staging.inyokaproject.org

sudo lässt sich dabei auch in soweit aushebeln, das er nur warten muss, bis du es einmal selbst benutzt. Danach bleibt dir der Zugang für ein paar Minuten ohne erneute Passwort-Eingabe erhalten. In dieser Zeit kann er seinen sudo-Befehl hinterher schieben.
Das seine erste Aktion "screen" war, lässt auch darauf schließen, dass er schon mal dort war. Mit einer screen-Session lässt sich die Komandozeile nämlich prima vom aktuellen Login entkoppeln. Das ist ganz praktisch, wenn man länger dauernde Aktionen (z.B. Kopieren) durchführen möchte und dabei aber nicht die ganze Zeit zuschauen will. Sogesehen: Die bessere Aktion wäre gewesen, dem Rechner nur das Netzwerk-Kabel raus zu ziehen, den Rechner aber laufen zu lassen. Dann hätte man z.B. mit "screen -ls" nach offenen Screen-Sessions schauen können und mal nachsehen, was da so los ist.

fsmart schrieb:

Wie kann ich sehen, was evtl. von meinem Rechner gezogen wurde?

Wenn du nicht explizit mit noatime gemounted hast, kannst du dir mittels

1

ls -lu /pfad/zu/sensiblen/Dokumenten

das letzte Zugriffsdatum anzeigen lassen. Eventuell lässt sich für den Zeitraum dann etwas feststellen.

Gruß, Holger

Die einzigen Portweiterleitungen waren 80 auf apache 443 auf owncloud und tja 5900 auf vnc Wird dieser Zugriff wie beschrieben tar und nc irgendwo gelogged?

Logs:

• Befehle:

  history

• Befehle als root:

  sudo less /root/.bash_history

• System: /var/log/syslog

• Programme: ~/.xsession-errors

• zuletzt aufgerufene Dateien im Home (auch geschützte):

  sudo find ~ -amin -180

  am Beispiel bis 180 min (3h)

Du musst neu aufsetzen, von frischer DVD ohne Manipulationen (andrer PC). Das Home darfst du nur noch übernehmen, wenn du es als nicht ausführbar markierst (Option noexec in fstab), sonst könnten dort Scripte vom Angreifer liegen (und im Autostart)! In der man mount steht:

Do not allow direct execution of any binaries on the mounted filesystem.

Ich hoffe, das gilt auch für Scripte, müsste man testen.

Nun seid ihr wieder auf euch gestellt, bin in andren Themen helfen.

Grüße, Benno

PS: Schau mal auf meiner Benutzerseite vorbei, wie man ein VNC nicht nur mit PW sichert, sondern auch NSA-sicher verschlüsselt: Benutzer/Benno-007 (Abschnitt „Nicht-vollstaendig-getestete-Befehle“) (Abschnitt verlinkt).

Edit: Weitere Logs in /var/log - (eventuell falsche) IP-Adressen des "Angreifers" (du hast ja die Tür offengelassen, könnte man als Einladung sehen!) evtl. in z.B. /var/log/auth.log. Suche im Ordner auch nach telnet und ssh.

last

gibt dir die letzten Logins aus. Alle Logs können gefälscht oder gekürzt sein. Aber wenn es nur ein Nachbarsjunge war, dann hat er vielleicht was vergessen. Ob du Anzeige erstattest, musst du entscheiden. Eine IP wäre dazu sinnvoll. Und die vorher mal mit tracert ermitteln, wo die herkommt. Wenn sie im Ausland ist, ist es schwierig, vor allem außerhalb der EU und Schweiz. Falls es in deiner Nachbarschaft ist, weißt du zumindest, woher der Angriff kommt. Kann aber auch alles über das Ausland und andere Rechner im Inland umgeleitet sein, wenn es ein halbwegs geschickter Hacker war.

Edit 2: Finde raus, wofür der Rechner gebraucht wurde. Vielleicht zum Angriff auf das ARD Quizduell, was ja zusammenbrach. 😀 Heute wieder. Oder ob dir belastendes Material auf die Festplatte kopiert wurde, als Tauschbörse.

Danke Dir für die ausführliche Antwort. Dann werde ich mal suchen. Das war so ziemlich die ideale Antwort, die ich hier zu finden hoffte 😉