hallo Liste,
diesen Eintrag fand ich heute in meinem messages:
Feb 16 19:10:27 bkrouter kernel: Warning: possible SYN flood from
193.15.190.148 on 194.77.43.66:11
1. Sending cookies.
Feb 16 19:10:31 bkrouter mountd[175]: Unauthorized access by NFS client
193.15.190.148.
Feb 16 19:10:31 bkrouter mountd[175]: [truncated] Blocked attempt of
193.15.190.148 to mount ^P^P^P
^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^
Feb 17 04:58:45 bkrouter sshd[13436]: log: Generating 768 bit RSA key.
Feb 17 04:58:46 bkrouter popper[13437]: connect from [EMAIL PROTECTED]
Feb 17 04:58:51 bkrouter sshd[13436]: log: RSA key generation complete.
Feb 17 04:58:51 bkrouter sshd[13436]: log: Connection from 193.15.190.148
port 4656
Feb 17 04:58:51 bkrouter sshd[13436]: log: Could not reverse map address
193.15.190.148.
Feb 17 04:58:51 bkrouter sshd[13436]: fatal: Did not receive ident string.
Feb 17 04:59:47 bkrouter sshd[13438]: log: Generating 768 bit RSA key.
Feb 17 04:59:52 bkrouter sshd[13438]: log: RSA key generation complete.
Feb 17 04:59:52 bkrouter sshd[13438]: log: Connection from 204.247.248.254
port
1023
Feb 17 05:00:14 bkrouter sshd[13438]: log: ROOT LOGIN as 'moof' from
shell1.ncal.verio.com
nun zu meinen Fragen:
wie konnte es dazu kommen, er hat es ja nun anscheinend geschafft auf einem
offenen sunrpc-port irgendeinen Scheiss (cookie) abzusetzen. Ist es wirklich
so einfach den Port zu hacken,
hat er es nun geschafft per nfs die platte zu mounten ? weil leider
verlieren sich einige Stunden des Logfiles in undefinierbaren Zeichen. was
auch noch beachtenswert ist, ein anderer schafft es daraufhin sofort ueber
ssh und dem root(?)passwd gleich zugriff auf die Kiste zu bekommen. mal
abgesehen davon das er sich gleich mal als User angelegt hat und dabei noch
nebenbei die etc, dev und lib-verzeichnisse geloescht hat.
ratlos, ich weiss,das der Rechner nicht hundertprozentig sicher war (ssh +
rpc), aber das es dann doch anscheinend so einfach sein sollte ??? es ist
uebrigends eine Suse 5.3
wie vervaehrt man jetzt weiter? Ich habe jedenfalls vor morgen die beiden
Provider ueber den die Sache lief anzuschreiben, aber ob das was bringt ...
kann ich im nachhinein noch feststellen, ob auf dem Server irgendwelche
Datein veraendert wurden?
interessiert auf Feedback wartend ...
bis morgen dann
-thomas
--
Um aus der Liste ausgetragen zu werden, eine Mail an [EMAIL PROTECTED]
schicken, mit dem Text: unsubscribe suse-linux
