Hi,

heute Abend wurde leider mein Server gehacked.
Mir ist eine hohe Festplattenaktivität aufgefallen....dann konnte ich mich auch nicht per SSH einloggen. Über Webmin gings dann. Die Festplattengeräusche kamen vom löschen der /var/log/* . Es wurde auch dran gedacht, die bash_history zu löschen. Auch sonst hab ich nichts entdecken können. Ich hab keine Ahnung, wie der Typ reingekommen ist (obwohl ich nicht glaube, dass es so schwer war, da meine Firewall relativ sanft war).

Naja, ich hab versucht, die gelöschten Dateien mittels diverser Programme (undelete, mc, recover, debugfs, testdisk, unrm...) wiederherzustellen, was aber (natürlich) nicht klappte, weil die Tools nur bei ext2-FS funktionieren, ich jedoch ext3 laufen habe.

Ich habe jetzt den Server komplett neu aufgesetzt. Ist natürlich noch lange nicht so funkionsfähig wie vorher, aber immerhin geht das Internet. Diesmal hab ich die Systemsicherheitsstufe von Mandrake auf "höher" gestellt, was wirklich EINIGES einschänkt!! Ich hab ne kleine ext2-Partition erstellt, in die /var/log/ gemounted wird, so dass ich im Zweifelsfall die Daten wiederherstellen könnte.

Firewall ist komplett restriktiv. Nur surfen geht und ssh, sonst erstmal überhaupt nichts.

Im Hintergrund laufen nun Programme, die das System nach Auffälligkeiten durchsuchen (suid-root-files, für alle schreibbare Dateien/Verzeichnisse, leere Passwörter, ungesicherte Benutzerkonten, prüfe offene Ports, Checksummenprüfung,Dateiberechtigungen in Home-Verzeichnissen prüfen, Benachrichtigung) Auch chkrootkit läuft periodisch.

Habt ihr mir noch Tips, was ich machen kann, damit ich's einem Einbrecher schwerer mache?

Danke...
clumsy

den rechner aus der steckdose ziehn

SSH Port deaktivieren.
Wenn du das trotzdem haben willst dann erstell dir ein Programm das auf einem Port auf den Befehl wartet ssh freizugeben bzw. wieder zu sperren.
SSH sollte wirklich nur offen sein wenn du ihn wirklich brauchst.
Scar

updaten um exlpoits ausweichen zu können!

Naja... er wird einen Dienst geknackt haben.
Was lief denn noch ausser SSH?

am wichtigsten wäre herauszufinden, _wie_ der ungebetene Gast denn reingekommen ist...

Denn, was nützt ein 100%-gepatchtes System, wenn z.B. noch über selbstgebastelte CGIs scheunentorgroße Lücken da sind...

danke für die antworten!

rechner hab ich sofort vom netz genommen und resettet ;)

@Skar KS
SSH deaktivieren? Hmm....ich dachte, das ist relativ sicher? Ich weiss, dass es wie alles andere auch Schwachstellen hat, aber trotzdem....
Aber von der Technik vom PortKnocking (oder wie das heisst) das du beschrieben hast, hab ich vor ner Weile im LinuxMagazin gelesen....werd ich machen.


updaten um exploits auszuweichen
ja, hab ich bisher nicht gemacht. könnt ihr mir ein paar links zu wichtigen seiten dazu geben, also wo finde ich die patches, news usw?

@Windoofsklicker
es lief noch einiges:
- Postfix
- Samba (intern)
- Squid
- Jabber
- Shoutcast
- Teamspeak
- DHCP
- FTP
- Apache2/MySQL

Ich weiss, dass es dann eher leicht ist, ins System zu kommen, aber auf manche Dienste will ich nicht verzichten. FTP werd ist halt ganz praktisch....werd ich aber wohl nicht mehr laufen lassen.


am wichtigsten wäre herauszufinden, _wie_ der ungebetene Gast denn reingekommen ist...

ja, das finde ich ja auch. deshalb hab ich gestern abend die meiste zeit damit verbracht, rauszufinden, wie er reingekommen ist. Habs aber net gefunden, weil alle logfiles gelöscht wurden, die bash_history auch und sonst hab ich keine ahnung wie ich rankommen könnte.

