Email-Spoofing oder Server Einbruch ?!?!?!?
Achim Dreyer
adreyer at math.uni-paderborn.de
Wed Jul 10 12:06:01 CEST 2002
On Tue, 9 Jul 2002, Stefan <Hegi> Hegner wrote:
> > .. klar, kann immer passieren. Einzig sichere Verbindung zum Internet ist
> > keine Verbindung.
>
> gut. Das ist die Theorie. Aber in der Praxis benötigt man oft die
> Connectivity. - Und da Du auf meine Mail geantwortet hast, mußt Du ja auch
> "irgendwie" online sein, oder? - Oder gehen Deine Mails alle über einen
> einbruchsicheren Lochstreifen-Gateway?
Klar habe ich dauernd irgendwelche Internet-Zugänge. Bei der Arbeit, zu
Hause, im Internet-Cafe... dabei gehe ich auch immer davon aus, das
zumindest Kisten die ich nicht selber betreue kompromitiert sein könnten.
(Könnten!)
> > => Bei Einbruchsverdacht:
> ... wann sollte ich den haben? (Beispiele ...?)
Bsp.:
Datenveränderung/Systemmanipulationen
tripwire - Laufen lassen und plötzlich tauchen Sachen auf, von denen man
nix weiss.
Veränderungen in /etc/inetd,/etc/passwd,/etc/shadow,..
ps -ef und dort sind Prozesse die unbekannt sind.
netstat -a und dort sind plötzlich ports offen, für die man keine
Erklärung hat..
.. und so weiter..
> > - Spuren sichern
> ... was für Spuren? Und was mache ich damit? Ans Bundesamt für
> Datensch(m)utz schicken?
Dazu gibt es viele Unterlagen...
- Zumindest erst mal "The Coroners Toolkit", alt aber als erster Ansatz
immer noch sehr gut, Stichworte 'postmortem/forensic analysis '
- tripwire-Ausgabe, dort angemeckerte Dateien...
> Hoffe, Du knüpfst jetzt mit grenzenloser Kompetenz an den Thread von
> neulich in Sachen Titeln an ... (Ich wollte schon immer mal wissen was ein
> Internet Security Consultant einem so alles raten kann *ggg*)
.. common sense ;-)
[[[ vermisse ich oft in "Chef"-Etagen..]]]
tripwire ist hier nur als Beispiel genannt und nicht unbedingt als Produkt
der Wahl gemeint. Es gibt andere (oder bessere) Tools, tripwire geehört
nur zu den bekanteren..)
Regards,
Achim Dreyer
---------------------------------------------------------------------------
A. Dreyer, Senior SysAdmin (UNIX & Network) / Internet Security Consultant
More information about the Linux
mailing list