July 18, 2003
Tjena
Vet inte riktigt om rubriken stämmer, men nu är det så att jag har ställt upp min linux server i en polares lägenhet nu över sommaren, även han har en linux server som står där.
Nu är det så att när han kom hem idag så hade han blivit avstängd från nätet för att någon av de burkarna har använts för att skicka ut spam mail, men vi vet inte vilken och ingen av oss är så duktiga på linux.
Hur ska vi kunna ta reda på vilken av burkarna som skickar spam mail?
Snabba svar uppskattas!
Tack på förhand.
/MVH
blitz
edit: glömde säga att båda burkarna kör Ubuntu
LianLi PC60 + TruePower 430W, Asus A8N-SLI, AMD Opteron 146 (2000@3000), 2x Corsair XMS PC3200C2 512Mb, Asus N6600GT 128 Mb PCI-E, 1 TB, 2x19" TFT
IBM Thinkpad T60
"Man slutar inte att leka för att man blir gammal, man blir gammal när man slutar att leka"
December 30, 2005
Enklast är att använda en tredje dator och logga sendmail-porten för utgående trafik med hjälp av ethereal.
Men det är väl ditt minsta problem? Som jag ser det så måste du antingen lägga ut en honeypot och fånga script-kiddien eller så blåser du installationerna och installerar ipchains...
Lite läsvärt:
http://www.ranum.com/security/.....ials/dumb/
man ipchains
http://www.remote-exploit.org/.....ditor_main
July 13, 2006
Börja med att titta vilka services som körs samt vilka portar som de lyssnas på, detta gör du med "ps -aux" (se vilka processer som är igång) samt "netstat -l" (portar som datorn lyssnar på).
Port 25/tcp är smtp porten, denna används oftast för att skicka mail. Är Servicen felconfad så kan spammarna använda den som relay server, dvs skicka vidare mail genom den.
Vad gällande ipchains så tycker jag att du borde titta på iptables istället, detta är nyare och är gjort för att ersätta ipchains.
Iptables Script Gen - http://muse.linuxmafia.org/levy/
IPtables Hemsida - http://www.netfilter.org/
Du kan även använda en sniffer och se vilken ip som skickar paketen, men tänk då på att om du ska köra från en annan dator behöver du en hub eller switch som klarar portmirror.
Ser ingen ide att sätta upp en honeypot, vad ska han fånga? Nya folk som scannar och försöker komma in? Sen var ju internet oxå avstängt?
Men om du nu blivigt hackad som nu kan ha hänt så rekomenderar jag att du sparar det du vill ha kvar och installerar om.
April 7, 2002
Börja enkelt kör någon av er mailserver ? tror det är postfix som är standard på ubuntu. Är konfigurationen gjord så att relays inte tillåts?
vad kör ni för tjänster i övrigt på burkarna?
Har ni kört in uppdateringarna?
sudo apt-get update
sudo apt-get upgrade
mach's idé om att logga trafiken med ethereal är riktigt bra om ni har tillgång till en extra dator och en hub.
Om ni inte har det, börja med att koppla bort dem från nätet.
Kolla igenom alla loggar i /var/log/
Hittar ni inget suspect där så kan ni testa programmer rkhunter.
http://www.rootkit.nl/projects.....unter.html
Hittar ni inget där så blås ur bägge maskinerna och se till att köra brandväggar och köra in alla uppdateringar direkt när de kommer.
July 18, 2003
Tack för alla svaren, jag och min polare ska kolla på detta. Kan ju säga att min server står bara som ett bildgalleri och hans står som ftp, webb och lite andra små saker.
LianLi PC60 + TruePower 430W, Asus A8N-SLI, AMD Opteron 146 (2000@3000), 2x Corsair XMS PC3200C2 512Mb, Asus N6600GT 128 Mb PCI-E, 1 TB, 2x19" TFT
IBM Thinkpad T60
"Man slutar inte att leka för att man blir gammal, man blir gammal när man slutar att leka"
April 7, 2002
Ett tips när ni fått ordning på allt igen, lägg in denyhosts, det är ett script som övervakar loggarna och blockar attacker på ssh jag tror jag har 1-2 ip på min server som blir blockade varje dag. Kolla också om ni inte kan använda nycklar för att komplettera lösenordsskyddet på ssh.
1 Guest(s)