Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Hoe weet ik dat er ingebroken is?  (gelezen 2578 keer)

Scartie

  • Gast
Hoe weet ik dat er ingebroken is?
« Gepost op: 2007/04/26, 20:42:50 »
Kan iemand mij vertellen hoe ik kan zien of er wat in mijn ubuntu veranderd is (bv dat ik een lijstje krijg als ik inlog wat er veranderd is tussen inlog tijden).

Het probleem is namelijk dat ik een server heb draaien waar ik dus niet altijd op kijk. Nu keek ik vandaag ff op de server via putty en toen kwam ik in de admin root-dir (ik log altijd in met mijn admin account) dat cpan erop stond en ook gnupg en ik zou niet weten waar dat vandaan komt, ik heb de laatste tijd nix geinstalled behalve dan de nodige upgrades (apt-get upgrade) en dat was het, kan het nou zijn dat er iemand wat op mijn computer heeft gezet of ben ik gewoon een beetje paranoide :D.

Wat ook mijn aandacht trekt is dat als ik mijn FTP-logs doorkijk ik daarin kan zien dat iemand wel heel erg bezig is geweest om in te loggen, hij heeft namelijk alle mogelijke gebruikersnamen gebruikt om in te loggen.
Zelfde geld voor auth.log daar staat om de zoveel tijd in (meestal om de 8 a 10 min) dat er een "session opend for user root by (uid = 0)" en gelijk daarna op dezelfde tijd staat dat de "session closed for user root" zijn dit programma's die dit doen of probeerd er dan 1tje in te komen.

Alvast bedankt voor de hulp

Gegroet
Scartie

Offline bartek

  • Lid
    • http://bartek.blogsome.com
Hoe weet ik dat er ingebroken is?
« Reactie #1 Gepost op: 2007/04/26, 21:15:38 »
Ik zou sowieso je gebruiksnaam en inloggegevens eens veranderen.
De enige mogelijkheid om binnen te geraken is dus via die gegevens, waarschijnlijk is het gewoon een progje dat continue nieuwe inloggegevens probeert in de hoop dat de administrator zo dom was om een simpele te kiezen.
| Deliberando saepe perit occasio |

"Car la vie est un bien perdu quand on n'a pas vécu comme on l'aurait voulu"

Offline raggar

  • Lid
    • fietsen naar Tibet
Hoe weet ik dat er ingebroken is?
« Reactie #2 Gepost op: 2007/04/27, 03:03:17 »
Citaat van: Scartie
Wat ook mijn aandacht trekt is dat als ik mijn FTP-logs doorkijk ik daarin kan zien dat iemand wel heel erg bezig is geweest om in te loggen, hij heeft namelijk alle mogelijke gebruikersnamen gebruikt om in te loggen.
Waarschijnlijk een server die automatisch probeert in te loggen. Zelf had ik ftp altijd afgesloten en via ssh bestanden over gebracht. Echter het is ook een oplossing om ftp over een andere poort te draaien, dan ben je (meestal) van je probleem af.

Azalin

  • Gast
Hoe weet ik dat er ingebroken is?
« Reactie #3 Gepost op: 2007/04/27, 09:09:47 »
Die script-kiddies die via scripjes en bots de FTP server proberen te kraken was voor mij een reden om de FTP server weer plat te gooien thuis. Niet omdat het ze uiteindelijk gelukt is om in te breken, of omdat ik bang was, maar omdat die *kuch* jongetjes en meisjes mijn bandbreedte aan het slopen waren. Mijn internet verbinding vanaf mijn PC was vreselijk traag, bleek dat er dus gewoon tig aanvragen per minuut werden gedaan van een heleboel verschillende lokaties .. naja, de poort in mijn router naar mijn PC dicht gesmeten en de ftp server lekker plat. had dat ding ook niet echt meer nodig maargoed, als ik een andere poort had genomen hadden de kiddies dat in eerste instantie niet gevonden maar eenmaal je IP adres ontdekt gaan ze gewoon scannen voor ports en dan komen ze die alternatieve FTP poort ook weer tegen...

Offline Johan van Dijk

  • Administrator
    • johanvandijk
Hoe weet ik dat er ingebroken is?
« Reactie #4 Gepost op: 2007/04/27, 19:13:11 »
Je kan via fail2ban instellen dat als ze 2x (of een ander getal) een foute username/wachtwoord invoeren, geband worden. Je kan ook instellen voor hoe lang die ettertjes geband moeten worden.
fail2ban werkt voor ssh, ftp, http (apache) en volgens mij ook voor meerdere protocollen.

Wil je het geavanceerder doen, dan kan je met snort en/of ossec ook dat soort dingen doen.

Scartie

  • Gast
Hoe weet ik dat er ingebroken is?
« Reactie #5 Gepost op: 2007/04/28, 13:48:11 »
Ok bedankt voor de reacties ik heb nu fail2ban erop gezet kijken of dat scheelt.

Bedankt voor de reacties

Gegroet
Scartie

kiss

  • Gast
Hoe weet ik dat er ingebroken is?
« Reactie #6 Gepost op: 2007/05/01, 12:17:21 »
Citaat van: Scartie
Kan iemand mij vertellen hoe ik kan zien of er wat in mijn ubuntu veranderd is (bv dat ik een lijstje krijg als ik inlog wat er veranderd is tussen inlog tijden).
Hi,

Is Rootkit Hunter en/of Tripwire niet wat (synaptic)?

mvg,
Erwin