden hast, wirst du dann aber nicht herausfinden, wie dein System kompromitiert wurde, und es eigentlich nur eine Frage der Zeit, bis jemand die gleiche Lücke wieder ausnutzt. Yours sincerely Alexander mich würde mal als relativem Anfänger und glücklicherweise wahrscheinlich auch nocht nicht aus dem Internet Überfallenen interessieren: - woran merkt man eindeutig, dass man von jemanden aus dem Web beklaut wurde oder so ? Wo wird das angezeigt ? - kann man sich mit einem DSL- Router, von dem der Hersteller behauptet, er habe Firewall-Funktion (NETGEAR), als sicher zurücklehnen? Selbst habe ich da wenig eingestellt. Nur so ein Portscanner im WEB hat festgestellt, dass ich rundherum dicht wäre. - Wie kann man das überhaupt selbst so testen, dass man sich hundertprozentig drauf verlassen kann ? Reichen diese Online-Portscanner aus dem Internet ? Fragen über Fragen, aber dazu sind die Experten hier ja da, dass man sie ausdrückt, oder ? ;-) Gruss Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Bitte kein ToFu hier! Siehe http://www.oe-faq.de.vu/! * Björn Gaworski [EMAIL PROTECTED] wrote: Ich find das eh fragwürdig, weil ich Woody installiert hab und nix besonderes verändert oder eingestellt hab. Alle Useraccounts sind durch Woody zu installieren, reicht alleine nicht. Waren auch die aktuellsten Sicherheitsupdates drauf? Passwörter geschützt. Ansich hatte ich immer gedacht Linux wär dann sicher, Man muß nicht unbedingt Passwörter zu knacken, um eine Maschine zu kompromittieren. Schon mal von Remote Root Exploits gehört? Manches ist sicherer als anderes, aber _nichts_ ist 100% sicher. jetzt bin ich auf jeden Fall ziemlich enttäuscht und 'freue' mich jetzt schon dadrauf alles neu zu installieren. Gruß, Marcus -- Du kannst doch nicht Frauen und Kinder erschiessen! - Das ist leicht. Du darfst nur nicht so weit vorhalten! Hahahaha... Krieg ist die Hölle! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Marcus Frings schrieb: * [EMAIL PROTECTED] (Peter Schubert) wrote: - woran merkt man eindeutig, dass man von jemanden aus dem Web beklaut wurde oder so ? Merkwürdiges Verhalten des Rechners bzw. regelmäßiges Durchsehen der relevanten Logdateien sollten erste Anlaufpunkte für Auffälligkeiten sein. evtl. mal welche Dateien, wo ? /etc/xyz. Wo wird das angezeigt ? Logdateien, nicht erwartetes Verhalten/merkwürdige Rechte bzw. Größen von Systemdateien. im Verzeichnis /var/ ? Dort habe ich bemerkt, dass manchmal bis zu einem Gigabyte Masse drinnen war, die aber in der nächsten Sitzung wieder verschwunden war. Kann aber nicht genau sagen, wo. Ich würde mich eher an die Newsgroup de.comp.security.firewall wenden. das ist ein guter Hinweis, Danke. Ich hoffe nur, dass dort nicht nur Windows-User drin sind. Gruss Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Björn Gaworski schrieb: Also es zu merken war nicht schwer: ich hatte nen fremden Useraccount in meinem System, die Netzwerkkarte zum lokalen Netz läuft nicht mehr und ich kann als root keine Netzwerkeinstellungen vornehmen. __ Björn mal von der reinen menschlichen Logik her - dann muss der Einbrecher aber ein ziemlicher Idiot sein, wenn er noch einen eigenen und damit hausfremden User-Account hinterläßt. Hat das eventuell Linux nicht selbst angelegt und es war einer der vielen vielen Nutzer, die Linux namentlich vorhält? Also, ich dachte nur, wenn ich irgendwo in einen fremden Rechner reinkriechen würde, würde ich doch nicht noch einen Haufen Spuren hinterlassen. Aber wie gesagt, dass ist die naive logische Denkweise eines Anfängers. Hacker haben eventuell eine andere Logik ;-) Gruss Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Hallo Bjoern, Am 12:29 2003-07-20 +0200 hat Björn Gaworski geschrieben: Wie kann das sein? Und vor allem wie bekomme ich mein System wieder zum laufen? Und was könnten mögliche Lücken sein, das jemand einen Account auf dem Rechner anlegt und so einen Mist baut? Die einzige 100%ige Loesung:Neu installieren !!! Ich steh vor einem Rätsel! Danach HOWTO's ueber Firewaling lesen und es auch tun... Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org. +--+ | Michelle's Internet-ServiceInh. Michelle Konzack| | FunkLAN-Providerin | +--+ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Du plenkst. Bitte abstellen! [Plenken = Leerzeichen zwischen Wort und Satzzeichen einfügen] * [EMAIL PROTECTED] (Peter Schubert) wrote: Marcus Frings schrieb: * [EMAIL PROTECTED] (Peter Schubert) wrote: - woran merkt man eindeutig, dass man von jemanden aus dem Web beklaut wurde oder so ? Merkwürdiges Verhalten des Rechners bzw. regelmäßiges Durchsehen der relevanten Logdateien sollten erste Anlaufpunkte für Auffälligkeiten sein. evtl. mal welche Dateien, wo ? /etc/xyz. Schau Dir mal an, was alles so in /var/log/ herumfliegt. Wo wird das angezeigt ? Logdateien, nicht erwartetes Verhalten/merkwürdige Rechte bzw. Größen von Systemdateien. im Verzeichnis /var/ ? Kann überall sein. Bekannte Kandidaten sind aber eher /dev/, /(s)bin und /usr/(s)bin. Ich würde mich eher an die Newsgroup de.comp.security.firewall wenden. das ist ein guter Hinweis, Danke. Ich hoffe nur, dass dort nicht nur Windows-User drin sind. LOL! Danke, gesiggt! Du wirst Dich noch wundern, wenn Du die Gruppe liest. Gruß, Marcus -- Du kannst doch nicht Frauen und Kinder erschiessen! - Das ist leicht. Du darfst nur nicht so weit vorhalten! Hahahaha... Krieg ist die Hölle! