besuch auf dem rechner, kann mir jemand helfen?

michaa7 · Beitrag von **michaa7** » 23.04.2006 15:13:18

Auf meinem server läuft derzeit nur mein email programm, die verbindung zu meiner ws, der zeitserver. Sonst nichts. Mit meiner ws tue ich gar nichts, ausser mir anschauen, was auf meinem home-server los ist. Kein browser aktiv, kein filesharing, kein d/l.

Dennoch habe ich auf dem server starke festplatten aktivität, und eingehende verbindungen.. Netstat zeit mir etliche streams

Code: Alles auswählen

Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 p5089920E.dip0.t-ip:ssh tecnologia5.manqu:39868 SYN_RECV
tcp        0      0 192.168.1.2:imap2       192.168.1.3:48659       VERBUNDEN
tcp        0      0 localhost:1036          localhost:auth          TIME_WAIT
tcp        0      0 p5089920E.dip0.t-i:1034 ms-dienst.rz.RWTH-:pop3 TIME_WAIT
tcp        0      0 localhost:smtp          localhost:1035          TIME_WAIT
tcp6       0     35 p5089920E.dip0.t-ip:ssh tecnologia5.manqu:39868 VERBUNDEN
tcp6       0      0 ::ffff:192.168.1.2:ssh  ::ffff:192.168.1.:51273 VERBUNDEN
Aktive Sockets in der UNIX Domäne (ohne Server)
Proto RefZäh Flaggen     Typ        Zustand       I-Node Pfad
unix  15     [ ]         DGRAM                    3572     /dev/log
unix  3      [ ]         STREAM     VERBUNDEN     7758
unix  3      [ ]         STREAM     VERBUNDEN     7757
unix  2      [ ]         DGRAM                    7655
unix  3      [ ]         STREAM     VERBUNDEN     4237     /var/run/dovecot/logi                                                  n/default
unix  3      [ ]         STREAM     VERBUNDEN     4236
unix  2      [ ]         DGRAM                    4235
unix  3      [ ]         STREAM     VERBUNDEN     4234
unix  3      [ ]         STREAM     VERBUNDEN     4233
unix  2      [ ]         DGRAM                    4231
unix  2      [ ]         DGRAM                    4202
unix  2      [ ]         DGRAM                    4019
unix  3      [ ]         STREAM     VERBUNDEN     4018
unix  3      [ ]         STREAM     VERBUNDEN     4017
unix  3      [ ]         STREAM     VERBUNDEN     3906     /var/run/dovecot/logi                                                  n/default
unix  3      [ ]         STREAM     VERBUNDEN     3905
unix  3      [ ]         STREAM     VERBUNDEN     3904     /var/run/dovecot/logi                                                  n/default
unix  3      [ ]         STREAM     VERBUNDEN     3903
unix  2      [ ]         DGRAM                    3897
unix  2      [ ]         DGRAM                    3857
unix  2      [ ]         DGRAM                    3848
unix  3      [ ]         STREAM     VERBUNDEN     3844
unix  3      [ ]         STREAM     VERBUNDEN     3843
unix  3      [ ]         STREAM     VERBUNDEN     3840
unix  3      [ ]         STREAM     VERBUNDEN     3839
unix  3      [ ]         STREAM     VERBUNDEN     3838
unix  3      [ ]         STREAM     VERBUNDEN     3837
unix  2      [ ]         DGRAM                    3820
unix  2      [ ]         DGRAM                    3792
unix  2      [ ]         DGRAM                    3772
unix  2      [ ]         DGRAM                    3716
unix  3      [ ]         STREAM     VERBUNDEN     3646
unix  3      [ ]         STREAM     VERBUNDEN     3645
unix  2      [ ]         DGRAM                    3622

rwth achen ist klar, das ist mein postfach. Aber besonders diese beiden

Code: Alles auswählen

tcp6       0     35 p5089920E.dip0.t-ip:ssh tecnologia5.manqu:39868 VERBUNDEN
tcp6       0      0 ::ffff:192.168.1.2:ssh  ::ffff:192.168.1.:51273 VERBUNDE

sind mir ein rätsel sowie die mit Strweam gekennzeichneten verbindungen.

