Email-Spoofing oder Server Einbruch ?!?!?!?

Achim Dreyer adreyer at math.uni-paderborn.de
Wed Jul 10 12:06:01 CEST 2002 

On Tue, 9 Jul 2002, Stefan <Hegi> Hegner wrote:

> > .. klar, kann immer passieren. Einzig sichere Verbindung zum Internet ist
> > keine Verbindung.
>
> gut. Das ist die Theorie. Aber in der Praxis benötigt man oft die
> Connectivity. - Und da Du auf meine Mail geantwortet hast, mußt Du ja auch
> "irgendwie" online sein, oder? - Oder gehen Deine Mails alle über einen
> einbruchsicheren Lochstreifen-Gateway?

Klar habe ich dauernd irgendwelche Internet-Zugänge. Bei der Arbeit, zu
Hause, im Internet-Cafe... dabei gehe ich auch immer davon aus, das
zumindest Kisten die ich nicht selber betreue kompromitiert sein könnten.
(Könnten!)


> > => Bei Einbruchsverdacht:
> ... wann sollte ich den haben? (Beispiele ...?)

Bsp.:

Datenveränderung/Systemmanipulationen
  tripwire - Laufen lassen und plötzlich tauchen Sachen auf, von denen man
  nix weiss.
  Veränderungen in /etc/inetd,/etc/passwd,/etc/shadow,..
  ps -ef und dort sind Prozesse die unbekannt sind.
  netstat -a und dort sind plötzlich ports offen, für die man keine
  Erklärung hat..

  .. und so weiter..



> >     - Spuren sichern
> ... was für Spuren? Und was mache ich damit? Ans Bundesamt für
> Datensch(m)utz schicken?

Dazu gibt es viele Unterlagen...
- Zumindest erst mal "The Coroners Toolkit", alt aber als erster Ansatz
  immer noch sehr gut, Stichworte  'postmortem/forensic analysis '
- tripwire-Ausgabe, dort angemeckerte Dateien...

> Hoffe, Du knüpfst jetzt mit grenzenloser Kompetenz an den Thread von
> neulich in Sachen Titeln an ... (Ich wollte schon immer mal wissen was ein
> Internet Security Consultant einem so alles raten kann *ggg*)

.. common sense ;-)
[[[ vermisse ich oft in "Chef"-Etagen..]]]


tripwire ist hier nur als Beispiel genannt und nicht unbedingt als Produkt
der Wahl gemeint. Es gibt andere (oder bessere) Tools, tripwire geehört
nur zu den bekanteren..)



Regards,
Achim Dreyer

---------------------------------------------------------------------------
A. Dreyer, Senior SysAdmin (UNIX & Network) / Internet Security Consultant

More information about the Linux mailing list