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Sunday 20 July 2003 15:28, Peter Schubert wrote: Ich werd das System jetzt neu installieren. Sofern du nicht offentsichtliches in den Logdateien gefunden hast, wirst du dann aber nicht herausfinden, wie dein System kompromitiert wurde, und es eigentlich nur eine Frage der Zeit, bis jemand die gleiche Lücke wieder ausnutzt. Yours sincerely Alexander mich würde mal als relativem Anfänger und glücklicherweise wahrscheinlich auch nocht nicht aus dem Internet Überfallenen interessieren: - woran merkt man eindeutig, dass man von jemanden aus dem Web beklaut wurde oder so ? Im schlechtesten Fall gar nicht. Ich kenne da Beispiele in denen Firmen das erst gemerkt haben nachdem sie von aussen darauf aufmerksam gemacht wurden. Wo wird das angezeigt ? Wie schon gesagt erst mal nirgendwo. - kann man sich mit einem DSL- Router, von dem der Hersteller behauptet, er habe Firewall-Funktion (NETGEAR), als sicher zurücklehnen? Selbst habe ich da wenig eingestellt. Nur so ein Portscanner im WEB hat festgestellt, dass ich rundherum dicht wäre. Es ist eine irrige Annahme zu glauben durch eine Firewall hätte man alle Probleme vom Hals. Netzwerk-Sicherheit ist kein Gegenstand wie ein Schloss oder wie die Hersteller solcher Geräte zum Teil anpreisen, eine Black Box an der ominöse Lichter blinken und die ab und zu mal zu schweren sakralen Klängen ein wenig gespenstischen Rauch von sich gibt. Netzwerk-Sicherheit ist ein ständiger Prozess eine Umgebung auf dem aktuellen Stand der Zeit zu halten - Wie kann man das überhaupt selbst so testen, dass man sich hundertprozentig drauf verlassen kann ? Reichen diese Online-Portscanner aus dem Internet ? Für jemanden der sich von zu Hause ins Internet einwählt ist das erst einmal schon ein Weg um zu erkennen ob irgendwelche Dienste, über die Ports, nach aussen hin angeboten werden die da nichts zu suchen haben. http://scan.sygatetech.com/ ist da nicht schlecht. Auf einer Maschine auf der keine Dienste nach aussen angeboten werden könnte man sogar auf eine Firewall verzichten. Fragen über Fragen, aber dazu sind die Experten hier ja da, dass man sie ausdrückt, oder ? ;-) Ich kann ein Buch aus dem dpunkt-Verlag dazu empfehlen: Linux Sicherheit von Tobias Klein. Mit annähernd 1000 Seiten recht umfangreich und auf deutsch. Tschüss, Thomas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
* Michelle Konzack [EMAIL PROTECTED] wrote: Danach HOWTO's ueber Firewaling lesen und es auch tun... Und was soll das bringen, wenn der mit Absicht nach außen angebotene Dienst exploitable ist? Gruß, Marcus -- Tu aus das Licht, tu aus. Doch ist erst dein Licht ausgetan, nie find ich den Prometheusfunken wieder. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
* Björn Gaworski [EMAIL PROTECTED] [030720 15:43]: Ich find das eh fragwürdig, weil ich Woody installiert hab und nix besonderes verändert oder eingestellt hab. Alle Useraccounts sind durch Passwörter geschützt. Ansich hatte ich immer gedacht Linux wär dann sicher, jetzt bin ich auf jeden Fall ziemlich enttäuscht und 'freue' mich jetzt schon dadrauf alles neu zu installieren. Linux ist so sicher, wie der Administrator es einstellt. Also kein Verlust. Aber ich will halt wissen, wie so etwas passieren kann. Klartext-Protokolle benutzt? Nicht die aktuellen Sicherheits-Updates eingespielt? Schlecht gepflegte Backports eingespielt? Aber so wie ich das sehe krieg ich das ohne die Logs eh nicht raus. Wahrscheinlich nicht, aber ich verweise mal auf die Debian Security Manual http://www.debian.org/doc/manuals/securing-debian-howto/ (bzw. die nicht ganz aktuelle Übersetzung unter http://www.cs.uni-frankfurt.de/~schmehl/securing-debian/ ). Yours sincerely Alexander -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
* Michelle Konzack [EMAIL PROTECTED] [030720 15:16]: Wie kann das sein? Und vor allem wie bekomme ich mein System wieder zum laufen? Und was könnten mögliche Lücken sein, das jemand einen Account auf dem Rechner anlegt und so einen Mist baut? Die einzige 100%ige Loesung:Neu installieren !!! Nein, das ist mit Sicherheit eine schlechte Lösung. Er hat es einmal geschafft, ein System aufzusetzen, dass exploitable war, wenn er es wieder so macht, ist wird es das mit allerhöchster Wahrscheinlichkeit wieder sein. Ich steh vor einem Rätsel! Danach HOWTO's ueber Firewaling lesen und es auch tun... Das ist lediglich der letzte Schritt. Bevor man sich mit Firewalls beschäfftigt, sollte man sich erstmal allgemeiner um seinen Rechner kümmern: Welche Dienste muss ich nach aussen und nach innen anbieten? Wie konfiguriere ich sie so? Wie dekativiere ich nicht gewollte Dienste? etc. pp. Yours sincerely Alexander -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Sun, Jul 20, 2003 at 04:06:18PM +0200, Peter Schubert wrote: Björn Gaworski schrieb: Also es zu merken war nicht schwer: ich hatte nen fremden Useraccount in meinem System, die Netzwerkkarte zum lokalen Netz läuft nicht mehr und ich kann als root keine Netzwerkeinstellungen vornehmen. __ Björn mal von der reinen menschlichen Logik her - dann muss der Einbrecher aber ein ziemlicher Idiot sein, wenn er noch einen eigenen und damit hausfremden User-Account hinterläßt. Hat das eventuell Linux nicht selbst angelegt und es war einer der vielen vielen Nutzer, die Linux namentlich vorhält? Ich hörte noch nie davon, daß das System einen Systemuser musti hat. Also, ich dachte nur, wenn ich irgendwo in einen fremden Rechner reinkriechen würde, würde ich doch nicht noch einen Haufen Spuren hinterlassen. Aber wie gesagt, dass ist die naive logische Denkweise eines Anfängers. Hacker haben eventuell eine andere Logik ;-) Soweit ich das hier mitbekommen habe, war das weder Hacker noch Cracker sondern einfach irgendein Hirni, der keinen blassen Schimmer hatte. Das einzig inetressante an der Geschichte ist herauszufinden _wie_ er ins System gekommen ist. Dabei sollte man sich folgendes im Hinterkopf behalten: - Der Typ ist ein Dilletant - Er hat mit sicherheit nicht irgendeine neue Lücke gefunden, sondern was bewährtes genutzt. - Höchstwahrscheinlich was altbewährtes. Die Auswahl dürfte nicht allzugroß sein. Gruss Peter gruss f -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Alexander Schmehl schrieb: Das ist lediglich der letzte Schritt. Bevor man sich mit Firewalls beschäfftigt, sollte man sich erstmal allgemeiner um seinen Rechner kümmern: Welche Dienste muss ich nach aussen und nach innen anbieten? Wie konfiguriere ich sie so? Wie dekativiere ich nicht gewollte Dienste? etc. pp. Yours sincerely Alexander wenn ich so mitlese, als reiner privater Workstation-Quäler, der lediglich ins WEB selbst und allein reingeht - könnte ich nicht rigoros *ALLE* Dienste nach aussen dicht machen ? - ich habe hier drei Computer an einem DSL-Router Netgear 614v2 hängen, gilt der Router für die Computer als irgendein Dienst ? Dann würde ich nämlich mal nachsehen wollen, bei Brunner Linux-Security steht ja ne Menge drin, wie mans macht, dann würde ich bei allen drei Computern *ALLE* Dienste nach aussen unterbinden wollen, so welche offen sind. Macht so etwas Sinn ? Gruss Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Frank Lorenzen schrieb: Soweit ich das hier mitbekommen habe, war das weder Hacker noch Cracker sondern einfach irgendein Hirni, der keinen blassen Schimmer hatte. Das einzig inetressante an der Geschichte ist herauszufinden _wie_ er ins System gekommen ist. Dabei sollte man sich folgendes im Hinterkopf behalten: - Der Typ ist ein Dilletant - Er hat mit sicherheit nicht irgendeine neue Lücke gefunden, sondern was bewährtes genutzt. - Höchstwahrscheinlich was altbewährtes. *Altbewährtes ? da müssten ja die Expis ruckzuck drauf kommen ? Die Auswahl dürfte nicht allzugroß sein. und wie sieht es damit aus, dass es Zufall war, dass er in das besagte System hineinfiel... ? Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Sun, Jul 20, 2003 at 03:43:43PM +0200, Björn Gaworski wrote: Achso, hatte ich vergessen zu erwähnen: die Logfiles sind alle gelöscht :( Ich find das eh fragwürdig, weil ich Woody installiert hab und nix besonderes verändert oder eingestellt hab. Alle Useraccounts sind durch Passwörter geschützt. Ansich hatte ich immer gedacht Linux wär dann sicher, Falsch gedacht. Es gibt keine größere Lüge als Linux ist per Default sicher. Vorzugsweise werden solche Märchen von einschlägiger Fach- und Lachliteratur sowie von allzu eifrigen Predigern des wahren Glaubens (Kicher, Gacker, lach, *ROTFL*) verbreitet. Stets im Hinterkopf behalten: *) Sicherheit ist ein Prozess, kein Zustand. *) Dieser Prozess erreicht _nie_ _nie_ _niemalsnicht_ 100% Ich bin übrigens der Meinung, daß (Netzwerktechnisch) ein Linux-Rechner in unkundigen Händen mehr Schaden anrichten kann als eine Win-Büchse in kundigen Händen. Im speziellen bei Debian sollte man auf folgendes Achten: Die Release-Zyklen sind bei Debian relativ groß. Auch die sub-Releases, also 3.0r0, 3.0r1, usw., lassen sich meist viel Zeit. Deshalb ist es _unumgänglich_ security.debian.org mit in die apt-quellen einzubeziehen. In durch Marketing vorangetriebenen Distributionszyklen fällt das nicht so sehr ins Gewicht, da, sofern man immer updated, öfter frische und damit meist auch fehlerbereinigte Software ins System kommt. Das dabei auch immer mal wieder neue Fehler ins System kommen sollte man aber auch niucht vergessen. Die Security Updates von Debian stellen hierzu einen Goldenen Mittelweg da. Hier werden bewußt auch in neue Upstream Versionen eingearbeitete Fixes auf die Version in Stable backgeported. Und selbst hierbei schleichen sich gelegentlich Fehler ein; Ich kann mich da an einen Fix erinner, der 1 Tag später gleich wieder gefixt wurde. Ein guter und meist auch sehrhilfreicher Tip ist folgender: *) Jeder laufende Service sollte nur an die Interfaces gebunden werden, auf denen er auch gebraucht wird. Damit hast du schon mal viel gewonnen. Ein Apache der ein bischen Intranet macht muß nicht von Außen erreichbar sein. Damit hast Du gleichzeitig eventuelle Apache-Exploits _von Außen_ abgewehrt. Sollte jemand von innen einen Angriff fahren bringt die das natürlich nix. jetzt bin ich auf jeden Fall ziemlich enttäuscht und 'freue' mich jetzt schon dadrauf alles neu zu installieren. Das solltest Du auf _jeden_ Fall tun. Mach aber bitte nicht den Fehler die Kiste wieder ganz genauso aufzusetzen, den ndann: Gewinn = 0 Daten waren zum Glück keine drauf und die ganzen Configs aus /etc hab ich sowieso gesichert. Also kein Verlust. Aber ich will halt wissen, wie so etwas passieren kann. Aber so wie ich das sehe krieg ich das ohne die Logs eh nicht raus. Ein Loghost regelt gelegentlich. __ Björn gruss f -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Sun, Jul 20, 2003 at 06:34:59PM +0200, Peter Schubert wrote: [...] *Altbewährtes ? da müssten ja die Expis ruckzuck drauf kommen ? Nun, im Unix/linux Bereich geht es zum Glück noch nicht so schlimm zu wie mit diesen rasend schnellen Würmern unter Windows. Aber im prinzip hast du recht. Es gibt einige ready-to-use Exploits/Rootkits. Wenn man solche konsequent einsetzt (wenn viele das einsetzen) wird sicher auch der Hilfe ich wurde gerootet Aufschrei lauter werden. [...] und wie sieht es damit aus, dass es Zufall war, dass er in das besagte System hineinfiel... ? u Ich gehe sogar davon aus, daß es zufall war das er in _dein_ System rein ist. Er hat nur nicht per Zufall eine Lücke gefunden. Peter gruss f -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Sun, Jul 20, 2003 at 06:49:12PM +0200, Frank Lorenzen wrote: [...] Snip Axo, fast hätt ichs vergessen. Hilfreich könnte sein, wenn du auf dem kompromittierten Rechner mal ein dpkg -l laufen lässt und die Ausgabe hier postest. Daraus könnte man zumindest mal schließen, ob es an alter, anfälliger Software lag, oder doch was ganz anderes war. Ich gehe nicht davon aus, daß der Angreifer die Paketdatenbank verändert hat um seine Einbruchsstelle zu verschleiern, obwohl das zugegebenermaßen mal eine nette Idee wäre ;-) gruss f -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Ich werde demnächst mal ein dpkg -l hier reinposten, wenn ich es hinbekommen habe zu dem rechner wieder eine netzwerkverbindung herzustellen, ich hab vergessen welche IP Adresse ich der Internetnetzwerkkarte gegeben hab, und ich kann leider nicht mehr nachschauen, da alle Netzwerktools von mir aus nicht gestartet werden können. Mittlerweile habe ich einen Verdacht wie er auf meinen Rechner aufmerksam geworden ist. Punkt 1: Der Typ ist dämmlich und benutzt fertige Kiddie-Tools Punkt 2: Ich bin dämlich, denn ich denke Samba läuft, wenn man es nicht verhindert als Standard auf allen NICs, oder? Dann hatte ich nämlich ne schöne Windowsfreigabe nach außen und es gibt ja