Linux server hackad|Nätverk / Internet|Forum|Nordichardware

Search
Forum Scope


Match



Forum Options



Minimum search word length is 3 characters - maximum search word length is 84 characters
Lost password?
The forums are currently locked and only available for read only access
sp_Feed sp_TopicIcon
Linux server hackad
*blitz*
Kommer du hit ofta?
Medlem
Forum Posts: 1467
Member Since:
July 18, 2003
sp_UserOfflineSmall Offline
1
July 17, 2006 - 10:04 pm
sp_Permalink sp_Print

Tjena
Vet inte riktigt om rubriken stämmer, men nu är det så att jag har ställt upp min linux server i en polares lägenhet nu över sommaren, även han har en linux server som står där.
Nu är det så att när han kom hem idag så hade han blivit avstängd från nätet för att någon av de burkarna har använts för att skicka ut spam mail, men vi vet inte vilken och ingen av oss är så duktiga på linux.
Hur ska vi kunna ta reda på vilken av burkarna som skickar spam mail?
Snabba svar uppskattas!

Tack på förhand.

/MVH
blitz

edit: glömde säga att båda burkarna kör Ubuntu

LianLi PC60 + TruePower 430W, Asus A8N-SLI, AMD Opteron 146 (2000@3000), 2x Corsair XMS PC3200C2 512Mb, Asus N6600GT 128 Mb PCI-E, 1 TB, 2x19" TFT
IBM Thinkpad T60

"Man slutar inte att leka för att man blir gammal, man blir gammal när man slutar att leka"

mach
Siktar mot toppen
Medlem
Forum Posts: 69
Member Since:
December 30, 2005
sp_UserOfflineSmall Offline
1060196
July 18, 2006 - 4:56 am
sp_Permalink sp_Print

Enklast är att använda en tredje dator och logga sendmail-porten för utgående trafik med hjälp av ethereal.

Men det är väl ditt minsta problem? Som jag ser det så måste du antingen lägga ut en honeypot och fånga script-kiddien eller så blåser du installationerna och installerar ipchains...

Lite läsvärt:
http://www.ranum.com/security/.....ials/dumb/
man ipchains
http://www.remote-exploit.org/.....ditor_main

xore-
It’s a first time for everybody
Medlem
Forum Posts: 7
Member Since:
July 13, 2006
sp_UserOfflineSmall Offline
1060222
July 18, 2006 - 8:38 am
sp_Permalink sp_Print

Börja med att titta vilka services som körs samt vilka portar som de lyssnas på, detta gör du med "ps -aux" (se vilka processer som är igång) samt "netstat -l" (portar som datorn lyssnar på).
Port 25/tcp är smtp porten, denna används oftast för att skicka mail. Är Servicen felconfad så kan spammarna använda den som relay server, dvs skicka vidare mail genom den.

Vad gällande ipchains så tycker jag att du borde titta på iptables istället, detta är nyare och är gjort för att ersätta ipchains.
Iptables Script Gen - http://muse.linuxmafia.org/levy/
IPtables Hemsida - http://www.netfilter.org/

Du kan även använda en sniffer och se vilken ip som skickar paketen, men tänk då på att om du ska köra från en annan dator behöver du en hub eller switch som klarar portmirror.
Ser ingen ide att sätta upp en honeypot, vad ska han fånga? Nya folk som scannar och försöker komma in? Sen var ju internet oxå avstängt?

Men om du nu blivigt hackad som nu kan ha hänt så rekomenderar jag att du sparar det du vill ha kvar och installerar om.

Avatar
HardCoder
Kommer du hit ofta?
Medlem
Forum Posts: 617
Member Since:
April 7, 2002
sp_UserOfflineSmall Offline
1060225
July 18, 2006 - 8:52 am
sp_Permalink sp_Print

Börja enkelt kör någon av er mailserver ? tror det är postfix som är standard på ubuntu. Är konfigurationen gjord så att relays inte tillåts?

vad kör ni för tjänster i övrigt på burkarna?
Har ni kört in uppdateringarna?
sudo apt-get update
sudo apt-get upgrade

mach's idé om att logga trafiken med ethereal är riktigt bra om ni har tillgång till en extra dator och en hub.

Om ni inte har det, börja med att koppla bort dem från nätet.
Kolla igenom alla loggar i /var/log/

Hittar ni inget suspect där så kan ni testa programmer rkhunter.
http://www.rootkit.nl/projects.....unter.html

Hittar ni inget där så blås ur bägge maskinerna och se till att köra brandväggar och köra in alla uppdateringar direkt när de kommer.

*blitz*
Kommer du hit ofta?
Medlem
Forum Posts: 1467
Member Since:
July 18, 2003
sp_UserOfflineSmall Offline
1060242
July 18, 2006 - 9:48 am
sp_Permalink sp_Print

Tack för alla svaren, jag och min polare ska kolla på detta. Kan ju säga att min server står bara som ett bildgalleri och hans står som ftp, webb och lite andra små saker.

LianLi PC60 + TruePower 430W, Asus A8N-SLI, AMD Opteron 146 (2000@3000), 2x Corsair XMS PC3200C2 512Mb, Asus N6600GT 128 Mb PCI-E, 1 TB, 2x19" TFT
IBM Thinkpad T60

"Man slutar inte att leka för att man blir gammal, man blir gammal när man slutar att leka"

Avatar
HardCoder
Kommer du hit ofta?
Medlem
Forum Posts: 617
Member Since:
April 7, 2002
sp_UserOfflineSmall Offline
1060335
July 18, 2006 - 1:51 pm
sp_Permalink sp_Print

Ett tips när ni fått ordning på allt igen, lägg in denyhosts, det är ett script som övervakar loggarna och blockar attacker på ssh jag tror jag har 1-2 ip på min server som blir blockade varje dag. Kolla också om ni inte kan använda nycklar för att komplettera lösenordsskyddet på ssh.

Forum Timezone: Europe/Stockholm
Most Users Ever Online: 1030
Currently Online:
Guest(s) 338
Currently Browsing this Page:
1 Guest(s)
Top Posters:
Andreas Galistel: 16287
Jonas Klar: 15897
ilg@dd: 10810
Nyhet: 10607
Mind: 10550
Ctrl: 10355
Gueno: 9881
Guest: 9344
Snorch: 8881
Callister: 8468
Newest Members:
PetrbonFU PetrbonFU
Karine Bembry
Dolores Mcdaniels
Anibal McLeish
Francisca Alt
Alfie Everhart
Lester Huitt
Orlando Jorgensen
Mikki Lundgren
Dakota Kozlowski
Forum Stats:
Groups: 11
Forums: 59
Topics: 146630
Posts: 1300967

 

Member Stats:
Guest Posters: 2
Members: 79425
Moderators: 0
Admins: 11
Administrators: nordicadmin, Henrik Berntsson, Anton Karmehed, Carl Holmberg, Joel Oscarsson, Mikael Linnér, Mikael Schwartz, Andreas Paulsson, Nickebjrk, Mattias Pettersson, EmxL