min ubuntu er hacket

[benlen]

I dag tidlig merket i Firestarter jeg at det var en utgående koblig på port 6668 (666x iallefall, husker ikke helt) på ircd som hadde holdt på en stund.

 

jeg har tidligere i uka vært plaget av mange ICMP pakker, så jeg filtererte bort alle ICMP pakke typer.

 

Dette kjører jeg på Ubuntu 5.10:

apache med php sql (Joomla 1.05 og gallery2)

tomcat

openssh

NX server.

no-ip.orgs oppdateringsklient

+alt annet som fulgte med ubuntu

 

Åpnede porter i Firestarter:

80

8080

22

(har hatt andre porter oppe tidligere)

 

 

SPØRSMÅL:

1. Har jeg blitt hacket?

2. Må jeg formatere og reinstallere?

3. Hva har jeg gjort feil?

 

EDIT:

Er Ubuntu server edition mer sikker? Skal jo bare bruke den som server så da holder kanskje det?

Endret 22. februar 2006 av benlen

[muffe]

Det beste er kanskje å høre med de på www.ubuntuforums.org, men jeg kan jo synse litt:

 

Portene i området 6665-6669 (TCP/UDP), og er i bruk av "IRCU", sannsynligvis dette: http://coder-com.undernet.org/

 

Se litt på det du.

[AudunSæther]

Den eneste forskjellen på "server" og vanlig installasjon er at "server"-installasjonen ikke legger inn noe grafisk grensesnitt/programmer.

[gxi]

Du mener at det finnes en tilkobling mot 666x som du ikke selv har opprettet? I såfall kan det være snakk om et virus (eller mer korrekt; trojaner) som har kommet inn igjennom en åpen webapplikasjon (jeg har vært borti at dette har kommet inn igjennom PHP-Nuke f.eks). Disse kan bruke IRC som kommunikasjonskanal.

 

Merk at dersom du filtrerer ICMP helt vil mye slutte å fungere. ICMP brukes til å sende informasjonspakker, f.eks om en maskin ikke finnes, en rute som ikke finnes, osv.. ICMP er ikke farlig, og det er helt normalt med en viss strøm av ICMP-pakker.

Endret 22. februar 2006 av jonepet

[ways]

Du mener at det finnes en tilkobling mot 666x som du ikke selv har opprettet? I såfall kan det være snakk om et virus (eller mer korrekt; trojaner) som har kommet inn igjennom en åpen webapplikasjon (jeg har vært borti at dette har kommet inn igjennom PHP-Nuke f.eks). Disse kan bruke IRC som kommunikasjonskanal.

 

Merk at dersom du filtrerer ICMP helt vil mye slutte å fungere. ICMP brukes til å sende informasjonspakker, f.eks om en maskin ikke finnes, en rute som ikke finnes, osv.. ICMP er ikke farlig, og det er helt normalt med en viss strøm av ICMP-pakker.

5647843[/snapback]

 

sjekk loggene dine. mye innloggingsforsøk mot ssh som feilet? man skal være veeeldig forsiktig med å la ssh være åpen uten bruk av sertifikater eller noe. mange ssh-bangere ute og går..