On Thu, 4 Mar 1999, Stefan Lindecke wrote:
> Ich hatte heute einen Angriff mit popper und jener "Mensch" hat mir
> geholfen mein home-Verzeichnis aufzuraeumen, indem er es mit allen
> usern drin geloescht hat.
Ein Cracker wird sich schlecht damit begn�gen, Dein Homeverzeichnis aufzu-
r�umen. Ich m�chte eher tippen, da� zum Beispiel jemand Dein Passwort mit-
bekommen hat.
> Das interressante ist, das er eine IP genommen hat, die unserem Chef der
> DVZ gehoert und auf seinem Rechner laeuft 98. Also gehe ich davon aus,
> das er mit seiner IP von einem anderen Rechner diesen Angriff gemacht
> hat.
Liegt es im Bereich des M�glichen, da� sich - gegebenenfalls unter anderem
- Dein Chef durch eine eventuell deinerseits vorhandene Linuxmanie
veranla�t gef�hlt hat, Dir mal den Kopf zu waschen?
> Die einzigen Eintragungen in der /var/log/messages sind :
>
> Mar 4 11:45:53 pc2080 popper[10465]: connect from 193.175.112.33
> Mar 4 11:45:53 pc2080 wu.ftpd[10464]: connect from 193.175.112.33
> Mar 4 11:45:53 pc2080 popper[10465]: error: cannot execute
> /usr/sbin/popper: No such file or directory
>
> Obwohl popper bei mir installiert ist, hat er es geschafft auf meinen
> Rechner zu kommen, mit meinem Namen. Hab ich per last gelesen. Auf den
> Console 8.
�ber das Netzwerk auf Deinen Rechner auf Console 8!? Dann w�rde ich es f�r
wahrscheinlicher halten, da� Du Dich dort eingeloggt und vergessen hast,
Dich wieder auszuloggen, was jemand ausgenutzt hat.
> Ich habe die neuesten Patches von Suse am Anfang der Woche installiert.
> Trotz Firewall (ipfadm) hat er dies geschafft.
Womit wir wieder beim Thema "Eine Firewall nutzt nicht, wenn man sonst
keine Ahnung davon hat" w�ren...
Die Daemons, die installiert sind, m�ssen sicher sein. IP-Filter begrenzen
nur den Zugriff auf Dienste des Rechners. Hinter den Ports, die offen
sind, mu� Software sitzen, die keine unerw�nschten Aktionen zul��t.
> WIE!
Sind wir Hellseher? Aus diesen Schnippseln sollen wir das sehen!?
Ich glaube nicht, da� jemand "eingebrochen" ist. Ich glaube, jemand hat
einen offengelassenen Login f�r einen "Streich" mi�braucht.
> Ich bin ohne Ende sauer, da extrem wichtige Dateien dabei waren.
B�ser b�ser Cracker... ;)
> Das letzte Backup habe ich zwar erst gestern gemacht, aber
> trotzalledem ist der Arbeitsaufwand extrem.
Extrem? Wa sist daran "extrem", Teile eines Tar-Archivs zur�ckzuspielen?
> Gibt es Tools die sich bemerkbar machen, wenn ein popper-angriff kommt
> und evt. die eth0 dicht macht, fuer einige Zeit ?
TCP-Wrapper konfigurieren? Logsurfer?
Henning
--
... My pants just went on a wild rampage through a Long Island Bowling
Alley!!
--
Um aus der Liste ausgetragen zu werden, eine Mail an [EMAIL PROTECTED]
schicken, mit dem Text: unsubscribe suse-linux
