megtámadtak?

Fórumok

Sziasztok!

A melóhelyemen összeraktam még régen egy openSuSE 10.0 szervert. A munkahelynek 2 internetkapcsolata van. Az internetszolgáltatónk külödtt egy levelet, melyben közölték, hogy az egyik internetkapcsolatunkat korlátozták, mivel többszöri, jogosulatlan belépési kísérlet történt más internetszolgáltatók gépeibe. Kiderült, hogy azt a kapcsolatot korlátozták, amelyen az én szerverem is van. Mely log fájlokba tudok ennek utánanézni? a crontab-ba elhelyezett, percenként lefutó MYIP frissítő-szkript nem számíthat ilyesfajta tevékenységnek a szolgáltató szerint?

Hozzászólások

/var/log/* a te barátod első körben.

ps -ef | less a következőben
netstat -anp | less harmadjára

Végig kell nézni most mi fut a gépen, programok, hálózati forgalom stb.
Logokban is lehet egy két utalás de nem feltétlen.

Ha fut web szerver a gépen akkor azok logjait is érdemes átnézni.

Mostanság előszeretettel piszkálják az ingyenes cms/blog/forum rendszereket és azok sebezhetőségeit kihasználva csinálnak jó dolgokat.

Egy szép példa az akciókra:

http://pastebin.ca/1770555

A végeredmény a /tmp/.ICE/ könyvtárba született meg és az sshd programot akarta volna futtatni.
Nem jött össze neki.

De ez természetesen csak egy példa. Sok más hasonló is lehet.
A rendellenességeket kell keresni. Pl sshd program fut www-data user nevében.

Jó mulatást!