Hallo Zusammen,
vor einigen Tagen habe ich feststellen muessen, dass Hacker in mein LINUX-Syst.
eingedrungen waren.
Ich gebe zu, dass ich mangels Erfahrung
keinen Firewall aktiviert habe.
Erkannt habe ich den/die Eindringlinge in den Logfiles und dass eine Datei Namens
nmap bei mir installiert wurde (root rechte).
nmap scannt die Ports, was immer das auch bedeuten mag.
Meine Fragen:
Kann mir jemand eine Narrensichere Anleitung geben, wie ich einen Firewall in SUSE-LINUX 5.3 aktivieren kann und mir ein paar Worte ueber dieses nmap schreiben???
Wie kann jemand mein root passwort herausfinden???
Gib mal mehr Infos, z.B. über die Interfaces, IPs, und Dienste, die auf dem Server laufen. Dann kann ich dir die IPCHAINS-Befehle zuschicken. Dafür solltest Du aber auf jeden Fall auf Kernel 2.2.x (x:3) aufrüsten, und Dir IPCHAINS besorgen.
Tobias
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
als erstes solltest du in der datei /etc/hosts.deny den eintrag ALL : ALL hinzufügen. der bewirkt, das alle dienste für alle rechner gesperrt werden. in der /etc/hosts.allow kannst du dann verschiedene dienste für bestimmte rechner freischalten.
ebenfalls solltest du in die /etc/rc.config eintragen, das man sich nicht via telnet mit root einloggen darf. das kannst du mit yast machen (konfigurationdatei ändern).
die firewall ist glaube ich schon im kernel eingebunden, so daß du sie auch nur noch in der /etc/rc.config einrichten mußt. falls das nicht der fall ist, dann lese dir mal das firewall howto durch und kompiliere den kernel neu.
zum nmap kann habe ich nur eine vermutung. warscheinlich übermittelt es die gescannten ports an den hacker und dieser kann daraus entnehmen, welche ports eine verbindung akzeptieren und welche keine verbindung zulassen.
mfg
martin
p.s.: bei weiteren fragen bzw. unklarheiten kann ich dir auch gerne meine /etc/rc.config
zumailen.
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Zur Frage, wie jemand Dein root-PW rausfinden kann:
Es ist nicht unbedingt das PW nötig, um Root-Rechte zu erlangen. In Netz finden sich immer wieder Beschreibungen, wie man bestehende Sicherheitslücken von verschiedensten Programmen ausnutzen kann, um die begehrten Superuser-Rechte zu bekommen. Mitunter gibt es auch diverse Root-Kits (so 'ne Art Plug&:stuck_out_tongue_winking_eye:lay-Tool), welches man einfach anwirft und schaut, was passiert. Demnach solltest Du unter anderem auch eine neuere Distri in Betracht ziehen. Für den Kernel, der in der Suse 5.2 verwendet wird gibt es z.B. so ein Root-Kit (bin selber mal reingefallen). Bei 5.3 weiß ich es nicht so genau. Auf jeden Fall ist dort z.B. der verwendete WU-FTP-Server problematisch, sofern Du Verzeichnis mit Public-Schreibrechten hast.
Auf jeden Fall kenne ich dieses Gefühl dieser Entsetztheit, wenn man einen solchen Einbruch feststellt - aber es motiviert auch, sich mit Sicherheitsfragen etwas mehr zu beschäftigen.
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]