Hoe kom ik er achter welk programma achter welke port zit?

/etc/services staan toch al je poorten gelist, inclusief de "standaard" gebruikende progs..

Met 'netstat -l' kun je zien op welke poorten er geluisterd wordt.

Misschien ook een goed idee om chrootkit te draaien!

linux: lsof|grep <process>
freebsd: sockstat -4l

Verwijderd schreef op 19 oktober 2002 @ 00:57:
[Linux]
Ben net gehacked. Nu heb ik eigenlijk geen zin om het hele systeem opnieuw te configureren. [...]

Dom. Een gehackt systeem is niet te vertrouwen.

Je zult het dus toch sowieso opnieuw moeten installeren.

De kans is groot dat je het procesnummer dat bij die poort hoort niet eens kunt zien met 'ps' of 'top', omdat als een systeem gehackt wordt deze tools doorgaans vervangen worden door versies die de processen van de rootkit zelf niet laten zien.

Daarom: reinstallen die bak.

Zoals Wilke al zei reinstallen die machine.

Probeer in het vervolg de security update's voor jouw distrobutie een beetje bij te houden, zodat dit niet meer voorkomt. Je kan hier maar beter van leren.

Zie daar...net wat ik zei.

t0rn is behoorlijk oud, dus als je daarmee binnen kon komen was die bak echt niet al te best (eufemisme) bijgehouden qua security updates schat ik

Het vervelende blijft dat wat t0rn doet prima beschreven is - dus dat kun je ook wel weer omdraaien. Maar nadat je bak geroot is kan er van alles opgezet zijn door degene die 'm geroot heeft. Vandaar dat je eigenlijk toch maar 1 optie hebt

Procedure schrijven om dit te voorkomen. Ik zelf zou naar de locatie toe gaan. Een tripwire-like tool in het vervolg gebruiken.

Nog effe voor het record HOE ben je gehacked?

en wat voor distro had je draaien?

x-force schreef op 19 oktober 2002 @ 17:41:
Nog effe voor het record HOE ben je gehacked?

waarom zou je dat willen weten? dat is toch niet relevant? de topicstarter weet nu dat het niet volstaat om alleen eventueel geopende porten te sluiten. Noodzaak is echt dat de bak gereinstalled word.
als je wilt leren hacken, werkt dat niet op deze manier

ontopic: topicstarter, in het vervolg kan ik het volgende aanraden:
1) installeer nessus, om zo je eigen netwerk (local + remote) te testen.
2) installeer een IDS (bijvoorbeeld SNORT) die dit soort narigheid voorkomt.

Hij is geroot met t0rn, een rootkit....hij is dus gehackt door iemand die ongeveer cool genoeg was om het volgende te kunnen intypen:

'./t0rn <ip-adres>' of iets van die vorm.

Zo makkelijk gaat dat, als je vulnerable bent voor ouwe rootkits. Elke randdebiel kan zo een box rooten.

Als je wil weten hoe t0rn werkt, moet je maar ff op internet gaan zoeken ofzo, ik zou het ook niet precies weten.

Wilke schreef op 19 oktober 2002 @ 22:03:
Hij is geroot met t0rn, een rootkit....hij is dus gehackt door iemand die ongeveer cool genoeg was om het volgende te kunnen intypen:

'./t0rn <ip-adres>' of iets van die vorm.

Zo makkelijk gaat dat, als je vulnerable bent voor ouwe rootkits. Elke randdebiel kan zo een box rooten.

Als je wil weten hoe t0rn werkt, moet je maar ff op internet gaan zoeken ofzo, ik zou het ook niet precies weten.

just for the record.... gebruik je een rootkit niet nadat je root bent geworden op een andere manier... Rootkit is alleen om jezelf (de boosdoener) te verbergen, en zijn processen en aanpassingen te verbergen.

Verwijderd schreef op 20 oktober 2002 @ 11:08:
[...]


just for the record.... gebruik je een rootkit niet nadat je root bent geworden op een andere manier... Rootkit is alleen om jezelf (de boosdoener) te verbergen, en zijn processen en aanpassingen te verbergen.

Juist, dat wilde ik net zeggen. Een rootkit is niks meer dan een groot (meestal) bashscript wat automatisch je sporen uitwist, binaries vervangt en een backdoor installeert. Neemt niet wat dat een gemiddelde scriptkid met 2 programma's je bak cracked. Exploit + rootkit = weer een DDOS client erbij