Archiv verlassen und diese Seite im Standarddesign anzeigen : Hilfe nach Hackerattacke
Hallo!
Heute nacht haben hacker meinen Server angegriffen.
Habe erste vor 2oder 3 tagen alles mögliche an diensten auf die neuste Version gebracht. Trotzdem sind sie in einen Accout reingekomm und haben eine page lahmgelegt. nicht schlimm ging sehr schnell wieder zu beheben.
Aber was sollte ich jetz machen?
Habe erstmal alle Passwörter geändert.
Bin mir aber nich sicher ob da nich doch noch irgendwo was von den aufm server rumliegt.
Weiß jemand wo man da noch mal alles schauen sollte?
Und kann ich irgendwie rausbekommen wie das ganze passieren konnte? will ja nicht das das nochmal vorkommt!
Wenn hier nen Voll-Sicherheitsexperte ist kann er auch evtl mal aufn server draufschaun.
Danke!
Thomas Engelke
18.11.04, 16:12
Als allererstes einmal den Server abschalten, so dies möglich ist. Ansonsten gibt dir komplette Sicherheit vor unerwünschten Überbleibseln nur eine Neuinstallation. Weiterhin wäre es gut, dich mit ein paar Sicherheitstutorials vertraut zu machen. Ein System wird nicht durch Software sicher, sondern durch den Administrator. 1000 Firewalls bleiben nutzlos, wenn sie nicht korrekt konfiguriert sind.
TME
http://www.linuxforen.de/forums/showthread.php?t=159864
hab ich letztens gelesen, da gibts auch ein paar Links zu Programmen
http://www.chkrootkit.org/
Das ist mal das allererste was man da drüber laufen lassen sollte, denke ich.
Desweiteren kann ich, wenn der Server wirklich was sicherheitsrelevantes drauf hatte, auch nur eine komplette Neuinstallation als 100%ig sichere Lösung nennen.
Shutdown
Installier das nächste mal keinen Compiler, dann bist du schon ein gutes Stück sicherer vor Hackern *SCNR*
Danke euch für die schnellen Antworten.
Neuinstallation wär sehr arbeitsaufwändig. würde das am besten umgehen. das es das beste wär is klar. muss ich mal sehen.
Hab chkrootkit drübergejagt.
alles ok bis auf "merkwürdige daten":
Searching for suspicious files and dirs, it may take a while...
/usr/lib/perl5/5.8.1/i586-linux-thread-multi/.packlist /usr/lib/perl5/site_perl/5.8.1/i586-linux-thread-multi/auto/Compress/Zlib/.packlist /usr/lib/perl5/site_perl/5.8.1/i586-linux-thread-multi/auto/Expect/.packlist /usr/lib/perl5/site_perl/5.8.1/i586-linux-thread-multi/auto/IO/Socket/SSL/.packlist /usr/lib/perl5/site_perl/5.8.1/i586-linux-thread-multi/auto/IO/Stty/.packlist /usr/lib/perl5/site_perl/5.8.1/i586-linux-thread-multi/auto/IO/Tty/.packlist /usr/lib/perl5/site_perl/5.8.1/i586-linux-thread-multi/auto/Logfile/Rotate/.packlist /usr/lib/perl5/site_perl/5.8.1/i586-linux-thread-multi/auto/MIME-tools/.packlist /usr/lib/perl5/site_perl/5.8.1/i586-linux-thread-multi/auto/Mail/Sender/.packlist /usr/lib/perl5/site_perl/5.8.1/i586-linux-thread-multi/auto/Mail/.packlist /usr/lib/perl5/site_perl/5.8.1/i586-linux-thread-multi/auto/Net/DNS/.packlist /usr/lib/perl5/site_perl/5.8.1/i586-linux-thread-multi/auto/Net/Syslog/.packlist /usr/lib/perl5/site_perl/5.8.1/i586-linux-thread-multi/auto/Net/SSLeay/.packlist /usr/lib/perl5/site_perl/5.8.1/i586-linux-thread-multi/auto/Proc/ProcessTable/.packlist /usr/lib/perl5/site_perl/5.8.1/i586-linux-thread-multi/auto/Quota/.packlist /usr/lib/perl5/site_perl/5.8.1/i586-linux-thread-multi/auto/Term/ReadKey/.packlist /usr/lib/perl5/site_perl/5.8.1/i586-linux-thread-multi/auto/XML/Parser/.packlist /usr/lib/perl5/site_perl/5.8.1/i586-linux-thread-multi/auto/libxml-enno/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i586-linux-thread-multi/auto/Crypt/SSLeay/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i586-linux-thread-multi/auto/DBI/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i586-linux-thread-multi/auto/Data/ShowTable/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i586-linux-thread-multi/auto/HTML/Parser/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i586-linux-thread-multi/auto/HTML/Tagset/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i586-linux-thread-multi/auto/IO/Socket/SSL/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i586-linux-thread-multi/auto/Msql-Mysql-modules/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i586-linux-thread-multi/auto/Net/SSLeay/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i586-linux-thread-multi/auto/Parse/Syslog/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i586-linux-thread-multi/auto/SNMP/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i586-linux-thread-multi/auto/Tie/IxHash/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i586-linux-thread-multi/auto/URI/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i586-linux-thread-multi/auto/Unix/Syslog/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i586-linux-thread-multi/auto/libwww-perl/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i586-linux-thread-multi/auto/mod_perl/.packlist
Wie man sieht immer eine Datei namens .packlist. steht aber in alles was anders drin.
