[Linux] ik denk dat m'n computer gehacked is. Wat nu? - Privacy en beveiliging

woensdag 28 juli 2004 09:07

Acties:

Topicstarter

hoi,
gisteravond om 20:27 is iemand er in geslaagd om via china mijn ftpserver te openen.
dat denk ik tenminste want in messages staat dit :

code:

1	Jul 27 20:31:33 bazielamd vsftpd: Tue Jul 27 20:31:33 2004 [pid 28056] CONNECT: Client "211.92.133.91"

whois 211.92.133.91 geeft iets in china.

de enige die toegang heeft tot die ftp ben ik.
en ik was gewoon thuis en niet aan het ftp'en.

nou is dat niet helemaal de bedoeling maar ook niet zo erg.
Het is de machine bij mij thuis maar dus heb ik ftp uitgezet en mijn wachtwoord veranderd.

die ftp nam geen anonymous aan. alleen user/wachtwoord en maar 1 user (baziel)
met een lastig wachtwoord dus ik dacht dat ik wel safe zat.

ik kan zonder ftp voorlopig, maar ik wil toch graag weten wat er gebeurd is, en wat ze gedaan hebben.

kunnen jullie helpen?

ik heb nog al wat logs beschikbaar staan op
http://baziel.projectspace.nl
als je meer of andere wilt zien zeg je het maar.
het is Suse 9.1 vandaar NOS, maar moderator als dit naar beveiliging moet is dat ook best.

bedankt!

Baziel

woensdag 28 juli 2004 09:10

Acties:

Tovenaar

Alle updates voor je systeem regelen... (Volgens mij kan dat in Suse met YasT)

[ Voor 80% gewijzigd door Tovenaar op 28-07-2004 09:11 ]

woensdag 28 juli 2004 09:11

Acties:

Verwijderd

tja misschien heeft hij gewoon een sniffer op je los gelaten en zo het account achterhaald.

[ Voor 41% gewijzigd door Verwijderd op 28-07-2004 09:12 ]

woensdag 28 juli 2004 09:15

Acties:

BoAC

Memento mori

Hij connect alleen maar dat is toch geen probleem? Als tie maar niet inlogt oid

woensdag 28 juli 2004 09:25

Acties:

mvds

Totally awesome!

Als je de enige bent die gebruik mag maken van je FTP server kan je beginnen met iig alle ip ranges buiten NL blocken. En anders alleen jouw IP's toestaan om te connecten. Beetje lastig als je vaak van (externe) IP wisseld, maar je moet er wat voor over hebben...

woensdag 28 juli 2004 09:25

Acties:

Verwijderd

Ik denk dat ie gewoon een portscan heeft gedaan op de IP Range waar jij zit.
FTP accepteert dan de verbinding, krijgt foute login toegestuurd en sluit netjes de verbinding af.

woensdag 28 juli 2004 09:25

Acties:

SysRq

Er is niemand ingelogd hoor

Een connect betekent alleen dat de verbinding naar de ftp-server opgezet is. De inlogprocedure moet dan nog komen.

code:

1 2	Jul 27 20:31:33 bazielamd vsftpd: Tue Jul 27 20:31:33 2004 [pid 28056] CONNECT: Client "211.92.133.91" Jul 27 20:59:00 bazielamd

Zoals je ziet is er daarna ook niets meer gebeurd.

_{spuit zoveel}

[ Voor 7% gewijzigd door SysRq op 28-07-2004 09:26 ]

woensdag 28 juli 2004 09:30

Acties:

baziel

Topicstarter

Koning Kerklaan :
ik ben heel erg up to date, yast loopt op die server automatisch.

Qualix :
het valt me inderdaad op hoeveel belangstelling er is voor 's werelds domste site.

Boac : Weet je zeker dat ie alleen maar aan mijn slot rommelde?
Daar zou ik me een stuk beter bij voelen. staat er anders iets anders?

bedankt voor de snelle reacties..

Baziel

woensdag 28 juli 2004 09:37

Acties:

SysRq

Kijk hier (rfc) eens. Onder de kop
7. TYPICAL FTP SCENARIO

Zoals je ziet komt ná de connect de inlogprocedure pas

[ Voor 22% gewijzigd door SysRq op 28-07-2004 09:37 ]

woensdag 28 juli 2004 09:40

Acties:

Luxx

Hijs nu het zeil gezwind...

Wat er allemaal gelogd wordt, kan je zelf instellen, maar als er verder niets instaat, dus geen filetransfers en geen login en pass (met sterretjes), dan is hij (met standaard logging)niet echt binnen geweest. Zoek in je logfile anders zelfs een succesvolle (en mislukte) login van jezelf op (maak er desnoods even eentje) dan kan je het vergelijken.

HYEHEHEHEEHHEEHee, hier had iets zinnigs kunnen staan, maar dat is niet.

woensdag 28 juli 2004 09:40

Acties:

baziel

Topicstarter

nou bedankt allemaal,

ik voel me weer een stuk dommer maar gelukkig ook een stuk veiliger..
ik dacht echt dat connected betekende dat ie connection established had en aan het ftp'en was.

toch eens uitzoeken hoe dat nou precies zit met die klok en die klepel.

