Hatte im Dezember einen Hackereinbruch, bei dem mir 2 Linux-PC
nahezu komplett geloescht wurden.
Der Einbruch geschah mit groesster Wahrscheinlichkeit ueber einen
Buffer-Overflow im NFS-Server-Dienst. Zu diesem Zeitpunkt waren auf
beiden PC's SuSe 5.3 und Kernel 2.0.35 installiert. Leider habe ich
erst dann mal beim CERT nachgeschaut und festgestellt, dass der Bug
schon mehrere Monate existiert...
In der Zwischenzeit wurde auf beiden PC's SuSE 6.0 und Kernel 2.0.36
(Original-CD) installiert (komplett neu, also Platte neu formattiert).
(NFS, finger etc und andere kritische Sachen sind deaktiert).
Leider finde ich nirgends Hinweise, welche NFS-Version den Bug mit
dem Buffer-Overflow hat (hatte).
Ich brauche von Zeit zu Zeit NFS-Zugriffe auf diese beiden Rechner.
Es waere dann natuerlich hilfreich zu wissen, ob das NFS noch fuer
Angriffe offen ist.
Kann mir jemand sagen, ob die SuSE 6.0, bzw. das dortige NFS den Bug
nicht mehr hat. Wie kann ich feststellen, welche Version ich habe.
SuSe hat fuer NFS kein eigenes Programme, sondern verpackt dies in
den Netkit. Auf der Suse habe ich nichts darueber gefunden.
BTW:
Es scheint so, als ob viele "Moechtegern-Cracker" versuchen, Systeme
zum Absturz zu bringen, oder Angriffe zu taetigen. Ich bekomme JEDEN
Tag mehrere Log-Eintraege wie diese hier: (check alle 15 min mit
Logcheck V1.1).
Unusual System Events
=-=-=-=-=-=-=-=-=-=-=
Feb 12 05:12:12 cygnus kernel: Warning: possible SYN flood from
207.168.147.95 on 212.28.142.34:80. Sending cookies.
Das ist zwar mit dem Kernel 2.0.36 und dem Feature "IP: syn cookies" in
der Kategorie "Network Options" dicht zu machen. Der Kernel reagiert
dann darauf einfach nur, indem er es der Log-Datei meldet.
Aber das nervt auf Dauer....!!
--------------------------------------------------------------------
Ueli Maurer [EMAIL PROTECTED]
Husacherweg 325 Tel:++41 56 450 2788
CH-5224 Unterbözberg Fax:++41 56 450 2784
--------------------------------------------------------------------
--
Um aus der Liste ausgetragen zu werden, eine Mail an [EMAIL PROTECTED]
schicken, mit dem Text: unsubscribe suse-linux