Was soll das bringen keinen Compiler zu installieren?
Den hab ich doch selbst in ein paar sekunden selber installiert wenn keiner vorhanden ist.
kein compiler, weil viele "scripts" einfach davon ausgehen, dass einer vorhanden ist - wenn nicht, funzen sie nicht.
"klar" kannst Du "problemlos" einen nachinstallieren, aber das ist oftmals nicht implementiert...
Edit: Erg.: und dafür brauchst Du dann schon meist eine richtige Shell mit root-Rechten
Was soll das bringen keinen Compiler zu installieren?
Den hab ich doch selbst in ein paar sekunden selber installiert wenn keiner vorhanden ist.
du hast den witz nicht verstanden. hacker == coder, cracker == böser_bube.
-j
oh je, diese begriffliche Ungenauigkeit / Lapsus habe ich auch mal wieder übersehen... ;-)
Es geht doch gar nicht um Hacker oder Cracker.
Ich meine, es ist einfach Blödsinn zu sagen das es wirklich was bringen könnte keinen Compiler zu installieren.
Wenn man keinen braucht ein Ding, aber wenn ich den ab und an brauche werde ich nicht andauern einen Compiler installieren/deinstallieren.
alles ok bis auf "merkwürdige daten":
die .packlist Dateien sind ok (von dem autoloader von Perl).
Daß die Modulnamen darin unterschiedlich sind, auch.
Ich meine, es ist einfach Blödsinn zu sagen das es wirklich was bringen könnte keinen Compiler zu installieren.
-War nurn joke um den Unterschied hacker/cracker ohne "eh du arsch jetz lern endlich mal, dass nich alles, was heise behauptet, richtig ist" zu sagen ;)
-bringt imho schon was. wennst auch keine scriptsprachen-interpreter hast und die home-partition auf noexec setzt kann einer mit ner user-shell schon deutlich weniger anfangen ;) Ohne compiler müsste ich in der schule zum beispiel schon rebooten oder ne fertige binary mitbringen, um ne root-shell zu bekommen und dann wär mir langweilig ;)
-server brauchen in der Regel keinen compiler, da hat nur das zu laufen, was der distributor bereitstellt, der für die sicherheit verantwortlich ist... Wenns natürlich en build-host is, ist das was anderes :D
na das ist ja alles schön und gut.
aber jetz weiß ich immernochnicht wie ich herausfinden kann wie der "Hacker" in den Accout gekomm ist.
Ist es möglich von PHP passwörter rauszubekomm?
Ich habe da ne config.php drauf in der das mySQL passwort steht. Und das ist das selbe pw wie für den www-account auf dem die ganze page liegt.
na das ist ja alles schön und gut.
aber jetz weiß ich immernochnicht wie ich herausfinden kann wie der "Hacker" in den Accout gekomm ist.
Schau das Logfile (wenns nicht verändert wurde) an. Das verrät dir zumindest obs ein Brute-Force-Angriff war oder ob der Angreifer das Passwort wusste. In letzter Zeit klopfen z. B. öfters mal Skripte an, die sich über ssh einzuloggen versuchen.
Und in welcher Log?
Ich hatte schon in der von Apache geguckt. aber da war um die zeit kein zugriff
Und in welcher Log?
Kommt u. a. auf die Distro bzw. die syslog-Config an. In der Regel sind z. B. die /var/log/messages /var/log/warn /var/log/auth usw. interessant.
wie gross ist denn die "Lücke" in den Log-Files des Apache? Ist eine solche Lücke normal (verglichen mit anderen Tage / Zeiten / ...)
... wenn jemand über den Apache reingekommen ist, sollte dort in den Logs vielleicht was zu finden sind - ausser diese wurden "bereinigt"
@Wolax
Ich würde das ganze System neuinstallieren.
Du sollterst darauf achten:
- eine Firewall zu benutzen
- nur benötigte Dienste laufen zu lassen
- regelmäßige Updates zu machen
- eventuell ein IDS zu installieren
Um genauer beurteilen zu können wie der Angreifer eingebrochen ist benötige ich:
- eine Auflistung aller laufenden Dienste und ihrer Versionen
- die logs
mfg
cane
der angreifer schein sich einfach in die shell eingelogt zu haben
$last
...
web0 pts/9 165sdl30m15.code Thu Nov 18 03:37 - 03:38 (00:01)
web0 pts/8 165sdl30m15.code Thu Nov 18 03:26 - 04:22 (00:56)
web0 pts/8 165sdl30m15.code Thu Nov 18 03:22 - 03:25 (00:03)
web0 pts/8 16sdl30m15.codet Thu Nov 18 00:57 - 01:25 (00:28)
...
wie kann ich mir "16sdl30m15.codet" in kompletter länge anzeigen lassen?
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.