[HaBo]

Deex · 04.01.04, 10:10

Dieses ding habe ich heute in den Logs gefunden

Jan 3 03:54:07 p15144967 postfix/smtpd[26250]: warning: tseclan.net[217.160.204.54] sent message header instead of SMTP command: From:pete@aol.com
Jan 4 10:00:35 p15144967 postfix/sendmail[17805]: fatal: usage: sendmail [options]

Tut mir leid wenn das sich doof anhört aber ich habe angst das da jemand etwas versucht über den Server zu verschicken wie z.B das root passwort.

Der Server der als Link angegeben ist sieht meiner meinung nach schon gehackt aus

Nachtrag

CHKROOTKIT hat folgende dinge gefunden

Searching for anomalies in shell history files... Warning: `//root/.mysql_histor
y' file size is zero

und dann ist port 600 auf einmal belegt

Was passiert hier?

silenced · 05.01.04, 12:04

Das erste war eine Fake e-mail bei der du zufällig ( oder dein Server ) als Absender angegeben warst.

Das zweite heisst: A. dass du SQL entweder nochnie auf dem Server verwendest hast oder B: dass jemand versucht seine spuren zu beiseitigen ( bessergesagt beseitigt hat :-) schreib doch einfach mal nen eintrag in die history dann geht die fehlermeldung auch weg :-)

Das root password ?? braucht keiner

Den 600er Port ??

http://www.sans.org/resources/idfaq/oddports.php

sorry keine Ahnung

Anzeige

- Anzeige -

Deex · 05.01.04, 12:07

Das ding ist ja die SQL lief immer und wurde auch nicht aufgesetzt
aber wie kann man den meine SQL hacken und dann zugriff nehmen auf die Logs
oder noch besser wo kann ich den nun nachverfolgen was dort passiert ist.

und bei den ganzen programmen die laufen finde ich auch nicht auf die schnelle herraus was sich auf port 600 abspielt

Das root password ?? braucht keiner =??? wie meinst du das

silenced · 05.01.04, 13:23

Nachverfolgen kannst du z.b. anhand der Verbindungen die rein und raus gehen.

SQL schreibt logs oder ?

Mit einem Portsniffer auf dem Server :-) 600er port z.b. ehereal

05.01.04, 22:01

ps -auxf
lsof -i
lsof i | grep 600
cat /etc/services | grep 600

nur mal so als tip.

----------------------------------------------------
netstat -lnp
PID ziehen
ps auwex | grep -w <PID>

Lauter nette tools um herrauszufinden WER WO WAS mit WEM treibt

da steckt noch eine Menge drin, lies die manpages.

mfg

Anzeige

- Anzeige -

04.01.04, 10:10	#1 (permalink)
Deex Registriert seit: 01.01.04 Likes: 0	Was wird da auf meinem Server gespielt? Anzeige Dieses ding habe ich heute in den Logs gefunden Jan 3 03:54:07 p15144967 postfix/smtpd[26250]: warning: tseclan.net[217.160.204.54] sent message header instead of SMTP command: From:pete@aol.com Jan 4 10:00:35 p15144967 postfix/sendmail[17805]: fatal: usage: sendmail [options] Tut mir leid wenn das sich doof anhört aber ich habe angst das da jemand etwas versucht über den Server zu verschicken wie z.B das root passwort. Der Server der als Link angegeben ist sieht meiner meinung nach schon gehackt aus Nachtrag CHKROOTKIT hat folgende dinge gefunden Searching for anomalies in shell history files... Warning: `//root/.mysql_histor y' file size is zero und dann ist port 600 auf einmal belegt Was passiert hier?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Wo wird die "Sam" datei bei Server gespeichert?	ZeRoAnGeL	Windows	6	02.01.06 16:55
Server auf meinem pc einrichten?	jo.kah	Die Problemzone	11	20.12.05 11:49
SSH Verbindung zu meinem Server	Sr01	Internet Allgemein	5	14.08.05 12:02
Sicherheitslücken an meinem Server?	Chris	(In)security allgemein	3	22.10.03 01:22
Am Computer zu Tode gespielt	Indi	News & Ankündigungen	0	10.10.02 00:25

05.01.04, 12:04	#2 (permalink)
silenced Senior Member Registriert seit: 23.12.03 Likes: 0	Das erste war eine Fake e-mail bei der du zufällig ( oder dein Server ) als Absender angegeben warst. Das zweite heisst: A. dass du SQL entweder nochnie auf dem Server verwendest hast oder B: dass jemand versucht seine spuren zu beiseitigen ( bessergesagt beseitigt hat :-) schreib doch einfach mal nen eintrag in die history dann geht die fehlermeldung auch weg :-) Das root password ?? braucht keiner Den 600er Port ?? http://www.sans.org/resources/idfaq/oddports.php sorry keine Ahnung

05.01.04, 12:07	#3 (permalink)
Deex Themenstarter Registriert seit: 01.01.04 Likes: 0	Das ding ist ja die SQL lief immer und wurde auch nicht aufgesetzt aber wie kann man den meine SQL hacken und dann zugriff nehmen auf die Logs oder noch besser wo kann ich den nun nachverfolgen was dort passiert ist. und bei den ganzen programmen die laufen finde ich auch nicht auf die schnelle herraus was sich auf port 600 abspielt Das root password ?? braucht keiner =??? wie meinst du das

05.01.04, 13:23	#4 (permalink)
silenced Senior Member Registriert seit: 23.12.03 Likes: 0	Nachverfolgen kannst du z.b. anhand der Verbindungen die rein und raus gehen. SQL schreibt logs oder ? Mit einem Portsniffer auf dem Server :-) 600er port z.b. ehereal

05.01.04, 22:01	#5 (permalink)
Gulliver Guest Likes:	ps -auxf lsof -i lsof i \| grep 600 cat /etc/services \| grep 600 nur mal so als tip. ---------------------------------------------------- netstat -lnp PID ziehen ps auwex \| grep -w <PID> Lauter nette tools um herrauszufinden WER WO WAS mit WEM treibt da steckt noch eine Menge drin, lies die manpages. mfg

[HaBo]

Was wird da auf meinem Server gespielt?