Hallo,
ich habe einen Server mit Red Hat Linux 6 laufen.
Seit drei Tagen versucht da ein Hacker einzubrechen.
Er hat es auch schon mal geschafft den Server durch Nutzung des anonymous ftp zum Absturz zu bringen (unzaehlige Verbindungen und super-hoher Traffic).
Meine Frage: Wo kann ich zum Aufspueren des Hackers die besten infos rausbekommen (log und message-dateien) und was steht in welcher Datei drin? Wo finde ich dazu genaue Beschreibungen?
Herzliche Gruesse
Christian
Service Attacke auf Linux 6
Daß es „Linux 6“ nicht gibt, ist wohl bekannt…
ich habe einen Server mit Red Hat Linux 6 laufen.
Das klingt nach alter Software…
Seit drei Tagen versucht da ein Hacker einzubrechen.
Das äußert sich wie?
Er hat es auch schon mal geschafft den Server durch Nutzung
des anonymous ftp zum Absturz zu bringen (unzaehlige
Verbindungen und super-hoher Traffic).
Welchen FTP-Server hast Du? wu-"u r 0wned"ftp? Egal, bei einer Redhad 6.-Default-Installation hat der Server nahezu sicher Lücken. Es gibt eine Wurm, der speziell auf Redhad angepasst ist
Meine Frage: Wo kann ich zum Aufspueren des Hackers die besten
infos rausbekommen (log und message-dateien)
Am ehesten genau dort.
und was steht in
welcher Datei drin?
da musst Du mir mutmaßlich root auf Deiner Kiste geben (oder shell und die Rechte der Logs anpassen)
Wo finde ich dazu genaue Beschreibungen?
In der Dokumentation der Server?
Im Ernst: Wenn Du nicht einen Tripwire-Lauf vorher gemacht hast und ihn von einem schreibgeschützten Medium fehlerfrei wiederholen kannst wirst Du nicht herumkommen, die Daten zu sichern und die ganze Kiste komplett neu aufzusetzen.
Dann aber mit aktueller Software und unter kontinuierleichem Studium enschlägiger Security-Mailinglisten.
Sebastian