wirklich genug Windowsfreigaben-Portscanner. So denke ich mal, ist das abgelaufen. Dann hat der sich wohl ein Rootkit besorgt und ein bischen rumgespielt. __ Björn P.S. dpkg -l folgt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Hallo, * Björn Gaworski [EMAIL PROTECTED] [030720 15:43]: Ich find das eh fragwürdig, weil ich Woody installiert hab und nix besonderes verändert oder eingestellt hab. Alle Useraccounts sind durch Passwörter geschützt. Ansich hatte ich immer gedacht Linux wär dann sicher, jetzt bin ich auf jeden Fall ziemlich enttäuscht und 'freue' mich jetzt schon dadrauf alles neu zu installieren. Linux ist so sicher, wie der Administrator es einstellt. Ich dachte immer Linux Standard Policy ist verbiete alles! Ich habe es bestimmt nicht so eingerichtet, das jeder sich auf meiner Linuxkiste sich einen Account einrichten darf ;) (...) Aber so wie ich das sehe krieg ich das ohne die Logs eh nicht raus. Wahrscheinlich nicht, aber ich verweise mal auf die Debian Security Manual http://www.debian.org/doc/manuals/securing-debian-howto/ (bzw. die nicht ganz aktuelle Übersetzung unter http://www.cs.uni-frankfurt.de/~schmehl/securing-debian/ ). Yours sincerely Alexander Danke Björn -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
am Sun, dem 20.07.2003, um 19:16:27 +0200 mailte Björn Gaworski folgendes: Punkt 2: Ich bin dämlich, denn ich denke Samba läuft, wenn man es nicht verhindert als Standard auf allen NICs, oder? Dann hatte ich nämlich ne Ja, aber man kann es zwingen. Allerdings IMHO nicht den nmbd, aber da bin ich mir nicht ganz sicher. Den smbd aber definitiv. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) pgp0.pgp Description: PGP signature
Re: Fw: Einbruch in Rechner
Wer Lust hat kann das unten nochmal alles lesen, mein Kommentar dazu: Linux sicher zu halten ist wohl viel komplizierter, als ich es mir vorgestellt habe. Ist ja ein Fulltimejob ;) Mal sehen ob ich dazu noch zeit hab, ansonsten geh ich halt nie mehr ins Internet *lüg* __ Björn - Original Message - From: Frank Lorenzen [EMAIL PROTECTED] To: DEBIAN DE [EMAIL PROTECTED] Sent: Sunday, July 20, 2003 6:40 PM Subject: Re: Fw: Einbruch in Rechner On Sun, Jul 20, 2003 at 03:43:43PM +0200, Björn Gaworski wrote: Achso, hatte ich vergessen zu erwähnen: die Logfiles sind alle gelöscht :( Ich find das eh fragwürdig, weil ich Woody installiert hab und nix besonderes verändert oder eingestellt hab. Alle Useraccounts sind durch Passwörter geschützt. Ansich hatte ich immer gedacht Linux wär dann sicher, Falsch gedacht. Es gibt keine größere Lüge als Linux ist per Default sicher. Vorzugsweise werden solche Märchen von einschlägiger Fach- und Lachliteratur sowie von allzu eifrigen Predigern des wahren Glaubens (Kicher, Gacker, lach, *ROTFL*) verbreitet. Stets im Hinterkopf behalten: *) Sicherheit ist ein Prozess, kein Zustand. *) Dieser Prozess erreicht _nie_ _nie_ _niemalsnicht_ 100% Ich bin übrigens der Meinung, daß (Netzwerktechnisch) ein Linux-Rechner in unkundigen Händen mehr Schaden anrichten kann als eine Win-Büchse in kundigen Händen. Im speziellen bei Debian sollte man auf folgendes Achten: Die Release-Zyklen sind bei Debian relativ groß. Auch die sub-Releases, also 3.0r0, 3.0r1, usw., lassen sich meist viel Zeit. Deshalb ist es _unumgänglich_ security.debian.org mit in die apt-quellen einzubeziehen. In durch Marketing vorangetriebenen Distributionszyklen fällt das nicht so sehr ins Gewicht, da, sofern man immer updated, öfter frische und damit meist auch fehlerbereinigte Software ins System kommt. Das dabei auch immer mal wieder neue Fehler ins System kommen sollte man aber auch niucht vergessen. Die Security Updates von Debian stellen hierzu einen Goldenen Mittelweg da. Hier werden bewußt auch in neue Upstream Versionen eingearbeitete Fixes auf die Version in Stable backgeported. Und selbst hierbei schleichen sich gelegentlich Fehler ein; Ich kann mich da an einen Fix erinner, der 1 Tag später gleich wieder gefixt wurde. Ein guter und meist auch sehrhilfreicher Tip ist folgender: *) Jeder laufende Service sollte nur an die Interfaces gebunden werden, auf denen er auch gebraucht wird. Damit hast du schon mal viel gewonnen. Ein Apache der ein bischen Intranet macht muß nicht von Außen erreichbar sein. Damit hast Du gleichzeitig eventuelle Apache-Exploits _von Außen_ abgewehrt. Sollte jemand von innen einen Angriff fahren bringt die das natürlich nix. jetzt bin ich auf jeden Fall ziemlich enttäuscht und 'freue' mich jetzt schon dadrauf alles neu zu installieren. Das solltest Du auf _jeden_ Fall tun. Mach aber bitte nicht den Fehler die Kiste wieder ganz genauso aufzusetzen, den ndann: Gewinn = 0 Daten waren zum Glück keine drauf und die ganzen Configs aus /etc hab ich sowieso gesichert. Also kein Verlust. Aber ich will halt wissen, wie so etwas passieren kann. Aber so wie ich das sehe krieg ich das ohne die Logs eh nicht raus. Ein Loghost regelt gelegentlich. __ Björn gruss f -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Danach HOWTO's ueber Firewaling lesen und es auch tun... Michelle Ich hab soviele Howtos gelesen und meine iptables schon korrekt eingestellt. Es waren nur die Ports offen, die benötigt waren. Alles andere wurde abgewiesen, was soll man noch mehr machen? __ Björn -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
am Sun, dem 20.07.2003, um 19:24:22 +0200 mailte Björn Gaworski folgendes: Linux ist so sicher, wie der Administrator es einstellt. Ich dachte immer Linux Standard Policy ist verbiete alles! Ich habe es Nein, das ist von Distri zu Distri schon unterschiedlich. Was IMHO default zu 100% sicher ist: KNOPPIX. Da lauscht nix nach außen. Ein Debian, als 'normaler UNIX-Server' installiert, hat schon einige Ports nach außen auf. Ich weiß nicht, wie sich original-debian-SAMBA verhält. Als Admin muß man das halt prüfen, wenn ich in $FIRMA eine Kiste irgendwo ans Internet lasse, mache ich generell und sofort zur Kontrolle einen Portscan von außen auf die Kiste. Auch sollte man das regelmäßig prüfen, manchmal gibt es $KOLLEGEN, die meinen, auf einem Portfilter/iptables später mal noch eben schnell Webmin installieren zu müssen... Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) pgp0.pgp Description: PGP signature
