update: unser Server wurde gehackt - vielleicht doch nicht

Martin Herweg m.herweg at gmx.de
Thu Feb 12 04:48:56 CET 2004 

Hi *

vielen Dank für alle hilfreichen Hinweise.

zusammen mit DRF habe ich den Server nun frisch installiert und einen
eigene Kernel 2.4.24 gebaut - statisch, ohne support für Kernel-Module (LKM)
und mit GRsecurity Patch.

Ich habe viel über Security und Forensic Computing gelernt.

Hier nun die neuesten Erkenntnisse:

1.)

> Uns fällt auf, dass die Webseite http://www.chkrootkit.org/
> nicht erreichbar ist, von meinem Rechner zu hause aus klappt's !

das liegt offenbar am Nameserver von T-Online, mit andern Nameservern klappts:

----------------------------------------------------------------
nslookup www.chkrootkit.org
Server:         62.134.11.4
Address:        62.134.11.4#53

Non-authoritative answer:
Name:   www.chkrootkit.org
Address: 200.239.53.35
----------------------------------------------------------------
nslookup www.chkrootkit.org 194.25.2.129
;; connection timed out; no servers could be reached

----------------------------------------------------------------
Gegenprobe:

nslookup www.linux.de 194.25.2.129
Server:         194.25.2.129
Address:        194.25.2.129#53

Non-authoritative answer:
Name:   www.linux.de
Address: 62.111.65.66
----------------------------------------------------------------


2.)

> Message from root at tserver1 on <no tty> at 15:28 ...
> ^LI'm kicking your butt.^L
> EOF

"aon" <werner_bauer at aon.at> fand etwas herraus, was bisher noch keinem
der ca. 100 kmLinuxTSE Anwendern und auch mir noch nie aufgefallen ist:

Die Meldung kam mit grosser Warschinlichkeit von einem shell-script namens
"slay" das bei kmLinuxTSE dafür sorgt, dass alles Przesse eines Users gekillt
werden, wenn dieser sich abmeldet oder sein Terminal ausschaltet.


3.)
Ich werde das Schulnetz auch in Zukunft als unsicher betrachten.
Nessus fand 24(!) security holes  auf dem Internet Gateway/Proxy 
welches nicht in meinen Zuständigkeitsbereich fällt und seit der
Erstinstallation nie gewartet wurde. Ausserdem passieren die meissten Angriffe 
sowiso von innen ;-)


Gruß,
Martin Herweg

More information about the Linux mailing list