Hi Community!

Mein ded. GameServer ist gehackt worden. Ich habe rausgefunden, dass der Hacker mir ein /sk-1.3a hinterlassen hat. Einblick in das DIR gibt´s dann ein "tuxkit". Die /root/.bash_history ist nach /dev/null umgeleitet. /var/log ist nicht mehr da und in /temp liegt ein nettes "ker.c". Es wurden mehrere User und Gruppen angelegt.

Wer kann mir jetzt da weiterhelfen? Wie funktioniert das und wie kann ich mich zukünftig davor schützen???

Need help!!!

MfG
LordDarkmage

hallo!

es heisst cracken, nicht hacken!
wenn keine logs mehr hast, dann schaut es schlecht aus.
was lief alles am server?(distrie, server-programme...)
ich würd das ding auf jeden fall neu installieren...

//richard

Ok, dann halt cracken. Wie auch immer... Der Ärger ist da.
Es handelt sich um Debian 3.0 Woody und als Webdienste liefen Proftpd und Apache jedoch liefen beiden sozusagen "on demand". Ansonsten lieft Shoutcast (mp3stream), Teamspeak, CS 1.5 und Call of Duty. Evtl ab und an mal einen Medal of Honor... Das war´s dann. Der Rest war halt mehr oder minder Standart nach der Installation. Nix besonderes halt.

Neuinstallation habe ich eben den Support mit beauftragt. Mich würde jetzt aber jucken wie ich mich da zukünftig vor schützen kann.

Thx

MfG
LordDarkmage

hallo!

war alles aktuell?
(apache und co...)

//richard

hmmpf... ich meine schon. D. h. hab recht oft mal nen apt-get dist-upgrade bzw apt-get upgrade gemacht. Der Apache und der Proftpd waren meist aus. Habe ich nur für Transfers gebraucht und danach wieder ausgemacht.

hallo!

hatte jemand einen shellaccount?

//richard

läuft bei dir tripwire oder so? ich hatte schon mal daran gedacht, /sbin und /usr/sbin ro zu mounten

Original geschrieben von derRichard
hallo!

hatte jemand einen shellaccount?

//richard
Jop, der "GameAdmin" den ich mir angelegt hatte damit ich nicht als Root arbeiten muss.


Original geschrieben von Sonny

läuft bei dir tripwire oder so? ich hatte schon mal daran gedacht, /sbin und /usr/sbin ro zu mounten
Ne, hab kein Tripwire. Aber das mit /sbin/ und /usr/sbin als ro ist ne gute Idee...

Hi,
http://www.rootforum.de/faq/index.php?sid=109006&aktion=artikel&rubrik=012&id=104&lang=de

Original geschrieben von LordDarkmage
Hi Community!

Mein ded. GameServer ist gehackt worden. Ich habe rausgefunden, dass der Hacker mir ein /sk-1.3a hinterlassen hat. Einblick in das DIR gibt´s dann ein "tuxkit". Die /root/.bash_history ist nach /dev/null umgeleitet. /var/log ist nicht mehr da und in /temp liegt ein nettes "ker.c". Es wurden mehrere User und Gruppen angelegt.

Wer kann mir jetzt da weiterhelfen? Wie funktioniert das und wie kann ich mich zukünftig davor schützen???

Need help!!!

MfG
LordDarkmage

Poste mal den Inhalt der Dateien. Und benutz den Link da ^^

Was gibt´s denn sinnvolles an "Anti-Hacker-Tools"?
Damit meine ich nette Soft die Einbrüche feststellt und Alarm schlägt und ggf. Gegenmaßnahmen einleitet.

Thx

MfG
LordDarkmage

hallo!

du musst nur /proc/sys/kernel/.secret_options/no_hackers_on_my_system auf 1 stellen. ;)

aide ist ganz gut, damit kannst festellen, ob sich was an deinem system geändert hat.
mit snort kannst deinen netzwerktraffic überwachen...

//richard

Original geschrieben von derRichard
hallo!

du musst nur /proc/sys/kernel/.secret_options/no_hackers_on_my_system auf 1 stellen. ;)
Yeah! Wusste garnicht dass das so einfach ist :D :D :D :D :D :D :D

Najut, hab mir snort und aide angetan. Hoffe ehrlich gesagt, dass das net nochmal wiederkommt... aber naja...

MfG
LordDarkmage

vielleicht wars ein gesnifftes pw....

nimm net ftp sonder scp ....

das dürfte dagegen helfen ;)

Gruß Temp

Original geschrieben von Temp
vielleicht wars ein gesnifftes pw....

nimm net ftp sonder scp ....

das dürfte dagegen helfen ;)

Gruß Temp
Wenn es jetzt ein gesnifftes PW gewesen wäre, dann könnte ich mir nicht vorstellen was dann das RootKit da verloren hat.

Einige von euch haben doch auch ded Server im Web. Wie macht ihr das denn um die Gefahren möglichst gering zu halten? Tips und Tricks erhoff ich mir grad :)

MfG
LordDarkmage

Hallo!


Wenn es jetzt ein gesnifftes PW gewesen wäre, dann könnte ich mir nicht vorstellen was dann das RootKit da verloren hat.

Da hast Du etwas falsch verstanden:
Der Angreifer braucht erst einmal root Rechte auf deinem Server um ein Rootkit instalieren zu können - er hat zwei Möglichkeiten:

1. Per remote root Exploit nutzt er eine Schwachstelle in einem deiner laufenden Serverprozesse aus um sofort root Rechte auf dem Server zu bekommen.

2. Er nutzt ein gesnifftes Passwort / Zertifikat oder ein normales remote Exploit um Userrechte auf deinem Server zu bekommen und benutzt dann ein local root Exploit um sich root Rechte auf dem Server zu verschaffen.

Das Rootkit installiert er dann z.B. um:

- seinen Account vor Dir zu verstecken
- von ihm gestartete Prozesse vor Dir zu verstecken
- von ihm erstellte Dateien und Verzeichnisse vor Dir zu verstecken
- eine versteckte Hintertür auf dem System einzurichten und vor Dir zu verstecken

Schützen kannst Du dich indem Du:

- Deinen Kernel mit einem geeigneten Patch patchst so dass die meisten Exploits nicht funktionieren (Openwall- oder grsecurity Patch)

- per chroot jeden Serverprozess einsperrst so dass ein Angreifer diesen zwar Exploiten kann aber dann nur auf Dateien zugreifen kann die der Serverprozess in seinem chroot Verzeichnis hat - also z.B. keine Shell öffnen kann

- ein all-in-one Tool wie AIDE verwendest dass sowohl den o.g. OpenwallPatch als auch chroot und vieles mehr wie z.B. erweiterte Benutzerrechte oder die Überwachung von allen Dateien im System unterstützt (LOGs dürfen nur größer, nie aber gelöscht werden...) - durch AIDE wurde z.B. auch die erfolgreiche Attacke auf die Gentoo Server entdeckt.

FAZIT

Es ist möglich sich gegen viele Angriffe zu schützen - aber ohne ein Basiswissen ist das schwer bis unmöglich.

Du mußt also abschätzen wieviel Zeit dir ein sicherer Server wert ist...

mfg
cane

hi LordDarkmage,

an ein gesnifftes pw glaube ich auch nicht, sondern eher, das einer über die bei dir doch reichlich laufenden deamons eingebrochen ist. ich kenne mich im bereich von gameservern echt nicht aus, aber remote-exploits hats ja schon für so einige gegeben...
wahrscheinlich hat da jemand einen fehler in einem der deamons gefunden, der noch nicht bekannt war/ist, und ist darüber reingekommen.
erste prämisse bei security: so wenig deamons wie möglich laufen lassen
zweite prämisse: patchen, patchen und nochmals patchen!
dritte prämisse: alles nutzen was geht (firewall, ids, integrity checker...)

viel glück
/g0dzilla

hey cane,

grsec/openwall hat beim do_brk fehler auch nichts genutzt ;)
da hilft nur 3. patchen, patchen und nochmals patchen.

/g0dzilla

Hallo g0dzilla!

Na sicher gibts da Ausnahmen ABER

- ein Patch behebt meist nur bekannte Sicherheitslücken

- Ein patch a la Openwall dagegen die meisten aller in Zukunft auftretender...

cu
cane

da hast du natürlich recht ;)

/g0dzilla

Ok, ich habe das jetzt mal so angefangen...
Erstmal ein FW-Skript gebastelt, was bislang recht "sicher" ausschaut. Beim scannen gab´s fast nix zu meckern. Als weiteres habe ich jetzt so weit wie es geht alle Dienste von einem normalen account aus gestartet. Dann kommen snort und aide, wobei ich bei den beiden noch recht im unklaren bin und erstmal mich reinarbeiten muss...


FAZIT

Es ist möglich sich gegen viele Angriffe zu schützen - aber ohne ein Basiswissen ist das schwer bis unmöglich.

Du mußt also abschätzen wieviel Zeit dir ein sicherer Server wert ist...

Das dumme ist, dass man erstmal wissen muss wo man da anfängt. Darum bin ich für jeden Tip echt dankbar.

MfG
LordDarkmage

Das dumme ist, dass man erstmal wissen muss wo man da anfängt.

soweit bist du doch schon. IMHO hört sich das, was du da jetzt aufsetzt schon ganz
knackig an, und ein Security-Diplom hat (glaub ich) keiner von uns ;)

/g0dzilla

Erstmal ein FW-Skript gebastelt, was bislang recht "sicher" ausschaut.

Benutze doch einfach ein von Harrys Iptables Generator (http://www.harry.homelinux.de) erstelltes und wandel es auf dich ab. Da werden viele Sachen wie halb-offene Scans und korrupte Pakete geblockt...

Ich würde Dir empfehlen dich danach auf AIDE zu konzentrieren...

mfg
cane

Hab mir harrys FW auf den Server gelegt und gestartet. Jetzt motzt garnix mehr. Hab noch ne alte SSH-Version, aber die werd ich moin aktualisieren und gut ist.

Thx Leutz für eure Hilfe

MfG
LordDarkmage

PS: CHROOT klingt recht interessant ;)

PS: CHROOT klingt recht interessant

Isses auch und es gibt gute HowTos wie man z.B. Openssl in ein solches verfrachtet.

Problem ist dass bei größeren Sachen wie z:B. einem Apache alle Konfigs auf die er zugreift in dem chroot sein müssen...

mfg
cane

Und für jedes chroot alle Libs etc. kopieren.
Das wird schon stressig, vorallem auch deshalb weil bei Updates immer alles wieder neu in die chroot-Verzeichnisse kopiert werden muss. Wenn man dann einmal das Kopieren eines Files vergisst, das über die Sicherheit entscheidet, ist man im Glauben ein super sicheres System zu haben (aktuell und chroot), dabei hat man zwar das Update eingespielt, die Files im chroot sind aber noch anfällig. In diesem Fall hättest du dich selbst ausgetrickst. Zumindest innerhalb des chroots...

Thomas.

beim chroot muss man allerdings darauf achten, dass mit neueren kernels arbeitet.
nur die schützen auch wirklich vor einem chroot break.

bei alten kernels hat man z.b. einfach einen exploit an einen daemon gesendet
und hatte eine shell. wenn der daemon chrooted hatte warm hatte man allerdings noch nicht root. abhilfe schaffte danach noch einfach nen chroot break abzusetzen, meist wurde dieser direkt als zusätzlicher shellcode im exploit verankert.

funzte dann so:

mkdir 'AA..'
chroot 'AA..'
for (i=0;i<256);i++)
chdir '..'
chroot(".")

danach noch schnell ne shell ausgeführt und man war wieder im wirklichen root ;)

nur für die, die es noch nicht wussten.

gruss,
deadbeef

Original geschrieben von deadbeef
beim chroot muss man allerdings darauf achten, dass mit neueren kernels arbeitet.
nur die schützen auch wirklich vor einem chroot break.

bei alten kernels hat man z.b. einfach einen exploit an einen daemon gesendet
und hatte eine shell. wenn der daemon chrooted hatte warm hatte man allerdings noch nicht root. abhilfe schaffte danach noch einfach nen chroot break abzusetzen, meist wurde dieser direkt als zusätzlicher shellcode im exploit verankert.

funzte dann so:

mkdir 'AA..'
chroot 'AA..'
for (i=0;i<256);i++)
chdir '..'
chroot(".")

danach noch schnell ne shell ausgeführt und man war wieder im wirklichen root ;)

nur für die, die es noch nicht wussten.

gruss,
deadbeef
hallo!

man kann aus jedem programm ausbrechen, das in chroot() rennt, wenn das programm als root gestartet wurde.

man kann es aber mit grsec unterbinden.
da kann man dann chroot() innerhalb von einem chroot() verbieten. :)

//richard

Hi,


Original geschrieben von derRichard
hallo!

man kann aus jedem programm ausbrechen, das in chroot() rennt, wenn das programm als root gestartet wurde.

man kann es aber mit grsec unterbinden.
da kann man dann chroot() innerhalb von einem chroot() verbieten. :)

//richard

darauf dann die Frage des typischen root-Server-Nutzers: wie mache ich das mit Confixx? :D

Original geschrieben von LordDarkmage

Das dumme ist, dass man erstmal wissen muss wo man da anfängt. Darum bin ich für jeden Tip echt dankbar.


Nun wenn du wie du weiter oben schon gesagt hast ein Debian am laufen hast, dann würde ich dir diese Seite ans Herz legen: http://www.debianhowto.de dort gibt es zur Sicherheit ein paar gute Howto's. Das ist auf jeden Fall schon mal ein Anfang.

Gruß

Jochen