Iptabels regler borta, hackad?

[massamull]

hejsan märkte idag att alla mina iptables regler var borta tyckte det var märkligt.
Och sedan så råkade jag kolla historik i terminalen genom att tycka på uppåt-pil

såg att någon hade varit inne i var/urs/php vilket jag inte har varit.


Jag kör med automatika upgrades av både säkerhets och vanliga updates kan detta har rört till de eller har jag blivit hackad?
mitt lösen är 7 tecken med små-stora boktsäver och siffor.


Vad tycker ni jag ska göra?

[andol]

Givet att jag på allvar misstänkte dylikt fuffens så skulle jag inledningsvis

1) boota upp servern med lämplig Live-CD
2) montera in relevanta partioner
3) undersöka loggfiler

[massamull]

Vart hittar jag dom loggarna? och söker jag igenom dom bäst?

[andol]

Vart hittar jag dom loggarna? och söker jag igenom dom bäst?

Överlag hamnar loggar under /var/log

Antar att det riktigt uppenbara stället att titta på är /var/log/auth.log

Sen finns det säkert här någon som kan tipsa dig om lämplig verktyg för att autoanalysera loggar.

[massamull]

vad menas med detta? kan det vara något. den kommer upp med jämna mellanrum i loggen

Kod: Markera allt

Mar 31 06:43:18 Media-Dator sudo:     root : TTY=unknown ; PWD=/ ; USER=admin ; COMMAND=/usr/bin/gconftool --get /system/http_proxy/use_http_proxy
Mar 31 06:43:19 Media-Dator sudo:     root : TTY=unknown ; PWD=/ ; USER=admin ; COMMAND=/usr/bin/gconftool --get /system/http_proxy/host
Mar 31 06:43:19 Media-Dator sudo:     root : TTY=unknown ; PWD=/ ; USER=admin ; COMMAND=/usr/bin/gconftool --get /system/http_proxy/port
Mar 31 07:02:23 Media-Dator su[8386]: Successful su for mythtv by root
Mar 31 07:02:23 Media-Dator su[8386]: + ??? root:mythtv

[andol]

Tja, just det där ser iofs mest ut som rutinkörning av någon form utav schemalagda aktiviteter (cron) eller dylikt.

Kanske en dum fråga, men det var inte bara så att iptables-reglerna försvann i samband med en omstart utav datorn? :)

Du kan inte återge lite mer exakt vilka okända kommandon i historiken? Istället för att bläddra uppåt så borde du kunna titta direkt i ~/.bash_history

Rör sig om Mediadator alltså? Får jag fråga varför/om den ens är åtkomstbar från publika Internet?

[massamull]

Jo jag har googlat lite och jag tror att iptables reglerna bara försvann igenom omstart varför gör dom de? och hur förhindrar jag de?

Japp det är en media dator som används av folk igenom att kunna lägga till filer i en utdelad katalog så man slipper använda dvd/ eller usbminnen.
den fungerar även som en torrent neddladdare genom att bara släppa en torrentfil i den utdelade katalogen (samba konfad) så laddas den automatiskt ner och lägger sig när den är klar i den utdelade katalogen.

[andol]

Jo jag har googlat lite och jag tror att iptables reglerna bara försvann igenom omstart varför gör dom de? och hur förhindrar jag de?

https://help.ubuntu.com/community/Iptab ... %20startup
alt.
https://help.ubuntu.com/community/Iptab ... orkManager

(Beroende på hurtillvida du använder NetworkManager eller ej.)

[massamull]

Men varför tas dom bort? jag har inte behövt detta innan?

Tack för länken ändå

[maths57]

Vad använder du för program för att ställa in brandväggen?

[massamull]

Jag lägger in det manuellt i iptables bara.

Dom bör väl inte försvinna då?

[maths57]

Jo, om du startar om. Du måste spara dina inställningar för att de ska bli permanenta. Jag har gjort en anteckning om det där. Ska se om jag kan hitta den.

[maths57]

1. Skapa brandväggreglerna.
2. Spara reglerna till en fil.

Kod: Markera allt

iptables-save > /etc/iptables.up.rules

3. Därefter måste man redigera filen /etc/network/interfaces. Det här är en fil som systemet läser in vid starten av datorn. Där letar man upp en rad som kan se ut så här

Kod: Markera allt

iface eth0 inet dhcp

Efter den raden skriver man

Kod: Markera allt

pre-up iptables-restore < /etc/iptables.up.rules

[massamull]

Tackar ska testa de sedan
har inte haft tid att testa dom andra guiderna ännu men jag börjar med din.