Ich hoffe, das passiert nicht nochmal....kostet mich nur Arbeit.

clumsy

Da war die Auswahl ja recht groß.
Mehr als spekulieren kann man da nicht, obwohl mein Fav. der ftp Server ist. :)

Hallo, wenn wir schon bei dem Thema sind.
Hatte auch einen ungebetenen Gast. Es war aber kein besonders guter Hacker. Er hat nur einen Samba-Account knacken können. Dann hat er 500 Seiten drucken lassen. Da er aber den falschen Treiber erwischte, steht auf jeder nur eine Zeile mit Steuerzeichen. Nichts allzu schlimmes. Als der Tray leer war, hat er nichts mehr angestellt.
Der Account bekam ein neues Passwort. Alles paletti wieder.
Da er geschickterweise seine IP hinterlassen hat - er hängt im gleichen Sub netz meines Providers wie ich, habe ich mal einen Portscan bei ihm durchgeführt. Da mir dass dann schlußendlich zu lange gedauert hat, hab nach 1000 abgebrochen. Nun hat er NUR seinen Port 21 (FTP) offen. Wie geht das? Ich möchte dieses Skriptkiddy jetzt nicht beim Provider verpetzen (was natürlich ginge), aber irgendwie möcht ich ihm schon mitteilen, dass er das in Zukunft lassen sollte, da er sich mit dem falschen angelegt hat.
Irgendwelche Vorschläge?!?!?!

/harharhar

waxo

ja.

Verpetze ihn beim Provider. Und belege sein Tun mit Daten. Alles andere ist illegal. Also kein Faustrecht oder Auge-um-Auge.

ich schätze ftp, apache oder mysql...

Was zum Geier ist ein Scriptkiddy????

http://de.wikipedia.org/wiki/Skriptkiddie

Es war aber kein besonders guter Hacker. Er hat nur einen Samba-Account knacken können.
Da frag ich mich doch wie das passieren kann. Die Dienste von Clumsy verstehe ich ja noch. Aber Samba ins Internet routen? Nee nee.

Pingu

Exploit...

@gery


ich schätze ftp, apache oder mysql...


Exploit...

Was soll der Mist?

@clumsy

Regelmäßige Sicherheitsupdates über das Paketmanagment Deiner Distribution sind das A und O!

mfg
cane

@cane: was was soll der mist? --> 1. sind ja wirklich schwachstellen 2. Exlpoit nützen eben nur bei nicht-updaten, also angebracht ;)

Da frag ich mich doch wie das passieren kann. Die Dienste von Clumsy verstehe ich ja noch. Aber Samba ins Internet routen? Nee nee.

FTP wäre wohl die bessere Lösung. Aber einfacher ist Samba. Ich arbeite derzeit an einem größeren Projekt an 4-5 verschiedenen Arbeitsplätzen. Ich habe daher gerne meine Daten, die dafür notwendig sind überall. Samba ist dafür ideal. Das Securityproblem habe ich in Kauf genommen und mich versucht mit einer restriktiven Firewall (selbst geschrieben *stolz*) und guten Passwörtern zu schützen. Da mein Account derzeit in das weltweite Netz geroutet wird, sind auch alle anderen Accounts betroffen. Wenn ein User die Passwortregeln dann nicht einhält kann das dann passieren.

Und seit dem Film Hackers mit Angelina wissen wir ja, was die zehn häufigsten passwörter sind :)

/greetz

waxo

FTP wäre wohl die bessere Lösung. Aber einfacher ist Samba. Ich arbeite derzeit an einem größeren Projekt an 4-5 verschiedenen Arbeitsplätzen. Ich habe daher gerne meine Daten, die dafür notwendig sind überall. Samba ist dafür ideal.
Und warum dann nicht WebDAV? Am besten noch nur über HTTPS erreichbar? Dan wäre auch das Problem mit den anderen Usern umgangen - so nebenbei.

Pingu

Wenn ich mal Zeit hab umzustellen schau ich mir das mal an. Ist notiert.

Danke für den Tipp.

/greetz

waxo

Und warum dann nicht WebDAV? Am besten noch nur über HTTPS erreichbar? Dan wäre auch das Problem mit den anderen Usern umgangen - so nebenbei.

Pingu

...ich habe ständig anfragen zum Thema WebDAV(bzw. Exploid) an meinem Server...


213.23.213.251 - - [10/Dec/2004:18:19:50 +0100] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\x b1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb ...

