Hi, Leute!

Am 23.12. muss mein Webserver gehackt worden sein, erst war nur mein Board betroffen, dann komplett MySQL und nun scheinen auch keine E-Mails mehr an zu kommen.

Verwendetes System:
Suse Linux 9.0
Qmail 1.03
VpopMail 5.2.1
Spamassassin 2.55
ClamAV
MySQL 4.0.15
Apache2 2.0.45

MySQL stürzt andauernd ab und nach nem neustart von MySQL dauerts nur ne geringe Zeit bis es wieder platt ist.

Was mit dem Mail System los ist kann ich mir nicht erklären, von heute auf morgen kommt nix mehr an obwohl ich an der Config nix verändert habe.

Nun meine Frage, gibts außer ner NEuinstallation noch ne Chance den Server noch zu retten?

Wenn Ihr Config files braucht, schreibt mir welche und ich poste was ihr wollt, ich will nur das dieser Server wieder gescheit seinen Dienst tut.

MfG. BNO

Welches Board war betroffen? Software, Version? Was sagt dir, dass dein Server gehackt worden ist?

Board ist phpBB 2.0.8 (wenn ich das noch richtig im kopf hab) und ich hatte noch 2 mal das iWare CMS in der Version 5.0.2 und in der Version 4.0.0 auf dem Server laufen.

Das die Kiste gehackt wurde sagt mir, dass andere Foren auch zur Gleichen Zeit platt gegangen sind ( z.B. www.planetamd64.com ) diese berichteten von Iranischen hackern, die eine Schwachstelle im Board gefunden haben. Nach einem Neu hochladen des Boards ging alles wieder und kurze Zeit war dann der erste MySQL Crash.

[EDIT]
außerdem habe ich seit wochen nichts mehr am Server verändert bis die Probleme an fingen.

Hallo

das mit der phpBB lücke stimmt. musst die neuste Version runterladen, da ist die Lücke geschlossen. 2.0.11 ist es. Was mit den anderen sachen ist, da kann ich dir leider nicht helfen.

MfG
aquila

Nun meine Frage, gibts außer ner NEuinstallation noch ne Chance den Server noch zu retten?

Ich würde an deiner Stelle einen Provider deines Vertrauens damit beauftragen. Wer einen Server ins Netz stellt sollte wissen was er tut und natürlich auch regelmäßig prüfen ob irgendwelche Lücken bekannt geworden sind.

Die kritische Update für phpbb (egal ob diese dein Problem verursacht hat oder nicht) ist am 18.11.2004 veröffentlicht worden.

Sowas darf nicht passieren.

Das die Kiste gehackt wurde sagt mir, dass andere Foren auch zur Gleichen Zeit platt gegangen sind ( z.B. www.planetamd64.com ) diese berichteten von Iranischen hackern, die eine Schwachstelle im Board gefunden haben.

http://www.heise.de/security/news/meldung/54504
http://www.heise.de/security/news/meldung/54550
http://www.heise.de/security/news/meldung/54612

Und mit den iranischen Hackern wäre ich vorsichtig. Wer sowas in die Welt setzt zeigt seine Inkompetenz.

Das mit den iranischen Häckern hab ich mir nicht aus den Fingern gesogen, Quelle: http://www.planetamd64.com/portal.php?sid=01afa711116ab800b2405ed3ec73d485

12/5/2004 - We were hacked. Some clever fellows in Iran, exploiting a security hole in PHPBB, defaced our site. I have managed to reestablish the site and the database was left intact. Patches have been applied and the security hole closed. On a positive note, I guess we're popular enough for someone to want to hack us. Such is the price of fame.

Ich würde nie so etwas in die Welt setzen wenn ich nicht dafür nen Grund hätte, so ist die Sache nicht.

Ok, die Updatepflege von phpBB hab ich etwas vernachlässigt, das gebe ich ganz offen zu, aber es ist nicht so das ich keine Ahnung habe wie ich mit nem Linux Server zu verfahren habe. Ich bin momentan nur leider mit meinem Latein am Ende, ich bin nunmal nicht Allwissend und für solche Fälle ist das Board nunmal da.

SuSE 9 hab ich auch auf dem neusten Stand gehalten soweit es mit dem Online Update möglich ist.

