Onderwerp : ben ik gehackt?

Auteur : Martijn van de Streek
E-mail : martijn op foodfight.org
Datum : Di Jul 10 06:15:10 BST 2007


On Mon, 09 Jul 2007, Frank Evers wrote:

> (verschillende tijden uiteraard):
> Jul  8 07:07:10 localhost -- MARK --
>
> Geen idee wat dit is trouwens...

Dat is normaal, dat is syslog die elke paar minuten laat weten "ik leef
nog", zodat als het systeem crasht, je een indicatie hebt van wanneer.

> Daarnaast heb ik in mijn auth.log dit staan:
> Jul  9 18:56:06 localhost sshd[32234]: (pam_unix) session opened for user mark by (uid=0)
> Jul  9 20:06:37 localhost sshd[15439]: (pam_unix) session closed for user mark
> 
> Er is dus ingelogd vanaf het ip adres 77.105.59.141, hier heb ik denk
> ik niets aan..
> maar toch ben ik even wezen kijken met whois en kom uit op een of
> ander yugoslavisch iets, waarschijnlijk heb ik daar echt niets aan.

User 'mark' met uid=0 (ook bekend als "root"), ziet eruit alsof je
gehacked bent ja. Je kunt het beste helemaal opnieuw installeren, en zo
min mogelijk overnemen van je oude systeem.

Heb je een van de volgende dingen:

- Een simpel wachtwoord
- Een simpele loginnaam
- Een standaard geconfigureerde ssh-daemon?

Zorg er dan voor dat je die bij de nieuwe installatie niet weer hebt.
Zorg er bijvoorbeeld voor dat sshd alleen verbindingen accepteert met
'keys', of alleen vanaf bekende IP-adressen.

> Weet iemand wat er hier allemaal gebeurd is? of kan iemand mij
> misschien advies geven over hoe ik kan vinden WAT er gebeurd is?

De meeste dingen zullen in /var/log staan, en ga eens naar ~mark ("de
homedirectory van user mark), en kijk in een eventuele '.bash_history'
(de geschiedenis van opdrachten die'ie uitgevoerd heeft in zijn shell,
ligt eraan hoe "dom" de cracker is of deze file bestaat/gevuld is)

Martijn
-- 
Sorry isn't an excuse when you do something stupid on purpose.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: niet beschikbaar
Type: application/pgp-signature
Size: 829 bytes
Desc: Digital signature
Url : https://lists.ubuntu.com/archives/ubuntu-nl/attachments/20070710/1d5c1cb7/attachment.pgp