boggn, du hast einige gute Grundkenntnisse. Mich wundert aber, dass du bestimmte Sachen weißt aber IMHO eher grundlegenere Sachen wie grep oder die /etc/resolv.conf zB nicht. Naja. Deswegen jetzt jmd. seinem Homeserver madig machen zu wollen finde ich übertrieben. Windows ist auch für alle da und nicht nur für die, die sich mit Win "ultragut" auskennen.

Hast du nun mal die vorgeschlagene Googlesuche gemacht? Vllt geht dir ein Lichtchen auf

Nun, ich glaube nun zu verstehen, was Karaya meinte.
Es wurde vom root zu www-data ge-su-t. (Nicht andersrum, wie ich anfangs annahm.)
Dann wurden rechte vergeben, wobei ich nicht verstehe, wozu + ??? ist, root:www-data ist user:group.
Dies könnte man so auffassen, dass der www-data Gruppe irgendwo Berechtigungen gegeben wurden, aber mit einer + ??? kann ich selbst bei google nicht weit kommen.

Dann bin ich wieder am Anfang. Jedenfalls wurde die lastlog gelöscht, was darauf schließen lässt, dass gehackt wurde. (Ja, da habe ich gegoogelt, ich habe nur Beiträge gefunden, wo zu einer Neuinstallation geraten wurde, da "eingebrochen" wurde. Es wurde geschrieben, dass kein "normaler" Admin die lastlog löscht, denn es wäre wie dort oft erwähnt, unsinnig. Ich jedenfalls habe sie nicht gelöscht, zumindest wüsste ich nicht, wieso ich sowas machen würde.)
Greetz


edit: Achja, wegen deiner Verwunderung, anfangs habe ich Tutorials gefolgt, wie man SSH sichert, wie man apache konfiguriert, mySQL, phpMyAdmin etc. pp.
Irgendwann habe ich mir Ubuntu auf mein Notebook installiert, damit gefolgt von Problemen mit WLAN, wodurch ich die interfaces kennengelernt habe.
Die Logs wurden in späteren Tutorials erwähnt, weshalb ich mir mal ansah, was für Logs es gab. Hauptsächlich nutze ich zum editieren nano, zum ausgeben kurzer Dateien cat.
more ist neu für mich, aber ist ähnlich zu cat, hat den Vorteil, dass man "blättern" kann. grep wurde in nahezu keinem Tutorial verwendet, daher ist es mir größtenteils unbekannt.
Mit dem WLAN Problem auf dem Notebook habe ich dann grep erstmals benutzt, wobei es eher ein Kernelproblem ist, aber das tut hier nichts zur Sache.
Ich selbst gehe davon aus, dass ich einen Server betreiben kann und einige Grundlegende Sicherheitsmaßnahmen durchführen kann, allerdings muss ich wie viele andere entweder auf Tutorials zurückgreifen oder ich lese mir stundenlang die Beschreibungen der einzelnen Konfigurationsdateien durch. Das ist anstrengend und irgendwann ist man zu unkonzentriert und macht Fehler.
Naja, ich weiß noch nicht, wie man Rechte zuweißt (das nächste wichtige, was ich lernen muss), dafür verstehe ich aber das Prinzip von chmod/chown bzw. Zugriffsrechte.
Ich verstehe sogar einwenig, wie su arbeitet, dass es keine neue Konsole eröffnet, welches man für screen braucht.
Also einige Einzelheiten, die ein Anfänger nicht weiß, aber einiges Fehlt mir hier sicherlich.
Jedenfalls versuche ich aus Fehlern zu lernen, was mir auch gelingt, solange ich die Fehler natürlich erkenne. Die Logs "richtig" zu lesen ist noch eine kleine Schwäche, aber das wird sicher noch.