Kann mir da jemand ein paar erklärungen geben, wea uaf meinem server los ist?

Da besteht doch eine ssh verbindung nach ausseN?

Code: Alles auswählen

lingin:~# netstat -p
Aktive Internetverbindungen (ohne Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp6       0      0 ::ffff:192.168.1.2:ssh  ::ffff:192.168.1.:51273 VERBUNDEN  1869/sshd: mh [priv
tcp6       0      0 p5089920E.dip0.t-ip:ssh tecnologia5.manqu:60262 VERBUNDEN  3031/sshd: [accepte
Aktive Sockets in der UNIX Domäne (ohne Server)

smashie · Beitrag von **smashie** » 23.04.2006 15:18:36

was sgat ein 'who' / 'w' per console? schonmal chrootkit drüberlaufen lassen?

michaa7 · Beitrag von **michaa7** » 23.04.2006 15:20:55

smashie hat geschrieben:was sgat ein 'who' / 'w' per console? schonmal chrootkit drüberlaufen lassen?

mh pts/0 Apr 23 13:01 (192.168.1.3)

chrootkit ist wohl installiert, nur wie lasse ich das laufen?

michaa7 · Beitrag von **michaa7** » 23.04.2006 16:13:59

ja klar, das heißt natürlich chkrootkit, hat nichts gefunden

smashie · Beitrag von **smashie** » 23.04.2006 16:45:25

und schau mal ob du in einem "last 20" irgendwelche connections findest die nicht von dir sind!

michaa7 · Beitrag von **michaa7** » 23.04.2006 17:03:05

Code: Alles auswählen

last -n 100

da gibt es nur locale zugriffe über 192.168.x.y und reboot über 0.0.0.0, soweit schaut das schon gut aus.

Nur was hat es mit dieser komischen ssh verbindung, die ich mit netstat angezeigt bekomme, auf sich?

Code: Alles auswählen

tcp6       0     35 p5089920E.dip0.t-ip:ssh tecnologia5.manqu:39868 VERBUNDEN

Mit diesem hässlich wort "VERBUNDEN" am ende, das verunsichert mich[/b]

rak64 · Beitrag von **rak64** » 25.04.2006 12:19:54

zu chkrootkit: das sollte eigentlich über cron angestossen werden. Ich hab aber ein Ersatz dafür gefunden rkhunter, ist normal zu installieren.
einfach

Code: Alles auswählen

rkhunter

zeigt eine kurze Einleitung

Code: Alles auswählen

rkhunter --update

eliminiert Fehlermeldung für zuneue Pakete (ausser exim)
dann r

Code: Alles auswählen

khunter -c

als root auf der Console
einfach mal ausprobieren, für mich siehts super aus.

fake · Beitrag von **fake** » 26.04.2006 08:40:48

Ich denke wenn ein Rechner wirklich uebernommen wird, dann ist die Funktion vom chkrootkit in Frage zu stellen.
Oder was meint Ihr dazu?

http://linux-weblog.de

volley · Beitrag von **volley** » 27.04.2006 21:17:19

michaa7 hat geschrieben:...
Nur was hat es mit dieser komischen ssh verbindung, die ich mit netstat angezeigt bekomme, auf sich?
Code: Alles auswählen
tcp6       0     35 p5089920E.dip0.t-ip:ssh tecnologia5.manqu:39868 VERBUNDEN 
Mit diesem hässlich wort "VERBUNDEN" am ende, das verunsichert mich[/b]

Code: Alles auswählen

cat /var/log/auth.log | grep sshd

Da solltest du ganz viele zeilen mit "invalid user" sehen

Das sind ganz normale, alltägliche ssh-brute-force-attacken. Gegenmittel: apt-get install fail2ban

hth volley