Servus,
zurzeit beschäftige ich mich intensive mit meinem kleinen Vserver, doch eine Frage hab ich noch:
Wie merke ich am besten das der Server gehackt wurde und welche Logfiles sind relevant? Zurzeit durchsuche ich eigentlich nur die auth.log und hin und wieder die daemon.log nach 'fail' 'warn' 'error'. Was sind Schlagwörter die einen Hack kennzeichnen?
mfg krumme
erfolgreichen Hack merken?
-
wgot
- Posts: 1675
- Joined: 2003-07-06 02:03
Re: erfolgreichen Hack merken?
Hallo,
wenn es so einfach wäre...
Es gibt verschiedene Arten von "gehackt". Beim Vollhack, also Rootzugang erobert, kann der Angreifer die Logs manipulieren und wenn er das gut macht sehen die völlig normal aus.
Was der Hacker nicht manipulieren kann (außer durch einen separaten Hack) ist die Trafficanzeige im Kundenmenü des Providers.
Im Allgemeinen ist es leichter den Mißbrauch nach dem Hack festzustellen als den Hack selbst.
Es sind alle Logfiles relevant, man sollte ein Gefühl dafür entwickeln wie sie normalerweise aussehen damit einem schon beim überfliegen Unregelmäßigkeiten auffallen. Mailbounces auswerten um festzustellen, ob der Server als Spamschleuder mißbraucht wurde. Belegten Festplattenplatz regelmäßig kontrollieren, laufende Prozesse auflisten lassen und offene Ports prüfen.
Gruß, Wolfgang
wenn es so einfach wäre...
Es gibt verschiedene Arten von "gehackt". Beim Vollhack, also Rootzugang erobert, kann der Angreifer die Logs manipulieren und wenn er das gut macht sehen die völlig normal aus.
Was der Hacker nicht manipulieren kann (außer durch einen separaten Hack) ist die Trafficanzeige im Kundenmenü des Providers.
Im Allgemeinen ist es leichter den Mißbrauch nach dem Hack festzustellen als den Hack selbst.
Es sind alle Logfiles relevant, man sollte ein Gefühl dafür entwickeln wie sie normalerweise aussehen damit einem schon beim überfliegen Unregelmäßigkeiten auffallen. Mailbounces auswerten um festzustellen, ob der Server als Spamschleuder mißbraucht wurde. Belegten Festplattenplatz regelmäßig kontrollieren, laufende Prozesse auflisten lassen und offene Ports prüfen.
Gruß, Wolfgang
-
krumme
- Posts: 7
- Joined: 2008-04-21 16:46
Re: erfolgreichen Hack merken?
danke, gut das ich zz noch keinen Mailserver laufen hab :D
-
krumme
- Posts: 7
- Joined: 2008-04-21 16:46
Re: erfolgreichen Hack merken?
bringt es auch etwas, wenn ich kontrolliere welche Domains auf meinem Server geleitet werden? Z. B. mit http://serversniff.net/hostonip.php
mfg krummer
mfg krummer
-
wgot
- Posts: 1675
- Joined: 2003-07-06 02:03
Re: erfolgreichen Hack merken?
Hallo,
abgesehen davon, daß diese Dienste nicht zuverlässig alle aufgeschalteten Domains anzeigen - ein Hacker macht sich nicht die Mühe auf den gehackten Server eine Domain zu schalten, der nutzt direkt die IP oder eine Domain des Serverbesitzers. Außnahme Spamversand, da werden eine ganze Ladung Domains mißbraucht die überhaupt nicht auf den Server geschaltet sind.
Gruß, Wolfgang
abgesehen davon, daß diese Dienste nicht zuverlässig alle aufgeschalteten Domains anzeigen - ein Hacker macht sich nicht die Mühe auf den gehackten Server eine Domain zu schalten, der nutzt direkt die IP oder eine Domain des Serverbesitzers. Außnahme Spamversand, da werden eine ganze Ladung Domains mißbraucht die überhaupt nicht auf den Server geschaltet sind.
Gruß, Wolfgang