Es gilt einfach so wenig dienste wie möglich ins INet zu routen, und diese aktuell zu halten!

...ich habe ständig anfragen zum Thema WebDAV(bzw. Exploid) an meinem Server...


213.23.213.251 - - [10/Dec/2004:18:19:50 +0100] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\x b1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb ...

Woher weißt Du das der Log auf WebDAV bezogen ist?

mfg
cane

Woher weißt Du das der Log auf WebDAV bezogen ist?

mfg
cane

weil die HTTP-Methode SEARCH (als Erweiterung)zum WebDAV Protokoll gehört:
http://greenbytes.de/tech/webdav/draft-reschke-webdav-search-latest.html#rfc.section.2

FTP wäre wohl die bessere Lösung. Aber einfacher ist Samba. Ich arbeite derzeit an einem größeren Projekt an 4-5 verschiedenen Arbeitsplätzen. Ich habe daher gerne meine Daten, die dafür notwendig sind überall. Samba ist dafür ideal. Das Securityproblem habe ich in Kauf genommen und mich versucht mit einer restriktiven Firewall (selbst geschrieben *stolz*) und guten Passwörtern zu schützen. Da mein Account derzeit in das weltweite Netz geroutet wird, sind auch alle anderen Accounts betroffen. Wenn ein User die Passwortregeln dann nicht einhält kann das dann passieren.

Und seit dem Film Hackers mit Angelina wissen wir ja, was die zehn häufigsten passwörter sind :)

/greetz

waxo

Ich würde an deiner stelle mal drüber nachdenken dir ein vpn einzurichten. Alles andere ist nämlich einfach nur grob fahrlässig.

Das Securityproblem habe ich in Kauf genommen und mich versucht mit einer restriktiven Firewall (selbst geschrieben *stolz*) und guten Passwörtern zu schützen. Da mein Account derzeit in das weltweite Netz geroutet wird, sind auch alle anderen Accounts betroffen.

Mit einer restriktiven Firewall routest du also solche Funsel-Dienste wie Samba ins weltweite Netz. Das ist ja richtig krass.

man vpn

wie wärs mit scp?

für windowsclients winscp
für linux:

scp @shell
fish@konqueror
oder den mc benutzen


dann hast du nur noch ssh offen.. einen port für 2 dienste.... bei mir ist das so...!

wie wärs mit scp?
Oder SFTP? Mittlerweile können die meisten brauchbaren FTP-Clients unter Windows auch mit SFTP umgehen (z. B. WS-FTP, SmartFTP oder CuteFTP), so dass das Argument, es gebe keine Clients für Otto-Normal-User nicht mehr richtig zieht. ;)

Mit einer restriktiven Firewall routest du also solche Funsel-Dienste wie Samba ins weltweite Netz. Das ist ja richtig krass.

Ja weil ich diesen Dienst mit meiner restriktiven Firewall freigegeben habe.
Und ich wiederhole mich, wenn ich schon sagte dass es die einfachste Lösung war. Werd aber demnächst einen Tunnel per IPSec aufsetzen. Dann lacht mich hoffentlich niemand mehr aus.
Und wie gesagt ist ein FISH einfach nicht geeignet für dass was ich es benötige.


für linux:
scp @shell
fish@konqueror
oder den mc benutzen

Was willst du in meinem Fall mit dem MC anfangen?
Das hab ich nicht ganz verstanden.

/greetz

waxo

Und ich wiederhole mich, wenn ich schon sagte dass es die einfachste Lösung war. Werd aber demnächst einen Tunnel per IPSec aufsetzen. Dann lacht mich hoffentlich niemand mehr aus.
Und wie gesagt ist ein FISH einfach nicht geeignet für dass was ich es benötige.

Niemand lacht dich aus, aus Fehlern lernt man. Du machst ja auch schon Fortschritte. :)

Aber warum ist FISH/SSH/SCP/SFTP erst mal nicht als "einfach-VPN" für dich geeignet?

FISH benötigt zum Beispiel einen eigenen Client. Daher ungeeignet.
Ich kann nicht überall eigene Clients installieren.
Netzlaufwerke sind einfacher eben. MAC und Windows unter einen Hut zu bringen ist damit leichter.
VPN kann das. Samba auch. FTP eben nicht immer.