benlen Skrevet 22. februar 2006 Del Skrevet 22. februar 2006 (endret) I dag tidlig merket i Firestarter jeg at det var en utgående koblig på port 6668 (666x iallefall, husker ikke helt) på ircd som hadde holdt på en stund. jeg har tidligere i uka vært plaget av mange ICMP pakker, så jeg filtererte bort alle ICMP pakke typer. Dette kjører jeg på Ubuntu 5.10: apache med php sql (Joomla 1.05 og gallery2) tomcat openssh NX server. no-ip.orgs oppdateringsklient +alt annet som fulgte med ubuntu Åpnede porter i Firestarter: 80 8080 22 (har hatt andre porter oppe tidligere) SPØRSMÅL: 1. Har jeg blitt hacket? 2. Må jeg formatere og reinstallere? 3. Hva har jeg gjort feil? EDIT: Er Ubuntu server edition mer sikker? Skal jo bare bruke den som server så da holder kanskje det? Endret 22. februar 2006 av benlen Lenke til kommentar
muffe Skrevet 22. februar 2006 Del Skrevet 22. februar 2006 Det beste er kanskje å høre med de på www.ubuntuforums.org, men jeg kan jo synse litt: Portene i området 6665-6669 (TCP/UDP), og er i bruk av "IRCU", sannsynligvis dette: http://coder-com.undernet.org/ Se litt på det du. Lenke til kommentar
AudunSæther Skrevet 22. februar 2006 Del Skrevet 22. februar 2006 Den eneste forskjellen på "server" og vanlig installasjon er at "server"-installasjonen ikke legger inn noe grafisk grensesnitt/programmer. Lenke til kommentar
gxi Skrevet 22. februar 2006 Del Skrevet 22. februar 2006 (endret) Du mener at det finnes en tilkobling mot 666x som du ikke selv har opprettet? I såfall kan det være snakk om et virus (eller mer korrekt; trojaner) som har kommet inn igjennom en åpen webapplikasjon (jeg har vært borti at dette har kommet inn igjennom PHP-Nuke f.eks). Disse kan bruke IRC som kommunikasjonskanal. Merk at dersom du filtrerer ICMP helt vil mye slutte å fungere. ICMP brukes til å sende informasjonspakker, f.eks om en maskin ikke finnes, en rute som ikke finnes, osv.. ICMP er ikke farlig, og det er helt normalt med en viss strøm av ICMP-pakker. Endret 22. februar 2006 av jonepet Lenke til kommentar
ways Skrevet 22. februar 2006 Del Skrevet 22. februar 2006 Du mener at det finnes en tilkobling mot 666x som du ikke selv har opprettet? I såfall kan det være snakk om et virus (eller mer korrekt; trojaner) som har kommet inn igjennom en åpen webapplikasjon (jeg har vært borti at dette har kommet inn igjennom PHP-Nuke f.eks). Disse kan bruke IRC som kommunikasjonskanal. Merk at dersom du filtrerer ICMP helt vil mye slutte å fungere. ICMP brukes til å sende informasjonspakker, f.eks om en maskin ikke finnes, en rute som ikke finnes, osv.. ICMP er ikke farlig, og det er helt normalt med en viss strøm av ICMP-pakker. 5647843[/snapback] sjekk loggene dine. mye innloggingsforsøk mot ssh som feilet? man skal være veeeldig forsiktig med å la ssh være åpen uten bruk av sertifikater eller noe. mange ssh-bangere ute og går.. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå