ben ik gehackt?

Frank Evers ubuntu-nl op frankevers.nl
Ma Jul 9 20:30:03 UTC 2007 

Hallo allemaal,

Sinds een poosje heb ik een server draaien op ubuntu. Nou viel mij een
kort moment geleden op dat ik wel heel veel processen had draaien
onder de gebruikersnaam 'mark'.  Ik ging dus even beter kijken wat er
aan de hand was en schrok best van het resultaat.
Ik heb een eigen domeinnaam en ik denk dat er geprobeerd is in te
breken op mijn server. Processen die oa draaiden onder de naam mark
waren:
scan-ssh
pscan2
/bin/bash ./a.out (een eigen programma denk ik)

Volgens mij draaide er nog meer, maar ik ben in een hoog tempo alles
wezen killen en heb de user mark verwijderd... (misschien weet iemand
hoe ik dit alsnog kan opzoeken in de log files?)

In mijn /var/log/messages staan echt heel veel lijnen met dit
(verschillende tijden uiteraard):
Jul  8 07:07:10 localhost -- MARK --

Geen idee wat dit is trouwens...

Daarnaast heb ik in mijn auth.log dit staan:
; cat /var/log/auth.log|grep -i mark
Jul  8 09:16:20 localhost sshd[10599]: (pam_unix) session closed for user mark
Jul  8 17:35:29 localhost sshd[14483]: (pam_unix) authentication
failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.234.93.215
user=mark
Jul  8 17:35:31 localhost sshd[14483]: Failed password for mark from
211.234.93.215 port 52487 ssh2
Jul  8 17:35:34 localhost sshd[14485]: Invalid user marker from 211.234.93.215
Jul  8 17:35:36 localhost sshd[14485]: Failed password for invalid
user marker from 211.234.93.215 port 52933 ssh2
Jul  8 17:35:38 localhost sshd[14487]: Invalid user markus from 211.234.93.215
Jul  8 17:35:41 localhost sshd[14487]: Failed password for invalid
user markus from 211.234.93.215 port 53386 ssh2
Jul  8 19:25:18 localhost sshd[15437]: Accepted password for mark from
212.200.211.68 port 3005 ssh2
Jul  8 19:25:18 localhost sshd[15439]: (pam_unix) session opened for
user mark by (uid=0)
Jul  9 18:56:06 localhost sshd[32232]: Accepted password for mark from
77.105.59.141 port 3068 ssh2
Jul  9 18:56:06 localhost sshd[32234]: (pam_unix) session opened for
user mark by (uid=0)
Jul  9 20:06:37 localhost sshd[15439]: (pam_unix) session closed for user mark
Jul  9 22:07:58 localhost su[1657]: (pam_unix) authentication failure;
logname= uid=1000 euid=0 tty=pts/0 ruser=frank rhost=  user=mark
Jul  9 22:08:01 localhost su[1657]: FAILED su for mark by frank
Jul  9 22:08:01 localhost su[1657]: - pts/0 frank:mark

Er is dus ingelogd vanaf het ip adres 77.105.59.141, hier heb ik denk
ik niets aan..
maar toch ben ik even wezen kijken met whois en kom uit op een of
ander yugoslavisch iets, waarschijnlijk heb ik daar echt niets aan.

Maar waar mij het nou om gaat: Heb ik nu een serieus probleem? Ik heb
namelijk nog niet zo heel lang een server en heb niet specifiek veel
gedaan aan beveiliging.
Weet iemand wat er hier allemaal gebeurd is? of kan iemand mij
misschien advies geven over hoe ik kan vinden WAT er gebeurd is?


Met vriendelijke groet,
Frank Evers

Meer informatie over de Ubuntu-NL maillijst