Re: Einbruch in Rechner
Ich wollte es so einrichten, das nach außen hin nur SSH und der Apache zu erreichen sind. Außerdem hab ich den Port 21 und 5000-5050 (für ICQ) an nen anderen Rechner weitergeleitet. So hab ich das dann auch gemacht. Wie schon weiter oben zu gegeben und von jemand anderem vermutet, denke ich mal das es irgendwie mit Samba zu tun haben muss, weil der als einziger nicht gewollter Serverdienst nach außen lief. Den Rest kann ich nicht blocken, den brauch ich. __ Björn Alexander Schmehl schrieb: Das ist lediglich der letzte Schritt. Bevor man sich mit Firewalls beschäfftigt, sollte man sich erstmal allgemeiner um seinen Rechner kümmern: Welche Dienste muss ich nach aussen und nach innen anbieten? Wie konfiguriere ich sie so? Wie dekativiere ich nicht gewollte Dienste? etc. pp. Yours sincerely Alexander wenn ich so mitlese, als reiner privater Workstation-Quäler, der lediglich ins WEB selbst und allein reingeht - könnte ich nicht rigoros *ALLE* Dienste nach aussen dicht machen ? - ich habe hier drei Computer an einem DSL-Router Netgear 614v2 hängen, gilt der Router für die Computer als irgendein Dienst ? Dann würde ich nämlich mal nachsehen wollen, bei Brunner Linux-Security steht ja ne Menge drin, wie mans macht, dann würde ich bei allen drei Computern *ALLE* Dienste nach aussen unterbinden wollen, so welche offen sind. Macht so etwas Sinn ? Gruss Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Sun, Jul 20, 2003 at 07:26:57PM +0200, Björn Gaworski wrote: Wer Lust hat kann das unten nochmal alles lesen, mein Kommentar dazu: Linux sicher zu halten ist wohl viel komplizierter, als ich es mir vorgestellt habe. Ist ja ein Fulltimejob ;) Mal sehen ob ich dazu noch zeit Ganz in Gegenteil. Ich wollte keine Angst schüren oder so, ich habe nur versucht, zugegeben ein wenig wortreich, darzustellen, daß ein Rechner nicht durch das Aufspielen von Linux sicher wird. Bei Debian Stable ist das mit der SSecurity wirkliches easy-going: Due solltest eine Handvoll (wirklich nur _eine_ Handvoll) Regeln beim konfigurieren beachten. Du solltest die Updates von security.debian.org benutzen und einfach 1mal am Tag, sofern du auch an diesem Tag ins Internet gehst per apt-get bzw. dselect verfügbare Updates einspielen. Das ist wirklich Kindergeburtstag: apt-get update; apt-get upgrade oder mit dselect update ausführen, select, Leertaste, Schauen was er updaten will, Return, Install ausführen. Das wars. Damit hälst Du dein Sytstem aktuell. Im gegesatz dazu, mußt du dir bei anderen Unices/Linuxen erstmal deine Updates zusammensuchen. Das machen Debian und die Security-Maintainer alles für dich. Du mußt es nur nutzen und von Hand anstoßen. Und selbst daß kann man automatisieren. hab, ansonsten geh ich halt nie mehr ins Internet *lüg* Hihi. Alles halb so wild. *KEINE PANIK* Ich wollte dich nur aus einer eventuellen Traumwelt Linux ist sicher herausstoßen. DAS ist nämlich das Gefährliche. Tu ein wenig aktives für die Sicherheit deiner Rechner. Es ist bei Debian gar nicht schwer. Björn gruss f -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Hi, Am Sonntag, 20. Juli 2003 19:28 schrieb Björn Gaworski: Ich hab soviele Howtos gelesen und meine iptables schon korrekt eingestellt. Es waren nur die Ports offen, die benötigt waren. Alles andere wurde abgewiesen, was soll man noch mehr machen? ..das hilft gegen sog. exploits wenig. ZB: samba oder apache. Alte versionen haben da Sicherheitslücken. Man sollte wenn man solche Dienste nach außen offen hat immer die aktuellen security-fixes einspielen. Immer schön verfolgen... Altes samba oder Apache: wenn du die Dienste anbietest hilft dir auch die beste Firewall nichts. Über die exploits kann man in der Regel rootrechte erlangen und schon ist geschehen... Also: immer auf dem laufenden bleiben. Oder man hat das windows-feeling: öfter mal neu installieren Dieter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Hi, Am Sonntag, 20. Juli 2003 18:31 schrieb Peter Schubert: .. wenn ich so mitlese, als reiner privater Workstation-Quäler, der lediglich ins WEB selbst und allein reingeht - könnte ich nicht rigoros *ALLE* Dienste nach aussen dicht machen ? ja - ich habe hier drei Computer an einem DSL-Router Netgear 614v2 hängen, gilt der Router für die Computer als irgendein Dienst ? nein, aber läuft irgendwas auf dem router?? Dann würde ich nämlich mal nachsehen wollen, bei Brunner Linux-Security steht ja ne Menge drin, wie mans macht, dann würde ich bei allen drei Computern *ALLE* Dienste nach aussen unterbinden wollen, so welche offen sind. Sofern du von aussen nicht auf deine Rechner zugreifen willst, kannst du die Dienste, die du intern brauchst auf deine internen Interfaces binden. Dieter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Also: immer auf dem laufenden bleiben. Oder man hat das windows-feeling: öfter mal neu installieren Dieter Ich möchte jetzt nicht die öde Lawine lostreten, was besser ist, nur hab ich vor Linux (ich benutz es seit nem halben jahr) Windows als Routing-OS gehabt und benutz Windows auch so als Workstation. Ich wurde noch nie gehackt. Und schon gar nicht so, das ich neuinstallieren muss, was ich jetzt unter Linux tun muss. Ich hab generell noch nie neuinstalliert seit es Win2k gibt, außer ich hatte neue Hardware, das verkraftet Windows nicht, wenn man die Mainboards wechselt, ist halt pech. __ Björn -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Hi, Am Sonntag, 20. Juli 2003 20:17 schrieb Björn Gaworski: .. Ich möchte jetzt nicht die öde Lawine lostreten, was besser ist, nur hab ich vor Linux (ich benutz es seit nem halben jahr) Windows als Routing-OS gehabt und benutz Windows auch so als Workstation. Ich wurde noch nie gehackt. ..purer Zufall, Glück gehabt oder nicht gemerkt... Und schon gar nicht so, das ich neuinstallieren muss, was ich jetzt unter Linux tun muss. Ich hab generell noch nie neuinstalliert seit es Win2k gibt, außer ich hatte neue Hardware, das verkraftet Windows nicht, wenn man die Mainboards wechselt, ist halt pech. ich nutze seit 1996 nur Linux und BSD und wurde auch noch nicht gehackt, hatte noch nie Viren.. Dieter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Dieter Franzke schrieb: Und schon gar nicht so, das ich neuinstallieren muss, was ich jetzt unter Linux tun muss. Ich hab generell noch nie neuinstalliert seit es Win2k gibt, außer ich hatte neue Hardware, das verkraftet Windows nicht, wenn man die Mainboards wechselt, ist halt pech. Linux aber auch nicht ;-) Das dürfte kein System wegstecken. Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette ich meinen Hintern dagegen, dass danach auch nichts mehr geht. Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Hallo! Peter Schubert [EMAIL PROTECTED] schrieb: Linux aber auch nicht ;-) Das dürfte kein System wegstecken. Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette ich meinen Hintern dagegen, dass danach auch nichts mehr geht. offtopic Habe mal eine Festplatte von einem P II System auf einem AMD 800 angesteckt, ausser dpkg-reconfigure xserver-xfree86 war nichts nötig :) OS war Debian GNU/Linux Woody mit bf24 IIRC. /offtopic Ciao, Steve -- www.cargal.org GnuPG-key-ID: 0x051422A0 Be the change you want to see in the world-Mahatma Gandhi Jabber-ID: [EMAIL PROTECTED] pgp0.pgp Description: PGP signature
Re: Einbruch in Rechner
Hi, Am Sonntag, 20. Juli 2003 21:25 schrieb Peter Schubert: Dieter Franzke schrieb: Und schon gar nicht so, das ich neuinstallieren muss, was ich jetzt unter Linux tun muss. Ich hab generell noch nie neuinstalliert seit es Win2k gibt, außer ich hatte neue Hardware, das verkraftet Windows nicht, wenn man die Mainboards wechselt, ist halt pech. Linux aber auch nicht ;-) Das dürfte kein System wegstecken. Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette ich meinen Hintern dagegen, dass danach auch nichts mehr geht. ..hat bei mir schon öfter funktioniert Dieter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Am Son, 2003-07-20 um 21.25 schrieb Peter Schubert: Linux aber auch nicht ;-) Das dürfte kein System wegstecken. Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette ich meinen Hintern dagegen, dass danach auch nichts mehr geht. Warum sollte es nicht gehen? Solange der Kernel generisch genug konfiguriert ist (und das sind die Standard-Kernel), gibt es ueberhaupt keine Probleme damit. Evtl. muss die X-Konfiguration angepasst werden, aber sonst? Peter -- bye Lukas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Stephan Dietl schrieb: Hallo! Peter Schubert [EMAIL PROTECTED] schrieb: Linux aber auch nicht ;-) Das dürfte kein System wegstecken. Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette ich meinen Hintern dagegen, dass danach auch nichts mehr geht. offtopic Habe mal eine Festplatte von einem P II System auf einem AMD 800 angesteckt, ausser dpkg-reconfigure xserver-xfree86 war nichts nötig :) OS war Debian GNU/Linux Woody mit bf24 IIRC. /offtopic na aber, eine Festplatte ist kein Motherboard. Festplatte ist was völlig anderes, es gibt ja schließlich in verschiedenen Unternehmen auch für verschiedene User eigene Wechselfestplatten. Ich habe hier eine Festplatte mit einem kompletten System in der Hinterhand, da erwarte ich, dass das funktioniert, wenn ich die mal brauche. Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Dieter Franzke schrieb: - ich habe hier drei Computer an einem DSL-Router Netgear 614v2 hängen, gilt der Router für die Computer als irgendein Dienst ? nein, aber läuft irgendwas auf dem router?? wie meinst Du das ?? Ich habe das Gerät rangehängt, meinen Einwahllogin eingegeben und das wars. Was heißt - läuft irgendwas ? Was kann da z.B. laufen auf dem router ? Möglichkeiten wären: webserver (viele lassen sich über nen webbrowser konfigurieren), dhcp-server, nameserver... DHCP-Server !? Kann das sein, die Computer sind alle über DHCP eingerichtet. Also doch ein Unsicherheitsfaktor? Lt. Manual war das aber erforderlich. Ich glaube, ich nehme mir das Manual nochmal her. Jetzt kommt mir doch etwas Unsicherheit auf... Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Hi, Am Sonntag, 20. Juli 2003 21:58 schrieb Peter Schubert: Stephan Dietl schrieb: Hallo! Peter Schubert [EMAIL PROTECTED] schrieb: Linux aber auch nicht ;-) Das dürfte kein System wegstecken. Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette ich meinen Hintern dagegen, dass danach auch nichts mehr geht. offtopic Habe mal eine Festplatte von einem P II System auf einem AMD 800 angesteckt, ausser dpkg-reconfigure xserver-xfree86 war nichts nötig :) OS war Debian GNU/Linux Woody mit bf24 IIRC. /offtopic na aber, eine Festplatte ist kein Motherboard. Festplatte ist was völlig anderes, es gibt ja schließlich in verschiedenen Unternehmen auch für verschiedene User eigene Wechselfestplatten. Ich habe hier eine Festplatte mit einem kompletten System in der Hinterhand, da erwarte ich, dass das funktioniert, wenn ich die mal brauche. mal langsam: wenn er die Festplatte in einen anderen Rechner steckt hat das System doch ein anderes Motherbord... oder sehe ich da was falsch? Dieter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Hi, Am Sonntag, 20. Juli 2003 22:02 schrieb Peter Schubert: Dieter Franzke schrieb: - ich habe hier drei Computer an einem DSL-Router Netgear 614v2 hängen, gilt der Router für die Computer als irgendein Dienst ? nein, aber läuft irgendwas auf dem router?? wie meinst Du das ?? Ich habe das Gerät rangehängt, meinen Einwahllogin eingegeben und das wars. Was heißt - läuft irgendwas ? Was kann da z.B. laufen auf dem router ? Möglichkeiten wären: webserver (viele lassen sich über nen webbrowser konfigurieren), dhcp-server, nameserver... DHCP-Server !? Kann das sein, die Computer sind alle über DHCP eingerichtet. Also doch ein Unsicherheitsfaktor? Lt. Manual war das aber erforderlich. Ich glaube, ich nehme mir das Manual nochmal her. Jetzt kommt mir doch etwas Unsicherheit auf... meine mail (PM) richtig lesen: gefährlich nur dann, wenn diese Dienste auch nach aussen angeboten werden Sofern die nur intern laufen ist alles okay.. Dieter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