Wieder zu lange getippt >.<
Hier mein Zusatz:

hm... es erscheint mir tatsächlich ein CronJob zu sein -> hxxp://www.linuxquestions.org/questions/linux-security-4/understanding-auth-log-696155/
Allerdings ist es recht seltsam, dass es "auf einmal" aufgehört hat. Ich habe lighttpd bereits 2 Monate vorher drauf gehabt, apache dabei deinstalliert.
Weiterhin seltsam, im dpkg log fehlt ein großer Zeitraum. Selbiges im Access.log von lighttpd.
access.log.1 letzter Eintrag: [21/Aug/2010:13:30:40 +0200]
access.log erster Eintrag: [24/Sep/2010:13:24:22 +0200]
dpkg.log.1 letzter Eintrag: 2010-07-21
dpkg.log erster Eintrag: 2010-10-14
Wobei es beim dpkg nachvollziehbar wäre (nicht geupdatet)
Der error.log hat über den fehlenden Zeitraum Einträge, weswegen man nicht davon ausgehen kann, dass ich lighttpd einfach aus hatte...
Greetz

@boggn, zuerst dachte ich, du bist ein Troll. Zu groß war mir der Unterschied von Wissen zu Nicht-Wissen. Okay, bist du nicht.

Ich hatte da letzens in einem anderen Forum mit jemandem zu tun der glaubte er müsse unbedingt einen Virus haben. Es war das tägliche logrotate ausgelöst durch ein Cronjob.

Natürlich ist niemand mit Unix/Windows-Wissen auf die Welt gekommen, sondern in aller Regel muss man sich dieses Wissen - zu Teil sehr schmerzhaft - erarbeiten. Ich habe z.B. Apache noch nie installiert, weil ich es noch nie brauchte. Und madig will ich dir deinen Homeserver auch nicht machen.
Zum Thema Homeserver hier ein Link (wenn du es noch nicht kennst) hxxp://www.linux-home-server.de/

Ich bin übrigens nach wie vor der Meinung, du wurdest nicht gehackt.
Also, nichts für ungut.

Karaya

Inzwischen muss ich sagen, dass ich mir auch unsicher bin...
Scheinbar ist ntpdate für die Verbindungen zu den DNS-Servern verantwortlich. (Konnte ich inzwischen in den Logs rausfinden ^^)
Allerdings weiß ich immernoch nicht, was die Verzögerung beim Login vom SSH verursacht.

Deinen Link werde ich mir zu gemüte führen, allerdings tippe ich nicht einfach ab, mir ist es wichtig, zu wissen, was ich eintippe...
Also einiges, was ich lesen müsste, zusätzlich zur eigentlichen Seite.

Apache bzw. einen http-Server installiere ich im Grunde deshalb, weil das im Internet recht "üblich" ist, sowas wie ein "must-have" bzw. "must-know" wie ich finde.


Das mit dem Troll nehm ich dir aber auch nicht übel, ein Neuankömmling, der denkt, sein Linux-System ist infiziert, stehts mit dem Wortlaut, "ich wurde gehackt"...
Ich würde es nicht anders sehen

Das System werde ich aber nichtsdestotrotz neu installieren, denn ich kann nicht sagen, was ich bisher dort gemacht habe, es ist mehrere Jahre alt, inzwischen weiß ich besser, wie ich es administriere, als vor 2 Jahren.
Z.B. habe ich noch vnstat installiert (wie ich es aus den Logs entnahm), aber weiß nicht mehr, wie ich es installiert hatte, der Sourcecode ist nicht mehr drauf, ein Entfernen ohne Sourcecode zu haben, weiß nicht wie.
Wenn ich aber jetzt innerhalb einer Woche keinen weiteren Ansatz finde, werde ich es ohne Analyse neu installieren. Ich behalte aber die Logs, um mal reinzuschauen, wenn es mal notwendig sein sollte.
Greetz

Zitat:

Scheinbar ist ntpdate für die Verbindungen zu den DNS-Servern verantwortlich. (Konnte ich inzwischen in den Logs rausfinden ^^)

NTP hat was mit DNS zu tun?
Von welchem Zeitserver greift ntpdate denn die Zeit ab?

Nun, NTP versucht ins internet zu connecten, aber der Server hat einen leeren DNS-Cache.
Entsprechend wird eine Namensauflösung versucht, welche die DNS-Server dazu nehmen, das sind IPs in der resolv.conf (wenn ich mich nicht irre).
NTP versucht also ins Internet zu verbinden, welches durch meinen Router durch eine IP Sperre Unterbunden wird.
Daher hatte ich diese DNS-Server bei Netstat manchmal gesehen.
Bin jetzt aber wech, weitere Fragen beantworte ich gerne später :P
Greetz

Ok ist klar
Ein DNS-Query kann aber von fast allem ausgelöst worden sein.

