Ik heb 2 dagen mijn computer niet aangehad, en dus ook 2 dagen mijn Linux Debian 3.0 Testing server niet kunnen controleren. Nu kom ik thuis, wil ik mijn mail checken, blijkt dat de wachtwoorden niet kloppen?
Ik natuurlijk de configs controleren, en wachtwoorden maar als plain tekst er in gezet, en het werkte. Nu heb ik mijn mail binnen, doe ik het 10 sec later weer, verkeerd pass. Ik ga eens verder spitten, blijkt dat de schijf voor 99% vol zit, wat eergister nog rond de 50% was (4 gig).
Na wat zoeken kwam ik er achter dat er "vreemde bestanden" geupload waren op mijn FTP, terwijl er in mijn FTP config niets staat over anonymous inloggen. Ik meteen FTP server stoppen (want deze persoon was nog bezig) en eens bekijken wat er allemaal geupload is. In de xfer log stond heel vaak, het volgende;
'lsof' liet zien dat er 2 mensen (één uit de UK o.i.d en een ander uit Duitsland) tegelijk met een AOL verbinding aan het FTPen waren op mijn bak met het anonymous account. Ze hebben onderandere SP2 geupload... Er zijn in totaal 2 mappen aangemaakt met vreemde tekens ("ÿta19431-ÿ") welke ik verwijderd heb.
Nu is mijn vraag, hoe kan ik zien of ik nu daadwerkelijk gehacked wordt, of dat de mail meldingen puur kwamen omdat de schijfruimte vol zat. Nu ik de ruimte vrij gemaakt heb, de FTP server gestopt heb lijkt het te werken. Ook kan ik zo 1-2-3 niks vreemds vinden in de log. Ik denk zelf dat het gewoon iets fouts is (waarschijnlijk een fout van mij) in de FTP server (gebruik proFTPD). Iemand anders met ervaringen, tooltjes, tips, etc? Een complete reinstall zit er niet echt in.
Ik natuurlijk de configs controleren, en wachtwoorden maar als plain tekst er in gezet, en het werkte. Nu heb ik mijn mail binnen, doe ik het 10 sec later weer, verkeerd pass. Ik ga eens verder spitten, blijkt dat de schijf voor 99% vol zit, wat eergister nog rond de 50% was (4 gig).
Na wat zoeken kwam ik er achter dat er "vreemde bestanden" geupload waren op mijn FTP, terwijl er in mijn FTP config niets staat over anonymous inloggen. Ik meteen FTP server stoppen (want deze persoon was nog bezig) en eens bekijken wat er allemaal geupload is. In de xfer log stond heel vaak, het volgende;
code:
1
2
3
| Thu Sep 16 19:15:28 2004 169 172.179.81.108 15000000 /ftp/domein/incoming/ÿta19431-ÿ/ÿ-;;_&20_@tagged_ .by;_quit_%f;;...-ÿ/ÿÿ-BaZaR-ÿÿ/ÿÿ-ta0_%_.;_;_;tan1-ÿ/ÿ;%_scanned_by_%d.-ÿ/ÿÿ-BaZaR-ÿ/ÿcon_.;__;_;%d_con-ÿ/ 1/1/2/STUFF/wixpsp2/winxpsp2vol_de.r02 b _ o r anonymous ftp 0 * c |
'lsof' liet zien dat er 2 mensen (één uit de UK o.i.d en een ander uit Duitsland) tegelijk met een AOL verbinding aan het FTPen waren op mijn bak met het anonymous account. Ze hebben onderandere SP2 geupload... Er zijn in totaal 2 mappen aangemaakt met vreemde tekens ("ÿta19431-ÿ") welke ik verwijderd heb.
Nu is mijn vraag, hoe kan ik zien of ik nu daadwerkelijk gehacked wordt, of dat de mail meldingen puur kwamen omdat de schijfruimte vol zat. Nu ik de ruimte vrij gemaakt heb, de FTP server gestopt heb lijkt het te werken. Ook kan ik zo 1-2-3 niks vreemds vinden in de log. Ik denk zelf dat het gewoon iets fouts is (waarschijnlijk een fout van mij) in de FTP server (gebruik proFTPD). Iemand anders met ervaringen, tooltjes, tips, etc? Een complete reinstall zit er niet echt in.
offtopic:
Negeer typo in topic title
Negeer typo in topic title
[ Voor 3% gewijzigd door m33p op 16-09-2004 20:12 ]