ben ik gehackt?

Frank Evers ubuntu-nl op frankevers.nl
Ma Jul 9 20:45:51 UTC 2007 

Ik kom er ook net achter dat er een complete map genaamd relaxscan bestaat:
drwx------ 2 1007 users 4096 2007-07-09 22:08 relaxscan

Waarin allerlei portscan scripts en c programma's staan...


On 7/9/07, Frank Evers <ubuntu-nl op frankevers.nl> wrote:
> Hallo allemaal,
>
> Sinds een poosje heb ik een server draaien op ubuntu. Nou viel mij een
> kort moment geleden op dat ik wel heel veel processen had draaien
> onder de gebruikersnaam 'mark'.  Ik ging dus even beter kijken wat er
> aan de hand was en schrok best van het resultaat.
> Ik heb een eigen domeinnaam en ik denk dat er geprobeerd is in te
> breken op mijn server. Processen die oa draaiden onder de naam mark
> waren:
> scan-ssh
> pscan2
> /bin/bash ./a.out (een eigen programma denk ik)
>
> Volgens mij draaide er nog meer, maar ik ben in een hoog tempo alles
> wezen killen en heb de user mark verwijderd... (misschien weet iemand
> hoe ik dit alsnog kan opzoeken in de log files?)
>
> In mijn /var/log/messages staan echt heel veel lijnen met dit
> (verschillende tijden uiteraard):
> Jul  8 07:07:10 localhost -- MARK --
>
> Geen idee wat dit is trouwens...
>
> Daarnaast heb ik in mijn auth.log dit staan:
> ; cat /var/log/auth.log|grep -i mark
> Jul  8 09:16:20 localhost sshd[10599]: (pam_unix) session closed for user mark
> Jul  8 17:35:29 localhost sshd[14483]: (pam_unix) authentication
> failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.234.93.215
> user=mark
> Jul  8 17:35:31 localhost sshd[14483]: Failed password for mark from
> 211.234.93.215 port 52487 ssh2
> Jul  8 17:35:34 localhost sshd[14485]: Invalid user marker from 211.234.93.215
> Jul  8 17:35:36 localhost sshd[14485]: Failed password for invalid
> user marker from 211.234.93.215 port 52933 ssh2
> Jul  8 17:35:38 localhost sshd[14487]: Invalid user markus from 211.234.93.215
> Jul  8 17:35:41 localhost sshd[14487]: Failed password for invalid
> user markus from 211.234.93.215 port 53386 ssh2
> Jul  8 19:25:18 localhost sshd[15437]: Accepted password for mark from
> 212.200.211.68 port 3005 ssh2
> Jul  8 19:25:18 localhost sshd[15439]: (pam_unix) session opened for
> user mark by (uid=0)
> Jul  9 18:56:06 localhost sshd[32232]: Accepted password for mark from
> 77.105.59.141 port 3068 ssh2
> Jul  9 18:56:06 localhost sshd[32234]: (pam_unix) session opened for
> user mark by (uid=0)
> Jul  9 20:06:37 localhost sshd[15439]: (pam_unix) session closed for user mark
> Jul  9 22:07:58 localhost su[1657]: (pam_unix) authentication failure;
> logname= uid=1000 euid=0 tty=pts/0 ruser=frank rhost=  user=mark
> Jul  9 22:08:01 localhost su[1657]: FAILED su for mark by frank
> Jul  9 22:08:01 localhost su[1657]: - pts/0 frank:mark
>
> Er is dus ingelogd vanaf het ip adres 77.105.59.141, hier heb ik denk
> ik niets aan..
> maar toch ben ik even wezen kijken met whois en kom uit op een of
> ander yugoslavisch iets, waarschijnlijk heb ik daar echt niets aan.
>
> Maar waar mij het nou om gaat: Heb ik nu een serieus probleem? Ik heb
> namelijk nog niet zo heel lang een server en heb niet specifiek veel
> gedaan aan beveiliging.
> Weet iemand wat er hier allemaal gebeurd is? of kan iemand mij
> misschien advies geven over hoe ik kan vinden WAT er gebeurd is?
>
>
> Met vriendelijke groet,
> Frank Evers
>


-- 
                                                         Frank

Meer informatie over de Ubuntu-NL maillijst