Im Grunde schon, aber um mal zu schauen, ob es das ist, werde ich es mal deinstallieren.
Dann schauen, was noch einen DNS-Query auslösen kann. Allerdings muss ich noch begreifen, wie ich das rausfinden soll >.<
Greetz

Achja, fast vergessen, um euch einwenig zu ärgern, wieso ich doch so überzeugt davon bin, dass mein HomeServer gehackt wurde (Erste Log per Mail):

Code: Alles auswählenAufklappen

ATTFilter

[DoS attack: IP Spoof] attack packets in last 20 sec from ip [192.168.1.101 <- DHCP IP, Unterschiedlich vergeben (Meist Handy oder Konsole)], Friday, Jan 14,2011 20:19:05
[DoS attack: STORM] attack packets in last 20 sec from ip [69.10.30.13], Friday, Jan 14,2011 16:42:25
[DoS attack: STORM] attack packets in last 20 sec from ip [69.10.30.13], Friday, Jan 14,2011 16:38:23
[DoS attack: STORM] attack packets in last 20 sec from ip [69.10.30.13], Friday, Jan 14,2011 16:01:34
[DoS attack: ACK Scan] attack packets in last 20 sec from ip [178.199.186.115], Friday, Jan 14,2011 14:49:21
[DoS attack: STORM] attack packets in last 20 sec from ip [HomeServer-IP], Friday, Jan 14,2011 04:51:32
[DoS attack: STORM] attack packets in last 20 sec from ip [HomeServer-IP], Friday, Jan 14,2011 04:51:10
[DoS attack: STORM] attack packets in last 20 sec from ip [HomeServer-IP], Friday, Jan 14,2011 04:50:50
[DoS attack: IP Spoof] attack packets in last 20 sec from ip [192.168.1.11 <- Nicht vergeben], Thursday, Jan 13,2011 19:42:30
[DoS attack: ACK Scan] attack packets in last 20 sec from ip [78.51.43.13], Thursday, Jan 13,2011 15:25:05
[DoS attack: STORM] attack packets in last 20 sec from ip [HomeServer-IP], Thursday, Jan 13,2011 04:39:13
[DoS attack: STORM] attack packets in last 20 sec from ip [HomeServer-IP], Thursday, Jan 13,2011 04:38:52
[DoS attack: STORM] attack packets in last 20 sec from ip [HomeServer-IP], Thursday, Jan 13,2011 04:38:31
[DoS attack: STORM] attack packets in last 20 sec from ip [95.104.107.166], Thursday, Jan 13,2011 02:32:10
[DoS attack: STORM] attack packets in last 20 sec from ip [69.10.30.12], Wednesday, Jan 12,2011 19:58:41
[DoS attack: STORM] attack packets in last 20 sec from ip [69.10.30.12], Wednesday, Jan 12,2011 19:57:31
[DoS attack: STORM] attack packets in last 20 sec from ip [84.40.123.234], Wednesday, Jan 12,2011 17:49:05
[DoS attack: STORM] attack packets in last 20 sec from ip [84.40.122.238], Wednesday, Jan 12,2011 17:49:05
[DoS attack: IP Spoof] attack packets in last 20 sec from ip [192.168.1.3 <- Nicht vergeben], Wednesday, Jan 12,2011 15:46:45
[DoS attack: IP Spoof] attack packets in last 20 sec from ip [192.168.1.3 <- Nicht vergeben], Wednesday, Jan 12,2011 15:46:15
[DoS attack: IP Spoof] attack packets in last 20 sec from ip [192.168.1.3 <- Nicht vergeben], Wednesday, Jan 12,2011 15:45:48
[DoS attack: STORM] attack packets in last 20 sec from ip [HomeServer-IP], Wednesday, Jan 12,2011 04:14:07
[DoS attack: STORM] attack packets in last 20 sec from ip [HomeServer-IP], Wednesday, Jan 12,2011 04:13:44
[DoS attack: STORM] attack packets in last 20 sec from ip [HomeServer-IP], Wednesday, Jan 12,2011 04:13:22
[DoS attack: STORM] attack packets in last 20 sec from ip [HomeServer-IP], Wednesday, Jan 12,2011 04:13:01
         

Diese IP Spoof/Storm Meldungen hörten auf, als ich den HomeServer einige Tage lang aus ließ.
Ich bin mir absolut sicher, dass ich diese Log lesen kann und weiß auch, was IP Spoof bedeutet. (Storm nehme ich an zu wissen, weiß es aber nicht 100%.)
Ich habe sämtliche DHCP, UPnP, Admin login, Zeitsynchronisationen und Internet Connect sowie Disconnect-Meldungen aus dem Log entfernt.
Ich habe noch viele weitere Logs in meinem kleinen Mail-Archiv.
Greetz

PS: Inzwischen Analysiere ich jede Log, die mir mein Router schickt. Gelegentlich prüfe ich auch die Einstellungen dessen.
Momentan sagt er mir nur, dass er sämtlichen Verkehr vom HomeServer blockiert, sonst keine PortScans oder sonstige Angriffe.

Nun fühl ich mich veräppelt...
Mein Netgear Router schickt mir heute wieder eine Log mit IP-Spoof der FritzBox IP. (Angemerkt, der Router hat falsche Uhrzeit, habs eben nachgebessert bzw. in den Logs verbessert)
[DoS attack: IP Spoof] attack packets in last 20 sec from ip [Fritz!Box-IP], Sunday, Mar 27,2011 16:35:21
[DoS attack: IP Spoof] attack packets in last 20 sec from ip [Fritz!Box-IP], Sunday, Mar 27,2011 20:34:16
[DoS attack: IP Spoof] attack packets in last 20 sec from ip [Fritz!Box-IP], Sunday, Mar 27,2011 21:34:19

Demnach Spooft der HomeServer gelegentlich von selbst, ohne dass es der "Herr" befiehlt.
Ich lasse ihn nun wieder aus und mache ihn ggf. an.
Bemerkenswert ist, dass die Zeitpunkte recht ähnlich sind. Also xx:34/xx:35 Uhr.
Könnte sich also um einen Cronjob handeln (was sonst würde man sagen).
Die Zeiten würden eigentlich zu den Cron-dingern im auth.log passen, allerdings hat er alle 5 Minuten einen Cronjob, sodass es etwas paranoid wäre zu sagen, dass es definitiv ein Cronjob wäre.
Allerdings habe ich crontab -l eingegeben und er sagt mir, es gäbe keine crontabs.

Weiterhin (vergessen zu erwähnen), fam war installiert.
Dieses Programm informiert einen, wenn sich Dateien/Ordner geändert habe. Dies wird haupsächlich in Desktop-Umgebungen genutzt, zumindest wird bei KDE der Konqueror erwähnt.
Ich habe jedoch nie KDE/Gnome oder sonstwas installiert, es ist ein reiner Konsolen-/Kommandozeilen-server.
Ich nehme an, dass dies zur Beobachtung installiert wurde, ich werde demnächst die apt-logs durchgehen, vielleicht kann ich da was entziffern bzw. ob es nicht doch bei einer meiner Experimente installiert wurde.
Greetz


edit: Blöd. Weder in den aptitude, noch den apt logs finde ich die Installation von fam. entweder wurde es manuell entfernt oder aber es ist von Anfang an da gewesen, als ich mit weniger Wissen den HomeServer installierte. Auch die dpkg Logs sagen nichts über fam, keinerlei Installationsdatum.
ls -l sagt folgendes:
-rwxr-xr-x 1 root root 1046 6. Dez 2009 /etc/init.d/fam
Dürfte also mit installiert worden sein... Jedoch scheint jede Log bei mir ein halbes Jahr später zu beginnen, also entweder dem 30.06. oder aber dem 04.07. alles 2010...
Ich bin verwirrt und zu müde von dem ganzen, jetzt erstmal schluss mit analysieren. :P