Wacht woord linux terug hacker heeft veranderd

[RobbieT]

Daarom moet je een mailtje met een klacht naar het @abuse adres van de provider sturen, die kunnen namelijk wel zien wie het is aan de hand van het ip-adres.

 

Je hebt overigens wel een mogelijkheid, type het ip adres in je webbrowser in en kijk of er iets gebeurd, als iemand zelf een webserver met een site erop heeft draaien, dan krijg je die te zien en weet je misschien meer.

[tipje]

Kan het nog niet vinden waar de map is met gebruikte ip adressen.

Map var/log/messages bestaat niet, iemand nog een tip.

zou wel mooi zijn dat ik het ip vond met daaraan gekoppeld adres enz....

Dan wilde ik ze nog een mooie feestdagen bezorgen. <img src="/forums/images/graemlins/cool.gif" alt="" /> <img src="/forums/images/graemlins/cool.gif" alt="" />

[Ome Merde]

zal ook het ip adres hier vermelden, want dan kan iedereen gaan zoeken wie het is.

 

dat zou ik niet doen als ik jou was. je schendt hiermee de privacy van een internetgebruiker, wat ie ook uitgevreten heeft.

gaan klagen bij de provider is het eerste wat je kan doen.

 

 

 

merDe

[Gast]

Kom kom Merde, dan kom je bij een provider uit, niet bij een persoon.

[Ome Merde]

en dan kan de provider bij een gegronde klacht, actie ondernemen.

het heeft weinig zin om een IP-adres op s4a openbaar te maken, dan hebben wij het straks weer gedaan <img src="/forums/images/graemlins/smile.gif" alt="" />

 

 

 

merDe

[RobbieT]

Meestal zijn het pubertjes die zich vervelen en "hacker" noemen, maar ondertussen vrolijk gebruik maken van kennis en kant en klaar programmatuur van internet.

 

Een "crackertje" dus, en die zijn meestal niet slim genoeg om hun sporen uit te wissen.

 

Als je het ip-adres hebt dan kan je hem in ieder geval in je deny list zetten van je firewall. (ipchains)

Voor dit soort gastjes is dat meestal genoeg.

[tipje]

maar heb tot nu toe nog niet de goede map gevonden waar ik hem kan vinden. (IP)

[Gast]

Met het commando last kan je zien welke gebruiker waar vandaan is ingelogt (geweest) als de files /var/log/wtmp en /var/log/lastlog nog bestaan.

 

/var/log/messages is geen map maar een file. Daar word soms nuttige info in gelogt, maar ik denk in geval van een hack niet.

 

Alle ssh connections worden is /var/log/auth.log of in /var/log/syslog gelogt.

dat ziet er ongeveer zo uit.

 

Citaat:

auth.log.0:Oct 12 13:22:46 localhost sshd[20816]: Accepted publickey for foxm from 192.168.1.2 port 3528 ssh2

 

ipchains zou ik niet meer gebruiken, met nieuwere kernels 2.4.xx of hoger wordt eigenlijk altijd iptables gebruikt.

 

Je kan ook nog een package installeren dat heet chkrootkit, daarmee kan je zien via welk programma de hacker is binnen gekomen. niet altijd maar soms wel.

 

dan nog een vraagje, draai jij iets van joomla of zo op die machine?

 

foxm

[tipje]

Joomla is voor?? om wat te doen??

gebruik vncserver en winscp

fedora4

[RobbieT]

Joomla is software voor je website, een CMS (content management system), maar die heb je waarschijnlijk niet draaien als je het niet kent.

 

Controleer op http://www.port-scan.de/ eens welke poorten je open hebt staan, dat geeft al een goede indicatie waar je het lek moet zoeken, waarschijnlijk heb je SSH of telnet openstaan.

[tipje]

Test gedaan, zijn nu allemaal gefilterd.

Het gekke is toen ik deze week een keer de router controleerde dat alle poorten open stonden.

Toch heb ik een aangepaste WW op mijn router.

Ga nu eerst fedora 8 erover installeren.

en dan weer opnieuw beginnen.

[Gast]

Ehmmm "er over heen installeren" ?????

Dat moet je echt niet doen hoor.

Die server is niet meer te vertrouwen.

Formatteren die handel en opnieuw beginnen.

[tipje]

Ok dan ga ik hem formateren en dan fedora 8 installeren.

dan zal ik eens gaan kijken naar verschillenden beveiliging opties.

[tipje]

We hebben de ip adressen terug gevonden. kunt precies zien wanneer en of ze ingelogd waren.

We zoeken op dit moment uit waar ze vandaan komen.

we komen er nog op terug.

[RobbieT]

Je kan het hier zo terugzoeken, dan heb je de provider:

 

http://www.ripe.net/whois