Re: Unerwuenschter Besuch

Hallo Hannes,

wenn Du den berechtigten Verdacht hast, daß jemand in Dein System
eingebrochen ist, würde ich die Kiste pletten und neuhochziehen.

MfG

Oliver Fischer

Widmer Hannes wrote:
> Hallo Liste
>
>
> Ehner ein trauriger Grund gibt mir anlass euch zu schreiben. Gestern habe ich per Zufall am Abend ein file gefunden, welches im /root war und eintraege wie im passwd file enthilet. Dies waren 3 mir unbekannte user.... Habe diese File dann gelöscht. Ich hatte vor meinen Ferien einem Arbeitskollegen noch ein login gegeben. Er hatte aber damit nie eingeloggt. Vor 2 Tagen, fand ich eine masse von "Bad SU" im messages log, welche heute nicht mehr ersichtlich sind. Erst dachte ich, diese seien von ihm...war aber nicht so wie sich rausstellte. Sonst sieht am System eigentlich alles normal aus aber eben..eigentlich. Meine Fragen nun an euch:
>
>
> - Was ist nun das erste was ich machen muss
> - Wie kann ich heraus finden ob sonst noch was läuft / verändert wurde ?
> - Wie finde ich den Fehler, wo die Besucher reinkamen?... Apache ?....
> - Wie kann ich mich von dem Schuetzen / kontrollieren / Checktools ?... / Gute Lektueren
> - Wichtige Tipps fuer Apache (CGI)
>
> ...andere Wertvolle Tipps ?....
>
>
> Was ich gerne machen würde, währe ein crc compare Check. Habe ein Backup,. Etwas aelter auf einem dat. Gesichert habe ich mit dump
> ( dump 0auf $TAPE $FS >> /var/log/dumpall 2>&1 ). Nun, gibt es ein kommando welches mir ermöglicht ein crc check saemtlicher files auf dem dat mit dem system zu vergleichen, ohne dass ich zuerst ein restore vom dat machen müsste ?....
>
>
>
> Danke euch vielmals fuer euhre hilfe und Tipps.... Bin sehr froh darum
>
> Gruss Hannes Widmer
>
>
>
> To Unsubscribe: send mail to majordomo.FreeBSD.org
> with "unsubscribe de-bsd-questions" in the body of the message

To Unsubscribe: send mail to majordomo.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 08 Sep 2003 - 11:54:22 CEST