Re: [Forum] hacked - og hva så?

From: Jens Rohde <jens@rohde.dk>
Date: Mon Mar 18 2002 - 10:27:03 CET

On Mon, 18 Mar 2002, Claus [iso-8859-15] Ladekjær Wilson wrote:

> Jeg var væk fra maskinen i 2 minutter igår, og da jeg kom tilbage var
> maskinen ved at reboote. Det sker vel normalt ikke af sig selv.

Nu kan man ikke være helt sikker med PC-hardware. Der kan jo være fejl i
skidtet. Jeg oplevede det selv på et tidspunkt, hvor jeg havde leget lidt
med nogle lidt for ustabile kerne-moduler. Maskinen rebootede i et væk...
de pågældende moduler blev mere stabile med tiden ;)

> Jeg har nu sat sikkerheden i vejret med en firewall og ændret på nogle
> tilladelser.

Hvis din maskine virkelig er blevet hacket, så er det ikke sikkert det
hjælper. Så hvis jeg var dig, ville jeg nok få det undersøgt meget
grundigt, og i så tilfælde vil jeg nok installere maskinen om, og så få
den forsynet med FW m.m. _inden_ den kommer på nettet igen.

> Er der nogen steder ud over /var/log/messages, hvor jeg kan lede efter tegn
> på fremmed indtrængen?

Enhver fil i /var/log, men hvis intrængeren er bare nogenlunde
intelligent, så har han slettet sine spor efter sig.

Når alt det ovenstående er sagt, så tvivler jeg lidt på, at din maskine
rent faktisk er blevet hacket. Hvis den sidder direkte på en ADSL uden
beskyttelse af nogen art, kan du muligvis have været offer for et DoS
angreb, men næppe egentlig hackning. Hele humlen ved at hacke en maskine
er jo netop at få adgang til den, uden at ejeren opdager det. Så reboot er
nok ikke lige det første man vil gøre ved den.

Men få checket verden grundigt, og hvis du er i tvivl så installere en
frisk linux.
Når du er sikker på du har et sikkert grundlag, så er det på tide at se
lidt på din sikkerhed. Check at det ikke sådan bare er ligetil at komme
til maskinen udefra, check at der ikke kører services der ikke er brug for
(services er i langt de fleste tilfælde synderen, når maskier bliver
hacket), og frem for alt; sørg for at opdatere maskinen med alle relevante
patches. Mandrake skulle have nogle glimrende værktøjer til dette.
Endelig kan du jo også overveje at køre checksum på dine filer i */bin
og */sbin (og gem checksum-filerne på et readonly medium som f.eks. en CD)
og check så jævnligt, om der er blevet pillet ved filerne. Det er nemlig
noget af det første en hacker vil gøre. Ændre filer som f.eks. ls og ps,
så de skjuler hans tilstedeværelse.

Nå, ikke flere ord. Sig til, hvis du vil have ting uddybet, og andre må
også meget gerne byde ind... jeg kunne jo tage fejl :)

/Jens

--
We have normality -  anything you can't cope
with is therefore your own problem.
Received on Mon Mar 18 10:23:56 2002

This archive was generated by hypermail 2.1.8 : Tue Jul 19 2005 - 16:03:30 CEST