Bedankt!l

Baziel

woensdag 28 juli 2004 09:41

Acties:

cutter

Wannabe i7 fanboy

ff stukje log uit vsftpd.log

code:

Tue Jul 20 09:16:09 2004 [pid 2708] CONNECT: Client "xxx.84.x.x"
Tue Jul 20 09:16:09 2004 [pid 2707] [xxxx] OK LOGIN: Client "xxx.84.x.x"
Wed Jul 21 03:17:30 2004 [pid 7607] CONNECT: Client "84.133.98.179"
Thu Jul 22 05:03:06 2004 [pid 10874] CONNECT: Client "195.5.23.7"

Als je er na de login ook een connect krijgt ben zit er iemand daadwerkelijk op je ftp. Er zijn legio programma's die sniffen naar slecht beveiligde ftp servers.

woensdag 28 juli 2004 09:41

Acties:

BoAC

Memento mori

Jijzelf ftp'd vanaf 217.209.81.87 zoals ik in xinetd log zie

Maar als ik verderop kijk zie ik er nog veel meer verschillende

woensdag 28 juli 2004 09:56

Acties:

Wilke

Koning Kerklaan schreef op 28 juli 2004 @ 09:10:
Alle updates voor je systeem regelen... (Volgens mij kan dat in Suse met YasT)

Als je machine daadwerkelijk gekraakt is, is dat zinloos. Wat je dan het best kunt doen staat in de NOS FAQ onder Ik vermoed dat mijn systeem is gekraakt. Wat nu?

Echter, dat lijkt hier niet het geval te zijn.

offtopic:
Tijd voor een subtiele topictitel change

[ Voor 6% gewijzigd door Wilke op 28-07-2004 09:59 ]

woensdag 28 juli 2004 10:41

Acties:

Verwijderd

Tegenwoordig staan de firewall logs vol met "knock-knock on your door''s......
Terwijl ik geen ftp- , web- of malserver heb draaien en op 1 poort na alles stealth (die ene closed)) heb staan op mijn SW server.
Drie jaar geleden had ik 1 pagina per 3 dagen, nu vaak meer dan 3 pagina's van zo'n log per 1 dag.......
Een goede firewall was maar is nu helemaal noodzakelijk.
Zo te zien ok bij jou.

edit: typo

[ Voor 14% gewijzigd door Verwijderd op 28-07-2004 11:50 ]

woensdag 28 juli 2004 10:42

Acties:

BoAC

Memento mori

Klopt zie: Toename ssh login attempts/

woensdag 28 juli 2004 11:38

Acties:

baziel

Topicstarter

Boac:
nee, 217.209.81.87 was een poging uit zweden..
ik heb helemaal niet geftp'ed
ik had niks te ftp'en.
als ik al ftp op het moment dan is dat via 10.3.0.4 of heel heel mischien via xs1.xs4all.nl
maar blijkbaar zijn er genoeg mensen die dat voor me willen doen.
't barst blijkbaar van de behulpzame mensen die me willen helpen mijn server te administreren, zelfs zonder dat ik ze dat gevraagd heb

ze zijn ook al zo fijn op mijn webserver aan het zoeken.
ik ga inderdaad maar eens proberen wat grenzen in te stellen en wat ipranges af te sluiten.
ik ga eens in dat andere forum kijken waar hier naar verwezen wordt..

Baziel

woensdag 28 juli 2004 11:41

Acties:

balk

je kan ook met scp gaan werken ipv ftp, dan gaat wel alles over ssh en dat kost wel veel processortijd. winscp is een prima client om vanuit windows via ssh op je linuxbak in te loggen. Er bestaan denk ik ook wel systemen waarbij alleen je login/pass worden versleuteld en de te versturen data niet.

woensdag 28 juli 2004 11:56

Acties:

Wilke

Eigenlijk hoort dit topic daar ook thuis.

Dus bij deze, verplaatst van Non-Windows Operating Systems naar Beveiliging & Virussen

woensdag 28 juli 2004 17:53

Acties:

baziel

Topicstarter

goed,
m'n php pagina's zijn nu dus veranderd.
niet door mij.
er staat vriendelijk hello

waar eerst een datum stond
dus dat stelt me vreselijk gerust.

straks als ik thuis ben ga ik wel eens kijken wat er aan de hand is.

ik hoop dat er een berichtje thuis in die php directory staat waarin ik kan vinden wat ik hier tegen had moeten doen, maar dat zal vast wel

anders hoop ik dat jullie het weten

anyway weer wat te leren

Baziel

woensdag 28 juli 2004 19:23

Acties:

baziel

Topicstarter

ah,

er zijn gewoon foutmeldingen gegenereerd..

grappig.
had ik nooit over nagedacht om dat html te laten genereren.

het valt wederom (nog) weer mee
anders wordt het tijd om Zaphod z'n zonnebril weer eens te lenen
als ik het niet zie is het ook niet mis

Baziel

donderdag 29 juli 2004 11:52

Acties:

bolke

Klikt nu met een 50D.

Als ik kijk is mijn eigen logs heb ik hetzelfde. Er zijn mensen die FTP servers scannen en kijken of er iets te vinden is. (ook Suse 9.1)

ook op mijn IDS (Snort) staan diverse meldingen van clients die mijn gesloten FTP server proberen te benaderen. Maar meestal niet met success.

PS: werk jij niet bij een energie maatschapij in Amsterdam?

[ Voor 3% gewijzigd door bolke op 29-07-2004 11:54 ]

http://www.hroling.nl

donderdag 29 juli 2004 13:22

Acties: