Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 24 replies
  • Subscribers 2 subscribers
  • Views 41196 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hacked by a pro

SalishSwede
It seems that my ASL 6.001 box has been hacked from the external interface (the internet).  I have some evidence of a rather well-known hacker [not an oxymoron - just a moron] sniffing my network.  Then today all network functions were running afoul and the source of the trouble was ASL.  Reloading the configuration from backup seemed to do the trick in getting basic network function back, but this does not solve the problem of the integrity of the machien itself.  It appears that there is no feature/function  that one can use to determine which files have been altered on the system.  This I find hard to believe so I'd like to be proven wrong.  

Can anyone help?  
Basically I'm looking for Astaro forensic tools.
Tripwire might do the trick.

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    Was the firewall administerable from the external interface? SSH accessible too?

    What proxies were you using and how were they configured?

    No holes in the rules to accommodate chat and whatnot?

    How often do you access the firewall from the inside, and from where? (e.g., maybe a keystroke logger on the workstation from which you administrate??)

    And of course you will have to look for anomalous activity in all the logs.

    I have an idea for his next visit, if you are somewhat technically proficient. Email me; no sense in telling him what we're going to do...

    P.S. Redman posted at the same time as I did, and he has a point: What makes the loss of function convince you it's a breach?? Given the title of your post, I counted on your not relating some information that indicates it's malicious, but what if it was merely a loss of the machine's config due to hardware failure??
  • 0 in reply to SecApp
    Sec APP:

    No administration from external: only two machines on one internal interface can access Web Admin.

    Allowed traffic OUTBOUND from central internal interface:
    DNS
    Streaming apps
    IRC - (after hours only)
    NTP
    HTTPS
    FTP
    WHOIS
    Traceroute

    Also see Proxys in earlier comment

    As to a possible non-malicious cause... I really am unsure.  Id o have evidence of specific attempts from a well-known hacker to determine the version of my smtp server.  This I caught this week.  The chronological proximity of these problems are really the only evidence that I have of  malicious activity. Weak I admit.

    I'll email you regarding your idea.

    Cheers
Reply
  • 0 in reply to SecApp
    Sec APP:

    No administration from external: only two machines on one internal interface can access Web Admin.

    Allowed traffic OUTBOUND from central internal interface:
    DNS
    Streaming apps
    IRC - (after hours only)
    NTP
    HTTPS
    FTP
    WHOIS
    Traceroute

    Also see Proxys in earlier comment

    As to a possible non-malicious cause... I really am unsure.  Id o have evidence of specific attempts from a well-known hacker to determine the version of my smtp server.  This I caught this week.  The chronological proximity of these problems are really the only evidence that I have of  malicious activity. Weak I admit.

    I'll email you regarding your idea.

    Cheers
Children