Sicherheitsfragen

Status
Für weitere Antworten geschlossen.
H

homermg

New Member
Hallo Leute,

irgendwie stimmt bei meinem Webserver was nicht, habe das Gefühl das jemand den Zugriff daruf hat. Gibt es eine Möglichkeit einen User der sich dor per Konsole einlogt auch bis zum Pc zu verfolgen? Also würde gerne schauen ob jemand bei uns aus der Firma sich dort einlogt. Muss also an der Router IP vorbei um an die Private ip drankommen.
 
Rain_Maker

Rain_Maker

Administrator
Teammitglied
AW: Sicherheitsfragen

Statt irgendwelcher Überwachungsaktionen würde ich mich eher um das Auswerten der Logfiles und das Sichern des Servers kümmern, alles andere ist zweitrangig.
Wenn Du Hinweise auf einen Einbruch findest, dann nimm das Ding vom Netz und setze es neu auf.
Vorher kannst Du versuchen, eventuelle Beweise zu sichern, aber die Sicherung des Servers ist Priorität Nummer 1.

Greetz,

RM
 
Rain_Maker

Rain_Maker

Administrator
Teammitglied
AW: Sicherheitsfragen

Ja.

Code: 
man cat

man less

man grep

man tail
Des weiteren mal nach "Autopsy" und "Sleuth Kit" googlen, aber das ist wahrscheinlich Overkill oder erfordert zumindest sehr gute Linux-Kenntnisse.

Ich würde ein Image der entsprechenden Partitionen ziehen und die Kiste im Zweifelsfall neu aufsetzen.

Greetz,

RM
 
Rain_Maker

Rain_Maker

Administrator
Teammitglied
AW: Sicherheitsfragen

Falsches Forum.

Sleuthkit und Autopsy sind übrigens graphisch, wenn auch für Linux.

Das würde ich so sowieso nicht auf dem Server selbst machen, sondern mit Images der Server-Partition(en).

Oder hast Du kein lokales Linux-System, auf dem Du die Serverlogs untersuchen kannst?

Wenn Du das auf dem Server machen willst, dann solltest Du es außerdem ohne die Installation neuer Software tun, denn es sollte am System so wenig wie möglich verändert werden.

Mit den Kommandozeilentools wirst Du doch sicherlich umgehen können, schließlich administrierst Du einen Linux-.Server, oder ist es ein Windows-Server?

BTW. Textsuche gibts ja auch unter Windows in jedem Editor.

Also, wo liegt das Problem? Logs runterladen und auswerten.

Trotzdem würde ich den Server im Zweifel eher vom Netz nehmen, wenn da schon jemand anderes auf dem Ding "zu Besuch" ist, dann hast Du ein echtes Problem, Du bist als Betreiber für alles haftbar, das ist Dir klar?

Wenn denn ein "Besucher" Euren Server zu illegalen Zwecken mißbraucht, dann bist erstmal Du bzw. der eingetragene Betreiber des Servers dran, egal ob der "Einbrecher" ausfindig gemacht werden kann oder nicht.

Laß lieber die "Detektiv spielen", die Ahnung davon haben.

Greetz,

RM

P.S. Noch so ein Einzeiler und ich schließe den Thread.

P.P.S. Funktioniert Google bzw. andere Suchmaschinen bei Windows seit neustem nicht mehr?
 
Status
Für weitere Antworten geschlossen.
Oben