ich nutze seit 1996 nur Linux und BSD und wurde auch noch nicht gehackt, hatte noch nie Viren.. Dieterhehe, natürlich! so mein ich das ja auch nicht. das sind so oder so beschränkte sichtweisen. das kann einem mit jedem betriebssystempassieren, denn nix ist 100% sicher, niemals.Wie sagt mein Prof noch immer: "In jedem programmierten Stück Software ist mindestens ein Fehler."Also auch in dem Patch :D__Björn
Re: Einbruch in Rechner
Hallo! PeterSchubert [EMAIL PROTECTED] schrieb: na aber, eine Festplatte ist kein Motherboard. Festplatte ist was völlig anderes, es gibt ja schließlich in verschiedenen Unternehmen auch für verschiedene User eigene Wechselfestplatten. Ich habe hier eine Festplatte mit einem kompletten System in der Hinterhand, da erwarte ich, dass das funktioniert, wenn ich die mal brauche. Lies bitte mein Posting nochmal *genau* durch,danke. Ciao, Steve -- www.cargal.org GnuPG-key-ID: 0x051422A0 Be the change you want to see in the world-Mahatma Gandhi Jabber-ID: [EMAIL PROTECTED] pgp0.pgp Description: PGP signature
Re: Einbruch in Rechner
Dieter Franzke schrieb: Und schon gar nicht so, das ich neuinstallieren muss, was ich jetzt unter Linux tun muss. Ich hab generell noch nie neuinstalliert seit es Win2k gibt, außer ich hatte neue Hardware, das verkraftet Windows nicht, wenn man die Mainboards wechselt, ist halt pech. Linux aber auch nicht ;-) Das dürfte kein System wegstecken. Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette ich meinen Hintern dagegen, dass danach auch nichts mehr geht. Peter Naja, wenn wir ehrlich sind, würde man vor dem tauschen alle neuen Treiber installieren, die nach dem Wechsel benötigt werden, wirds laufen. Zwar nicht besonders toll, also eher mies, aber es würd booten. Hab ich schon gemacht, funktioniert ;) __ Björn -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Stephan Dietl schrieb: Hallo! Peter Schubert [EMAIL PROTECTED] schrieb: Linux aber auch nicht ;-) Das dürfte kein System wegstecken. Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette ich meinen Hintern dagegen, dass danach auch nichts mehr geht. offtopic Habe mal eine Festplatte von einem P II System auf einem AMD 800 angesteckt, ausser dpkg-reconfigure xserver-xfree86 war nichts nötig :) OS war Debian GNU/Linux Woody mit bf24 IIRC. /offtopic na aber, eine Festplatte ist kein Motherboard. Festplatte ist was völlig anderes, es gibt ja schließlich in verschiedenen Unternehmen auch für verschiedene User eigene Wechselfestplatten. Ich habe hier eine Festplatte mit einem kompletten System in der Hinterhand, da erwarte ich, dass das funktioniert, wenn ich die mal brauche. Peter Hihi, lies mal genau: er meinte er hat eine Platte, die in einem PII lief, in einen AMD800 gesteckt. Also er hat nicht nur das Mainboard gewechselt, sondern praktisch den ganzen Rechner, nur aus der Persepektive der Platte :) Hab aber auch zuerst das selbe verstanden, wie du. __ Björn -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Dieter Franzke schrieb: na aber, eine Festplatte ist kein Motherboard. Festplatte ist was völlig anderes, es gibt ja schließlich in verschiedenen Unternehmen auch für verschiedene User eigene Wechselfestplatten. Ich habe hier eine Festplatte mit einem kompletten System in der Hinterhand, da erwarte ich, dass das funktioniert, wenn ich die mal brauche. mal langsam: wenn er die Festplatte in einen anderen Rechner steckt hat das System doch ein anderes Motherbord... oder sehe ich da was falsch? nja, nein und ja, das System auf der Wechselplatte ist natürlich vorher in dem gleichen Rechner erstellt worden und liegt als Reserve im Schrank, oder bei dem Unternehmensbeispiel sind die Festplatten alle mit ein und dem gleichen System erstellt worden. Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Dieter Franzke schrieb: Hi, Am Sonntag, 20. Juli 2003 22:02 schrieb Peter Schubert: Dieter Franzke schrieb: - ich habe hier drei Computer an einem DSL-Router Netgear 614v2 hängen, gilt der Router für die Computer als irgendein Dienst ? nein, aber läuft irgendwas auf dem router?? wie meinst Du das ?? Ich habe das Gerät rangehängt, meinen Einwahllogin eingegeben und das wars. Was heißt - läuft irgendwas ? Was kann da z.B. laufen auf dem router ? Möglichkeiten wären: webserver (viele lassen sich über nen webbrowser konfigurieren), dhcp-server, nameserver... DHCP-Server !? Kann das sein, die Computer sind alle über DHCP eingerichtet. Also doch ein Unsicherheitsfaktor? Lt. Manual war das aber erforderlich. Ich glaube, ich nehme mir das Manual nochmal her. Jetzt kommt mir doch etwas Unsicherheit auf... meine mail (PM) richtig lesen: gefährlich nur dann, wenn diese Dienste auch nach aussen angeboten werden Sofern die nur intern laufen ist alles okay.. o.k. das klingt gut, danke, nach außen geht nichts, d.h. wird nichts angeboten Gruss Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Hallo Björn, Am 20. Juli 2003 schrieb Björn Gaworski: Punkt 2: Ich bin dämlich, denn ich denke Samba läuft, wenn man es nicht verhindert als Standard auf allen NICs, oder? Dann hatte ich nämlich ne schöne Windowsfreigabe nach außen und es gibt ja wirklich genug Windowsfreigaben-Portscanner. Aha, das hatte ich schon in meiner ersten Mail vermutet. Ein gut bekanntes Problem, das sowohl in stable, aber noch viel länger in testing existiert hat. Ergo: Sicherheitspatches einspielen und auch die anderen hier gegebenen Tipps beachten! Torsten -- Torsten Werner +49 162 3123004 [EMAIL PROTECTED] http://www.twerner42.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Hallo Peter, On Sun, Jul 20, 2003 at 09:25:12PM +0200, Peter Schubert wrote: Dieter Franzke schrieb: Und schon gar nicht so, das ich neuinstallieren muss, was ich jetzt unter Linux tun muss. Ich hab generell noch nie neuinstalliert seit es Win2k gibt, außer ich hatte neue Hardware, das verkraftet Windows nicht, wenn man die Mainboards wechselt, ist halt pech. Linux aber auch nicht ;-) Das dürfte kein System wegstecken. Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette ich meinen Hintern dagegen, dass danach auch nichts mehr geht. DX-2/80 (MB?) - Asus P5A - DFI-K6XV3+/66 - Elitegroup K7S5A - Gigabyte GA-7DXR Eine Neuinstallation war aber nie nötig (Erstinstallation '98). OK, nach dem letzten MB-Wechsel konnte ich X wg. fehlender Chipsatz-Unterstützung für drm nicht mehr starten. Nach 10-15 Minuten lief aber wieder alles, außer das kürzlich wg. LabVIEW installierte W2K. Was solls, LabVIEW gibts ja auch für Linux. Deinen Hintern darfst Du behalten. ;-) Gruß, Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
