IntrÅng!

Börja med att gå igenom dina konton och ta bort de som inte används och sätt bra lösenord på resten.

Det går att begränsa vilka användare som får logga in via ssh, men jag har det inte i huvet just nu.

se till o kolla så det inte ligger några bakdörrar på en annan port också, om han nu ändrat i firewallen så är det ett dåligt tecken. jag skulle rekommendera att koppla bort den från internet till du hunnit gå igenom den. kolla users som cable... sa och kolla firewallen och ev bakdörrar! lycka till

Rensa och installera om, han/hon kan ha lagt in vad för nåt skit som helst som du aldrig kommer att hitta.

TUMVANTE!!! Jag blev för några dagar sedan utsatt för samma grej.
Fjärrstyr min server (xp) med remote desktop och ser att nån är online på ftpn. Ser sen att det är något nytt konto "owned" som är inne..

Detta TROTS att antivirus OCH brandvägg var aktiv.. Jag vet inte vad den
gjorde men min andra dator som kopplar genom den andra inte kan gå ut på internet.. och att en massa windowsfiler (dller osv) är ändrade..

Fick tipset att blåsa hela hårddisken.. Ska göra det också.. men jäkligt kul när man hållt på och meckat upp webserver osv... Men nu blir det linux..

Säkrast så

Om filuren vet vad den gjort så ska det inte finnas några loggar kvar. Installera om och se detta som en nyttig erfarenhet.

Vad hade användaren för behörigheter?

använd enbart cert inloggning, betydligt säkrare.

ska bara tvär-låna tråden, onödigt skapa ny tråd.

Visst kan man ställa in så bara vissa users får logga in via SSH.
Och isåfall, Hur?

Skriv
AllowUsers user
i ssh_config

Om man inte vill att de ska kunna logga in öht funkar det alltid att ändra shell till /bin/false i passwd. Men det kanske man inte vill

http://www.tldp.org/LDP/lame/LAME/linux-admin-made-easy/secur...

stäng av sshd! då blir det stopp i lådan

Kan bli lite svårt att fjärrstyra den då

Ska man verkligen behöva installera om efter ett intrång, det låter som en amatörlösning i mina öron. Jag är förvisso ingen expert på BSD, men det låter ändå konstigt.

Det är knappat någon amatörlösning i detta fall. Om personen har installerat ett root-kit och lite annat så är risken för stor att man inte kan lösa det utan att göra en komplett ominstallation från grunden...

En fråga, när man scannar portar med nmap så står det en beskrivning intill porten om vad det är för port (ex. ftp, ssh, telnet), etc. Kan man ändra denna beskrivning?
Blir ju lite säkrare mot intrångsskannare om man sätter om ssh-porten till kanske 15028 och sätter beskrivningen till "error_closed" eller något. Som en liten förvirringsfaktor typ.

Det är inte det att det inte går att verifiera att ingenting ändrats. Det går naturligtvis. Men det innebär ofta mer jobb än att installera om allt från grunden.

Jag her ett program som jag kör var 30 minut ssh_blocker heter det, spärrar alla som försöker logga in med fel namn eller lösenord. Men det är på en openbsd burk.

Kör chkrootkit också. Men att sätta dåliga lösenord för konton med ssh-access är inte bra, som du kanske har märkt nu.

På min server tillåts bara inloggningar med certifikat eller OTP, vilket gör det hela lite säkrare.

* ominstallera maskinen
* installera tripwire
* kör chkrootkit regelbundet
* editera /etc/ssh/sshd_config:

PermitRootLogin no
DenyUsers root
DenyGroups root
AllowUsers din_användare

Vet inte om DenyHosts fungerar på FreeBSD eftersom jag inte kommer åt sidan just nu... Kan dock vara värt att kika på.