Die Heise Links werd ich mir mal anschauen.

Prinzipiell kann auf deinem System ein Rootkit laufen, das verhindert modifizierte Dateien zu erkennen. Aus diesem Grund solltest du das System neu installieren. Eine Alternative wäre das booten von einem sauberen System und von dort aus nach den modifizierten Dateien zu suchen (z.B. mit den Originaldateien der Distribution zu vergleichen, was aber vom Aufwand einer Neuinstallation gleich kommt.)

Einen Vorschlag für die Neujahrs-Vorsätze: System regelmässig updaten und sich z.B. www.heise.de/security als Startseite einrichten.

Gruss, Andy

Danke für eure Antworten, ich hab gerade noch ein paar System files geupdated (die mir eigentlich unwichtig erschienen) und hab mal neu gestartet und jetzt läuft der Server wieder, ich werd in den nächsten Tagen dann mal definitiv das phpBB2 Update drauf ziehen, nochmal hab ic au fso eine aktion keine Lust.

hab mal neu gestartet und jetzt läuft der Server wieder,
D.h. du installierst den Server nicht sofort neu? Dann sind u.U. Rootkits, Backdoors oder sonstiger Müll auf dem Server und du weisst es nicht. Das kann im schlimmsten Fall z.B. rechtliche Probleme und hohe Kosten durch Traffic verursachen.


ich werd in den nächsten Tagen dann mal definitiv das phpBB2 Update drauf ziehen, nochmal hab ic au fso eine aktion keine Lust.
D.h. du schickst das verwundbare phpBB wieder ins Rennen?

Das ist alles nicht dein Ernst oder? Ich habe nur einen Rat an dich: Server sofort vom Netz nehmen und kündigen.

der phpBB fix dauert ca. 3min

gruss

c.

Das ist alles nicht dein Ernst oder? Ich habe nur einen Rat an dich: Server sofort vom Netz nehmen und kündigen.

kann mich dem nur anschließen.


nochmal hab ic au fso eine aktion keine Lust.

dann solltest du auch das machen was dir hier empfohlen, Da du heute ja das alte board noch mal im betrieb genommen hast, kann es sein das morgen schon wieder alles von neuem anfängt

So, der Server läuft wieder (ohne Neuinstallation).

Um phpBB werde ich mich so schnell wie ich zeit habe kümmern, da das wirklich ein Sicherheitsrisiko darstellt.

Danke an alle die geantwortet haben.

Ich muss mich wiederholen...

1) Du installierst den Server nicht sofort neu? Dann sind u.U. Rootkits, Backdoors oder sonstiger Müll auf dem Server und du weisst es nicht. Das kann im schlimmsten Fall z.B. rechtliche Probleme und hohe Kosten durch Traffic verursachen.

2) Du schickst das verwundbare phpBB wieder ins Rennen? Dabei ist ein Fix für das Sicherheitsloch in wenigen Minuten eingebaut.

Ich kann nur noch den Kopf schütteln. :rolleyes:

Ich würde nie so etwas in die Welt setzen wenn ich nicht dafür nen Grund hätte, so ist die Sache nicht.


OK, das habe ich auch nicht behauptet. Das wirft nur kein gutes Bild auf dieses besagte Forum. Es scheint so, als hätten da einige das Internet nicht verstanden.

Zum eigentlichen Thema: Ziemlich mutig, was du da machst. Eine Neuinstallation ist das einzige Mittel, es gibt keine Alternative.

So, der Server läuft wieder (ohne Neuinstallation).

Das zeugt von massig Kompetenz. Spricht man auch noch von Kompetenz wenn es negative Kompetenz ist?

Ich würde es lernresistent und merkbefreit nennen..

Was mich hier verwundert ist:
Wenn ich merke da stimmt was nicht, würde ich erstmal alle Dienste abschalten und Sicherheitsupdates und chrootkit fahren.
Warum ist das bei dir nicht erfolgt? So wie du geschrieben hast hast du seelenruhig zugeschaut wie alles "den Bach runterging".

Schlecht betreute Systeme sind gern gesehene Sprungbretter für weitere Attacken und erhöhen den Datenmüll und damit die Unzuverlässigkeit des Internet. Ignoranz auf Kosten der anderen.

Gruss, Andy