Beiträge von Hount

In welchem Logfile sieht man das?

Hmmm ok Danke für die Info. Und der Server wird dann sofort gesperrt? Also die Sperrung ist dann auch nur ne Zeit von ein paar Minuten?

Zitat von slukas;31617

ich denke da eher an erkennungsmechanismen in der netzwerkarchitektur

Meine ich doch

Wie oft lasst ihr denn eure Scann laufen? Täglich oder nur sporadisch?

Moin,

also gescannt hab ich vom rescuesystem aus mit "rkhunter -c". Und scannt er doch das rescuesystem und verfälscht somit das Ergebnis oder?

Ich werde den verdacht nicht los, dass eines der beiden Wordpress Plugins dahinter steckt.

Wann scannt Netcup eigentlich die Server immer. Regelm. jeden Tag oder nur sporadisch?

Was mich auch wirklich stutzig macht, ist dass nur die interne IP 192.168.1.* gescannt wurde.

Installiert ist Ubuntu x64.

Vielen Dank für die Info. Hier das Log von rkhunter.

Was mir auffällt, dass zwar anscheinend kein rootkit installiert ist aber der Root-Login per SSH möglich ist. Oder liegt das daran, dass ich im Rescuesystem bin und dort der Root-Login möglich ist?
Dann wäre aber rkhunter vollkommen sinnlos oder?

Vielen Dank.

- War Root Login erlaubt? --> Nein
- Wie lang war das PW? --> 14 Zeichen
- War der Server auf dem neuesten Stand? --> Yupp ein immer "upgedatetes" Ubuntu
- Irgendwelche verdächtigen Prozesse? --> Keine Ahnung
- Chroote in Dein System. Was sagt RKHUNTER / CHROOTKIT? --> Könntest Du mir das bitte genauer erklären? :o

Das mit ripe.net habe ich vor. Will aber vorher wissen was Sache ist.

Den Gedanken hatte ich ja auch schon. Deswegen meine Frage mit den Wordpress Plugins.

Wie könnte ich so einen internen Scan feststellen?

Installiert ist Xabbix und versuchsweise Icinga. Die könnten doch theoretisch solche scans doch auch ausführen oder?

Nein die wurden nicht geändert. Das einzigste was geändert wurde ist "meine IP-Adresse".

Was ich bis jetzt schon in der auth.log herausgefunden habe, dass von 3-4 versch. IP immer wieder versucht wurde mit versch. usern Zugriff per SSH zu bekommen. Schätze mal, dass das auch irgendwie gelungen ist.

Aber was die Scans betrifft, fische ich noch ziemlich im trüben....

So hab dann mal angefangen in den Logs zu wühlen. Bin mal gespannt ob ich da was finde. So "Forensik" ist für mich Neuland.

Aber mal ne Frage: Ich habe auf meinem Wordpress ein Plugin installiert, dass das Wordpress nach Sicherheitslücken scannt. Kann das Plugin zufällig diese ominösen scanns verursacht haben?

Edit:
Es wären folgende zwei Plugins:
wp-security-scan
exploit-scanner

Danke für die Info.
Dann werde ich mal beginnen.

Richtig. Das kann ich entnehmen.

Trotzdem würde mich die (richtige) Vorgehensweise der Profis interessieren.

Hi Darks,

die Kiste platt machen ist mir schon klar. Nur würde ich vorher schon ganz gerne wissen, was da los ist. Nicht das ich dann wieder in die gleiche Falle laufe.

Hi@all,

ich bekam heute ne Mail, dass mein Server gesperrt wurde, weil angeblich von diesem aus Scans ausgeführt wurden. Da ich nichts in dieser Art und Weise gemacht habe, wollte ich mal fragen, wie ihr am besten vorgehen würdet. Mein Verdacht ist, das der Server gehackt wurde? Hier der Scanlog:

#               Netscan detected from host  "IP-Adresse"               #
##########################################################################




time                protocol src_ip src_port          dest_ip dest_port
---------------------------------------------------------------------------
Tue Feb 15 09:09:29 2011 TCP  meine IP-Adresse 34620 =>     192.168.1.1 10050




bis




Tue Feb 15 09:26:49 2011 TCP  meine IP-Adresse 42937 =>   192.168.1.105 10050

Wie ist in so einem Fall die beste Vorgehensweise um die Ursache zu finden?

Gruß
Hount