Was wird da auf meinem Server gespielt?

Dieses ding habe ich heute in den Logs gefunden

Jan 3 03:54:07 p15144967 postfix/smtpd[26250]: warning: tseclan.net[217.160.204.54] sent message header instead of SMTP command: From:pete@aol.com
Jan 4 10:00:35 p15144967 postfix/sendmail[17805]: fatal: usage: sendmail [options]


Tut mir leid wenn das sich doof anhört aber ich habe angst das da jemand etwas versucht über den Server zu verschicken wie z.B das root passwort.

Der Server der als Link angegeben ist sieht meiner meinung nach schon gehackt aus

Nachtrag

CHKROOTKIT hat folgende dinge gefunden

Searching for anomalies in shell history files... Warning: `//root/.mysql_histor
y' file size is zero

und dann ist port 600 auf einmal belegt

Was passiert hier?
 
Das erste war eine Fake e-mail bei der du zufällig ( oder dein Server ) als Absender angegeben warst.

Das zweite heisst: A. dass du SQL entweder nochnie auf dem Server verwendest hast oder B: dass jemand versucht seine spuren zu beiseitigen ( bessergesagt beseitigt hat :) schreib doch einfach mal nen eintrag in die history dann geht die fehlermeldung auch weg :)

Das root password ?? braucht keiner

Den 600er Port ??

http://www.sans.org/resources/idfaq/oddports.php

sorry keine Ahnung
 
Das ding ist ja die SQL lief immer und wurde auch nicht aufgesetzt
aber wie kann man den meine SQL hacken und dann zugriff nehmen auf die Logs
oder noch besser wo kann ich den nun nachverfolgen was dort passiert ist.

und bei den ganzen programmen die laufen finde ich auch nicht auf die schnelle herraus was sich auf port 600 abspielt

Das root password ?? braucht keiner =??? wie meinst du das
 
Nachverfolgen kannst du z.b. anhand der Verbindungen die rein und raus gehen.

SQL schreibt logs oder ?

Mit einem Portsniffer auf dem Server :) 600er port z.b. ehereal
 
ps -auxf
lsof -i
lsof i | grep 600
cat /etc/services | grep 600

nur mal so als tip.

----------------------------------------------------
netstat -lnp
PID ziehen
ps auwex | grep -w <PID>

Lauter nette tools um herrauszufinden WER WO WAS mit WEM treibt ;)
da steckt noch eine Menge drin, lies die manpages.

mfg
 
Zurück
Oben