ssh session mit loggen

**Abraxax** · 29.03.2003, 21:42

du kannst das idR in deinem ssh-client einrichten, dass alles in ein log geschrieben wird, was passiert.

**shortie19** · 29.03.2003, 23:31

ich kann leider nichts in der art finden von wegen session logging oder so

kannst du mir denn einen kleinen tipp geben wie man das genau nennt oder so?

übrigens ich habe suse 7.3

**Abraxax** · 29.03.2003, 23:42

im server direkt wirst du ncihts loggen können, sondern nur im client.

ich habe secureCRT bei mir im einsatz. zu finden unter http://www.vandyke.com oder dirket unter http://www.vandyke.com/products/securecrt/index.html

der kann entsprechend loggen. und natürlich noch viele andere sachen...

**shortie19** · 29.03.2003, 23:47

müsste schon auf dem server mit loggen

habe das problem das ich einen hacker auf meinem server habe und ich würde gerne wissen was er so macht, welche befehler er ausführt usw. ist schließlich mein recht ist ja meion server oder?

**Abraxax** · 29.03.2003, 23:50

wäre ja noch schöner, wenn man ssh auf dem server loggen könnte....

wenn er einen benutzer auf der maschine hat, kannst du vielleicht in der user-history der befehle nachschauen. aber eine ssh-session wirst du auf dem server nicht loggen können.

btw. wenn du schon weisst, dass du einen hacker auf der maschine hast, warum unternimmst du nichts dagegen?

**shortie19** · 29.03.2003, 23:55

ich verstehe nicht was er tut ich weis nur das er da ist er hat auch kein userprofil er loggt sich mit einem user ein der auch die userid 0 hat sprich root rechte doch wenn ich diesen user lösche gibt es ihn nach spätestens 5 Min wieder irgendiwe kopiert er die passwd immer wieder zurück keine ahnung

ich weis noch nicht mal wie er rein gekommen ist!

aber kommt zeit kommt rat :-))

irgendwie muss das aber doch möglich sein ich weis das bei mir in der firma alle sessions mittgeloggt werden mit irgend so einem tool so eins muss es für suse doch auch geben!

**Abraxax** · 29.03.2003, 23:59

dann frag mal in der firma nach, was die machen...

mir ist jedenfalls nichts bekannt und ich kann mir das auch nciht vorstellen. aber wer weiss.

btw2 : installier doch mal das system von grundauf neu. so kannst du auch ausschliessen, dass sich daten von ihm auf deinem rechner befinden, die immer wieder unser anlegen.

**shortie19** · 30.03.2003, 00:04

das ist ein web server wo 50 kunden drauf sind und keine ahnung wieviele programme und patches da brauch ich ja mind. 2 tage für solange der typ mir nichts kaputt macht versuche ich ihn erstmal runter zu schmeisen

momentan lässt er nur einen irc bot laufen das ist ja erstmal net so schlimm find ich außer viel traffic ist ja noch nix

als letzte lösung hast du sicherlich recht :-)
ob es das einfachste ist ist fraglich

vieleicht weist du aber was man tun kann um ihn ausfindig zu machen seine IP-Addresse habe ich ist seit 5 tagen die gleiche ports scheint er keine offen zu haben zumindest kein telnet ssh ftp smtp

wäre cool wenn du noch was wüstest

**Abraxax** · 30.03.2003, 00:11

wenn du seine ip hast, kannste die ja mit ner firewall sperren...

ausserdem solltest du auch rechtlich vorgehen können.

**shortie19** · 30.03.2003, 00:14

hatten so ein problem schon mal auf nem anderen server da haben wir es auch veruscht aaber da kan der typ aus holland und da kann man nichts machen hat man uns gesagt

ich vermute außerdem das er über einen anonymen proxy geht das heist das ist garnicht seine echte ip!

bin aber kein profi im hacken in sofern habe ich keine ahnung wie man herausbekommt ob er so ein ding benutzt oder nicht

**shortie19** · 30.03.2003, 00:16

sperren geht nicht der setzt alles was ich ändere irgendwie wieder zurück manchmal glaube ich das ich nurnoch auf einem virtuellen server bin und eigentlich nicht wirklich etwas ändere

der typ ist alles andere als doof würde ich mal sagen!

**Abraxax** · 30.03.2003, 00:17

ich hacke auch nicht und kann dir hierfür auch ncihts sagen.

nur wenn du nicht weiter weisst, mach die maschine neu. ist die sauberst und meines erachtens auch die sicherste lösung.

und nochwas.... wenn da kunden drauf liegen.... wer sagt denn das nicht ein kunde einen irc client/server dort laufen hat?

**shortie19** · 30.03.2003, 00:19

ich! :-))

meine kunden habe nur ftp zugriff um ihre webseiten hoch zu laden

die haben keine möglichkeit sich per ssh einzuloggen! außerdem haben die keine root rechte :-))

außer dem liegt der doofe bot im home vom root da sollte ja wohl keiner hin kommen

nun ja trotzdem danke für deine mühe

**pfaeffi** · 31.03.2003, 11:08

Schau mal in folgendem Howto die stelle über irc nach:
www.security-gui.de/listhowto.php
Nr 23 HackFAQ.html.
Vielleicht gibt dies dir Hinweise auf die Art des Angriffs.
Bringt das regelmäßige ändern des root-passwd. (10-13 Stellen) nichts?
Was sagt dein firewall-log (tunneling firewall via ssh!??)?
Irgendwo in den SuSE einstellungen kann root remote auf no gesetzt werden (ob's was bringt?)

ssh session mit loggen