Nookie
19.08.2010, 00:06
Hallo Liebe BuHa Gemeinde :-)
Ich habe ein kleines Problemchen mit meinem Debian server.
Ich habe vor einigen Tagen gemerkt das ungewöhnlich viel Traffic den Router passieren und nach einwenig forschen habe ich herausbekommen das der Traffic meinem kleinen Debian Serverchen entstammt.
Nunja ich nutze den Server im Haushalt als Samba und für mich als Test-server für diverse PHP und MySQL Projekte, d.h ist lampp darauf installiert mit allem was dazugehört (ProFTPd, Apache usw...)
Nunja, ich erlaube auch meinen freunden das sie über den server kleinere daten (Dokumente usw) sharen dürfen. Doch nun hat irgend eins dieser genies auf irgend einer russischen äuserst fragwürdiger seite etwas gepostet und die datei die er verteilt hat war natürlich auf meinem Server.
Da ich den Server aber eigentlich nur für mich gebraucht habe, habe ich mich keineswegs um eine sichere Konfiguration bemüht...
Nunja, ein blick in das passwd file hat mir dann auch offensichtlich gezeigt das da wer rumgefingert hat, den da sind auf einmal neue User mit root rechten, die da ganz bestimmt NICHT hingehören!
Ich habe natürlich sofort port 80 und 22 geschlossen um schlimmeres zu verhindern, ich will ja nicht das mein Server für irgendwelchen illegalen mist misbraucht wird.
Nunja. meine frage ist nun, kann man nach soeiner aktion den server mit einigen handgriffen wider flott machen?
oder am besten alles wegknallen und neu aufsetzen?
Ich würd den eigentlich gerne wider ins netz hängen?
hier noch ein log den ich gerade mit rkhunter erstellt habe:
http://www.xup.in/dl,19887955/rkhunter.log/
Ich habe ein kleines Problemchen mit meinem Debian server.
Ich habe vor einigen Tagen gemerkt das ungewöhnlich viel Traffic den Router passieren und nach einwenig forschen habe ich herausbekommen das der Traffic meinem kleinen Debian Serverchen entstammt.
Nunja ich nutze den Server im Haushalt als Samba und für mich als Test-server für diverse PHP und MySQL Projekte, d.h ist lampp darauf installiert mit allem was dazugehört (ProFTPd, Apache usw...)
Nunja, ich erlaube auch meinen freunden das sie über den server kleinere daten (Dokumente usw) sharen dürfen. Doch nun hat irgend eins dieser genies auf irgend einer russischen äuserst fragwürdiger seite etwas gepostet und die datei die er verteilt hat war natürlich auf meinem Server.
Da ich den Server aber eigentlich nur für mich gebraucht habe, habe ich mich keineswegs um eine sichere Konfiguration bemüht...
Nunja, ein blick in das passwd file hat mir dann auch offensichtlich gezeigt das da wer rumgefingert hat, den da sind auf einmal neue User mit root rechten, die da ganz bestimmt NICHT hingehören!
Ich habe natürlich sofort port 80 und 22 geschlossen um schlimmeres zu verhindern, ich will ja nicht das mein Server für irgendwelchen illegalen mist misbraucht wird.
Nunja. meine frage ist nun, kann man nach soeiner aktion den server mit einigen handgriffen wider flott machen?
oder am besten alles wegknallen und neu aufsetzen?
Ich würd den eigentlich gerne wider ins netz hängen?
hier noch ein log den ich gerade mit rkhunter erstellt habe:
http://www.xup.in/dl,19887955/rkhunter.log/