Guten Abend Forum,

hatten heute am Rechner das Problem das sich "Michael" nicht mehr einloggen konnte. (also über gdm). Hab dann das Passwort für ihn neu festgelegt und schon gings wieder.

Jetzt schau ich Spaßeshalber mal in den Logviewer und sehe folgendes:


Feb 13 17:06:32 localhost sshd[14658]: pam_succeed_if: requirement "uid < 100" not met by user "michael"
Feb 13 17:06:32 localhost sshd[14658]: Accepted password for michael from ::ffff:82.77.62.46 port 33822
Feb 13 19:19:04 localhost sshd[16659]: Did not receive identification string from ::ffff:213.186.61.81
Feb 13 19:22:12 localhost sshd[16701]: Illegal user jordan from ::ffff:213.186.61.81
Feb 13 19:22:15 localhost sshd[16701]: Failed password for illegal user jordan from ::ffff:213.186.61.81 port 4480 ssh2
Feb 13 19:22:18 localhost sshd[16704]: Failed password for michael from ::ffff:213.186.61.81 port 4604 ssh2
Feb 13 19:22:19 localhost sshd[16706]: Illegal user nicole from ::ffff:213.186.61.81
Feb 13 19:22:21 localhost sshd[16706]: Failed password for illegal user nicole from ::ffff:213.186.61.81 port 4747 ssh2
Feb 13 19:22:22 localhost sshd[16709]: Illegal user daniel from ::ffff:213.186.61.81
Feb 13 19:22:24 localhost sshd[16709]: Failed password for illegal user daniel from ::ffff:213.186.61.81 port 4873 ssh2
Feb 13 19:22:25 localhost sshd[16711]: Illegal user andrew from ::ffff:213.186.61.81
Feb 13 19:22:28 localhost sshd[16711]: Failed password for illegal user andrew from ::ffff:213.186.61.81 port 1131 ssh2
Feb 13 19:22:28 localhost sshd[16714]: Illegal user nathan from ::ffff:213.186.61.81
Feb 13 19:22:31 localhost sshd[16714]: Failed password for illegal user nathan from ::ffff:213.186.61.81 port 1274 ssh2
Feb 13 19:22:32 localhost sshd[16717]: Illegal user matthew from ::ffff:213.186.61.81
Feb 13 19:22:34 localhost sshd[16717]: Failed password for illegal user matthew from ::ffff:213.186.61.81 port 1410 ssh2
Feb 13 19:22:35 localhost sshd[16719]: Illegal user magic from ::ffff:213.186.61.81
Feb 13 19:22:37 localhost sshd[16719]: Failed password for illegal user magic from ::ffff:213.186.61.81 port 1568 ssh2
Feb 13 19:22:38 localhost sshd[16722]: Illegal user lion from ::ffff:213.186.61.81
Feb 13 19:22:40 localhost sshd[16722]: Failed password for illegal user lion from ::ffff:213.186.61.81 port 1708 s
etc..

Seh ich das richtig das da einer als Michael rein ist? PW war natürlich Michael :rolleyes:
Steh etwas aufn Schlauch, hab nen dicken Kopf. :D
Der 2. hatte ja weniger Glück wies scheint.

Wenn ja, was sollte ich alles auf veränderungen am Rechner prüfen? Verstecke Prozesse, etc?

Grüße

Hi,

Lade dir mal "chrootkit", dieses Tool prüft auf die häufigsten Schweinereien die nach einem Einbruch veranstaltet werden.

http://www.chkrootkit.org/

Auf jeden Fall würde ich zur Sicherheit die Installation plätten. Wenn die nur halbwegs geschickt dein System korrumpiert haben, hat man als Nichtadmin kaum Chancen dies sicher zu entdecken.
Mit Fedora?, sollte doch die Neuinstallation+"cp" der eigenen Konfigfiles, wenig mehr als ein Sixpack lang andauern.

Shit happens.

Okay, neuinstall ist wohl ne gute Idee..Das Programm findet nix. Netstat läuft auf defunct, hängt evtl. auch damit zusammen.

Aber so wie ich das sehe hat der sich gleich beim ersten Versuch erfolgreich eingeloggt. Wie kann das sein? Woher weiß der welche Benutzerkonten installiert sind.

Der Betroffene PC ist übrigens kein Server, sondern ein trivialer Familienpc mit isdn Verbindung.

MfG

Hi,

Denen wurde es ja nicht unbedingt schwer gemacht mit der PW-Kombination. :wink:

So soll es allgemein eine gute Idee sein, den ssh-port von 22 auf einen anderen zu verlegen und die "PermitRootLogin no" zu verändern.


Prost!

Das stimmt wohl.. :redface:
Eigentlich hätte ssh überhaupt nicht laufen müssen.. :biggrin:

Checking `lkm'... You have 7 process hidden for readdir command
You have 7 process hidden for ps command
Warning: Possible LKM Trojan installed

Wie mach ich denn die ausfindig?

mmm...

Ich lese gerade in einem kleinen Artikel, vielleicht hilft dir das ein bischen http://www.linux-magazin.de/Artikel/ausgabe/2004/04/aide/aide.html ... naja, das sicherste wäre erstmal, wenn du das System neu aufsetzen würdest, alles andere ist keine sichere Lösung ;) ...