Sicherheitsproblem - bitte um Hilfe.

[dow]

Hallo Leute,

ich suche jemanden der mal Lust hat sich unser System anzuschauen.
Gestern wurde unsere komplette confixx-datenbank gelöscht, nachdem alles wiederhergestellt wurde heute erneut
Es kann natürlich auch ein software-fehler sein, allerdings habe ich unmittelbevor nichts an der Softwarebasis geändert.

Es ist ein Debian-System.

Mich würde vor allem interessieren, in ob und wo protokolliert wird wer sich wann einloggt.

 

[Miniwinni]

Hallo,

in weit bzw. wie ist das System abgesichert!?

Welche Release Version habt ihr? 3.0 also Releaseupdate vom 26.10.2004?

Sonst mal auf diese spezielle Seite gehen hier klicken>>>>>>


was die Sicherheit betrifft hier klicken >>>>>




mfg

 

[roerich]

Wie bekomme ich raus wer sich eingeloggt hat:

last

Die Security-updates beziehst du über apt-get?

Ansonsten gibt es noch ein Securing Debian Howto

 

[jurek]

Du kannst dir auch die log-dateien vorknüpfen. sie befinden sich in /var/log. auth.log und syslog dürfen möglicherweise sehr interessant sein.

wenn bei dir woody im einsatz ist, dann unbedingt:
apt-get update
apt-get upgrade

durchführen. dabei weden alle sicherheitspatches aufgespielt....

 

[dow]

per apt get ist das system aktuell.

Habe zumindest nach dem ersten Einbruch aktualisiert, vorher dürfte es etwa auf Stand Anfang September gewesen sein.

Die letzten Logins welche mir "Last" zeigt war alles ich,
theoretisch würde es mich auch wundern wenn man über ssh reingekommen wäre.
Die Passwörter sind nicht unbedingt kurz und einfach.

Wie sehe ich mit welchem release ich arbeite?

Kernel ist 2.4.22

 

[roerich]

cat /etc/debian_version oder so ähnlich

hab grad kein debilian greifbar

 

[dow]

thx, habe nach irgendeinem befehl gesucht.

version ist 3.0 also aktuell, sei denn es müsste da 3rc3 stehen.

 

[marcelcedric]

Ich wuerd mir erstmal die Logs angucken, wie das passiert ist. Ob das ein Fehler von Confixx war oder ob sich wer ueber SSH Zugang verschaft hat. - Vielleicht auch eine Sicherheitsluecke im webserver?

mfg

 

[dow]

jetzt wirds langsam problematisch,

habe das system neu gestartet, jetzt bekomme ich den mysql nicht mehr zu laufen

 

[marcelcedric]

Fehler?

mfg

 

[dow]

/var/log/mysql.log und /var/log/mysql/mysql.err machen mich nicht schlauer


>Starting mysqld daemon with databases from /var/lib/mysql
>041110 16:52:58 mysqld ended

 

[marcelcedric]

Startest du ihn Manuel oder per hand? Start ihn mal per hand. /etc/init.d/mysql[tab] start.

mfg

 

[dow]

hatte ihn manuell gestartet, war nichts zu machen.

habe ihn aber jetzt komplett runtergemacht und neu eingerichtet -> mysql läuft wieder.

habe gerade fleißig passwörter geändert und werde als nächstes die backup-scripte etwas optimieren und danach versuchen das mysql.log auszuwerten um herauszufinden wann die delete-abfrage kam.

logfiles sind alle gesichert, müssen nur noch irgendwie brauchbar ausgewertet werden, ich hoffe es war irgendein nichtkönner der genug spuren hinterlassen hat .