On Sun, 20 Jul 2003, Björn Gaworski told this: Wie kann das sein? Und vor allem wie bekomme ich mein System wieder zum laufen? Und was könnten mögliche Lücken sein, das jemand einen Account auf dem Rechner anlegt und so einen Mist baut? Vermutlich hat der Einbrecher ein rootkit installiert, welches auch diverse Programme wie ps, ls und andere ersetzt. Da du nicht weißt, was da alles geändert wurde, ist die einzige Lösung, plattmachen und neu installieren. In Zukunft danach auch debian-security[1] lesen, damit du rechtzeitig mitkriegst, wenn es Sicherheitslücken gibt und diese stopfen kannst, *bevor* sie ausgenutzt werden. Insbesondere dann wenn du Dienste im Internet anbietest. bye Gerhard PS: Stell bitte das HTML ab, es ist überflüssig. PPS: Zum plattmachen und neuinstallieren gibt es keine Alternative. PPPS: Wenn du den Kram analysieren willst, kannst du vorher ein Backup, von einem sauberen System aus (zB. Knoppix von CD),ziehen. Footnotes: [1] oder eine andere Quelle über die man von Sicherheitslecks erfahren kann. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Vermutlich hat der Einbrecher ein rootkit installiert, welches auch diverse Programme wie ps, ls und andere ersetzt. Da du nicht weißt, was da alles geändert wurde, ist die einzige Lösung, plattmachen und neu installieren. Man lernt nie aus, von Rootkits hab ich nämlich vorher noch nie was gehört, ist bis jetzt an mir vorbei gegangen, das es unter Linux ein solches Sicherheistproblem gibt. In Zukunft danach auch debian-security[1] lesen, damit du rechtzeitig mitkriegst, wenn es Sicherheitslücken gibt und diese stopfen kannst, *bevor* sie ausgenutzt werden. Insbesondere dann wenn du Dienste im Internet anbietest. Debian nutze ich seit 4 oder 5 Wochen, da ich jetzt weiß, das es debian-security gibt werd ich das natürlich machen. PS: Stell bitte das HTML ab, es ist überflüssig. HTML? Ich sende als Nur-Text (Ich kenn die OE-News Probs) PPS: Zum plattmachen und neuinstallieren gibt es keine Alternative. Das denke ich auch, mir gings darum die Daten zu sichern, ich werds mit Knoppix versuchen, die Platte mounten und dann die Daten übers Netz sichern Vielen Dank für den Security Link __ Björn -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Am 19:24 2003-07-20 +0200 hat =?iso-8859-15?Q?Bj=F6rn_Gaworski?= geschrieben: Hallo, * Björn Gaworski [EMAIL PROTECTED] [030720 15:43]: Linux ist so sicher, wie der Administrator es einstellt. Ich dachte immer Linux Standard Policy ist verbiete alles! Ich habe es bestimmt nicht so eingerichtet, das jeder sich auf meiner Linuxkiste sich einen Account einrichten darf ;) ??? Das ist BSD-Philosofphie !!! Da installierste FreeBSD und nichts geht ;-)) Da kannste dir dann erst mal die kanzen Ports zusammensuchen, die de brauchst und dann freigeben... Bei mir laufen nur noch zwei Rechnuer unter FreeBSD weils einfach zu nervig ist. Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org. +--+ | Michelle's Internet-ServiceInh. Michelle Konzack| | FunkLAN-Providerin | +--+ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Hallo Dieter, Am 20:32 2003-07-20 +0200 hat Dieter Franzke geschrieben: ich nutze seit 1996 nur Linux und BSD und wurde auch noch nicht gehackt, hatte noch nie Viren.. Nutze seit 1999 Linux + FreeBSD wurde ebenfals noch nie gehackt, habe mittlerweile eine Sammlung von mehr als 8000 verschiederner Vieren als Collection auf dem Computer und einmal hatte ich Probleme mit der franzoesischen Justiz wegen einem 'offenem' INCOMING Verzeichnis auf meinem proftpd... Sprich, da hat jemand Kinderpornos abgelegt, von seinen Kunden saugen lassen und nach 24 Stunden wieder geloescht... Hatte tonnen weise Logdateien, aber nichts auf dem FTP-Server !!! Schoene gruesse Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org. +--+ | Michelle's Internet-ServiceInh. Michelle Konzack| | FunkLAN-Providerin | +--+ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einbruch in Rechner
Am 21:25 2003-07-20 +0200 hat Peter Schubert geschrieben: Dieter Franzke schrieb: Und schon gar nicht so, das ich neuinstallieren muss, was ich jetzt unter Linux tun muss. Ich hab generell noch nie neuinstalliert seit es Win2k gibt, außer ich hatte neue Hardware, das verkraftet Windows nicht, wenn man die Mainboards wechselt, ist halt pech. Linux aber auch nicht ;-) Das dürfte kein System wegstecken. Wechsle mal bei SuSE oder hier bei Woody ein Motherboard. Da verwette ich meinen Hintern dagegen, dass danach auch nichts mehr geht. Interessant ! Ich habe drei Workstationen verscheidener Leistungsklassen (P 200MMX, Duron 500 und Athlon 1400) somit auch drei verschiedene Mainboards. Nun verwende ich IDE-Racks um die Festplatten zu wechseln, sprich andere OS auszuprobieren oder die Distries unter einer anderen Performance zu testen. Habe noch nie Probleme beim Wechseln der Mainboards gehabt. Ich gehe mal davon aus, das Du in Deiner lilo.conf irgendwelche exotischen HD Parameter angegeben hast... Meine IBM IC35L120AV lauft sogar auf einem ECS UM8810P-AIO (v2.0), sprich auf einem 486dx4/100. Der Kontoller schaft ja unter DOS/Win nur 8,4 GByte... Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org. +--+ | Michelle's Internet-ServiceInh. Michelle Konzack| | FunkLAN-Providerin | +--+ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)