unser Server wurde gehackt
Martin Herweg
m.herweg at gmx.de
Thu Feb 5 19:05:16 CET 2004
Hi Leute,
Seit Oktober 2001 haben wir im Schulnetz des Hans-Böckler-Berufskolleg Marl
einen Terminal-Server mit 20 Terminals laufen.
Seit Mitte 2003 ist dort kmLinux TSE 3.1 installiert,
Details zu Versionen siehe:
http://www.lernnetz-sh.de/kmlinux/changes.html
Der Server bedient über eth0 die Terminals und auch 2 Windows-Kisten
Er steht mit seiner 2ten Netzwerkkarte in Schulnetz.
Damit der User der Windowskiste mailen kann(pop3 & smtp),
ist ip-forwarding & masquerading aktiviert.
Mi 4.2.2004
===========
nachmittags:
Onlinespielende Schüler bemerken unüblich niedrige Internet-
Geschwindigkeit
ca. 19:00 Uhr
beim Treffen der LUG Marl bemerken wir, dass kdm und das panel
des KDE Desktops noch funktioniert, sonstige KDE Anwendungen starten aber
nicht mehr, stattdessen KDE-Crashmanager
Nicht-KDE Anwendungen laufen normal.
Uns fällt auf, dass die Webseite http://www.chkrootkit.org/
nicht erreichbar ist, von meinem Rechner zu hause aus klappt's !
Do 5.2.2004
===========
ca. 14:00 Uhr
Mit hilfe einer kmLinux TSE 3.1 CD restauriere ich die qt3 Library
wegen den KDE Problem - Alles funktioniert wieder normal.
http://www.chkrootkit.org/ ist aber wieder nicht erreichbar !
Ich mache mit tar ein Backup auf eine andere Partition,
dabei bin ich per ssh aus dem Terminalnetz (192.168.1.0/24)
von meinem Notebook aus auf dem Server angemeldet.
Nachdem das tar durchgelaufen oder möglicherweise auch abgebrochen
ist erhielt ich in dieser ssh-session folgende Meldungen:
tserver1:/ #
Message from root at tserver1 on <no tty> at 15:28 ...
^LI'm kicking your butt.^L
EOF
tserver1:/ #
Message from root at tserver1 on <no tty> at 15:35 ...
^LI'm kicking your butt.^L
EOF
Ich habe den Server dann vom Netzwerk getrennt und von einer knoppix 3.2 CD
gebootet, das dort enthaltene chkrootkit hat nix gefunden.
Ich freue mich auf zahlreiche konstruktive Tipps von euch ;-)
Besonders würden mich bekannte exploits für Suse 8.0, kernel 2.4.19
interessieren , auch diejenigen, wo man als lokaler user root-rechte erlangen
kann.
Gruß,
Martin Herweg
More information about the Linux
mailing list