Hatte ich "Besuch"? fstab war verändert

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
Antworten
Benutzeravatar
holgerw
Beiträge: 1489
Registriert: 13.03.2003 16:19:00
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Marburg

Hatte ich "Besuch"? fstab war verändert

Beitrag von holgerw » 01.02.2006 17:32:59

Hi,

gerade eben wollte ich in mein /multi Verzeichnis wechseln. Dies hat einen extra Mountpoint. Doch ich musste erschreckt festellen, dass dieser Ordner leer war. Dann überprüfte ich mit dem Mountbefehl, was alles gemountet war. /dev/hda8 mit besagtem /multi fehlte in der Auflistung. Dann überprüfte ich die /etc/fstab. Nichts mehr war von dem Eintrag /dev/hda8 zu sehen.

Was hat das zu bedeuten? Hat vielleicht ein ungebetener Gast meine /etc/fstab manipuliert? Komisch fände ich das schon, da ich hinter einem per Firewall gesicherten Router von Netgear am Netz hänge. Kann da jemand was zu sagen?

Ganz ausschließen möchte ich zwar nicht, dass ich das eventuell selber verbockt habe (ssh zwischen meinen PCs im Netz) allerdings glaube ich kaum, da die fstab meines PCs manipuliert zu haben.

Beste Grüße,
Holger
Nach oben
Methusalix

Hatte ich "Besuch"? fstab war verändert

Beitrag von Methusalix » 01.02.2006 18:51:24

Hallo,

Besuch gehabt ? Schon möglich, aber Besucher haben i.d.R. die Absicht, nicht entdeckt zu werden. Offenkundig die /etc/fstab zu manipulieren wäre in diesem Sinn nicht sonderlich klug. Da /multi leer war geht es also nicht nur um die Manipulation von fstab, sondern auch um Löschvorgänge. Wann ist denn die fstab geändert worden. Was kannst Du den Protokolldateien entnehmen? Von der Firewall abgesehen wird es wohl auch Zeit sich mit Bastille oder ähnlichen (harden-tools) zu beschäftigen.

Gruß
Matthias
Nach oben
Benutzeravatar
holgerw
Beiträge: 1489
Registriert: 13.03.2003 16:19:00
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Marburg

Beitrag von holgerw » 01.02.2006 20:08:31

Hi Matthias,

danke für die Antwort. Nun ja, nachdem ich den Eintrag für /multi der fstab wieder hinzugefügt hatte, und das Verzeichnis mountete, war es nicht mehr leer, Daten habe ich nicht verloren. Ich werde das mal gründlich im Auge behalten.

Die Firewall des Routers müsste doch eigentlich ausreichend sein, oder ist sie das nicht?
Nach oben
Benutzeravatar
berlinerbaer
Beiträge: 3339
Registriert: 28.04.2003 01:29:55
Wohnort: Sachsen, Krabatregion

Beitrag von berlinerbaer » 01.02.2006 21:39:18

holgerw hat geschrieben: Die Firewall des Routers müsste doch eigentlich ausreichend sein, oder ist sie das nicht?
wenn er richtig eingestellt ist ;-)
Außerdem kannst du damit nur Ports schließen, wenn du dir einen Rootkit draufgeschleppt hast und dann vielleicht noch ein paar Ausführungsberechtigungen falsch gesetzt hättest oder als root arbeitetst, dann würde dir gegebenfalls der Router auch nichts nutzen.

Mit scheint aber, dass das Löschen des Verzeichnisinhaltes kein Hacker war, sowas ist relativ sinnlos - was würde ein Angreifer damit erreichen wollen.
Gruß
vom Bären

Endlich in Rente! Nur weg aus dem Irrenhaus.
Nach oben
Benutzeravatar
holgerw
Beiträge: 1489
Registriert: 13.03.2003 16:19:00
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Marburg

Beitrag von holgerw » 01.02.2006 21:59:43

peterschubert hat geschrieben: Außerdem kannst du damit nur Ports schließen, wenn du dir einen Rootkit draufgeschleppt hast und dann vielleicht noch ein paar Ausführungsberechtigungen falsch gesetzt hättest oder als root arbeitetst, dann würde dir gegebenfalls der Router auch nichts nutzen.

Mit scheint aber, dass das Löschen des Verzeichnisinhaltes kein Hacker war, sowas ist relativ sinnlos - was würde ein Angreifer damit erreichen wollen.
Hi Peter,

nun, der Verzeichnisinhalt wurde ja nicht gelöscht. /dev/hda8 war einfach nicht mehr auf /multi gemountet und in der fstab fehlte der Eintrag für /dev/hda8 auf /multi. Ich werde mich wohl mal mit Firewallkonfiguration unter Debian beschäftigen.

Beste Grüße,
Holger
Nach oben
Antworten

Zurück zu „Einstiegsfragen“