Hallo,

ich habe bis jetze ein paar grundkenntnisse in sachen Linux und brauche jetzt die Hilfe eines Experten!!!

Ich habe seit einigen monaten eine Linux server angemietet, jetzt drängt sich mir der verdacht auf das sich jemand zugang verschafft hat. Ich habe ca 15 gb traffic den ich jedoch nicht nachvollziehen kann (confixx). Jetzt brauche ich jemand der sich das ding mal anschaut auch wegen einiger meines erachtens nach nicht originalen user usw.

Hoffe das man hier besser beraten wird als im rootforum.de

THX Martin

Den Server wirst ja schon vom Netz genommen haben.

Für den Rest gibt es hier im Forum genug Threads, z.B. sufu: server einbruch (http://www.linuxforen.de/forums/search.php?searchid=1786515) was Du nun weiter tun kannst.

Hallo,

sorry warum mietest Du Dir das Ding, wenn Du keine Ahnung hast? Und jetzt sollen Dir wildfremde Menschen helfen den Karren aus dem Dreck zu ziehen?

Tu Dir und der Welt einen Gefallen, lerne erstmal wie das geht bevor Du Dir einen Server mietest.

Um Dir zu helfen, gebe ich Dir einen Tipp. Besorg Dir "rkhunter" und untersuche den Server damit. Das Tool findest Du wenn Du hier im Forum suchst.
Sollte das Tool was finden, dann sichere die Logfiles, nimm den Server SOFORT vom Netz und lassen den Server SOFORT neu aufsetzen. Warte damit keine weitere Nacht.

Wenn das dann passiert ist, spiele immer aktuelle Sicherheitspatche ein und kontrolliere Deine Logfiles regelmässig.
Ein Server ist eine Verantwortung die man nicht nebenbei erledigt. Bitte lerne dringend wie man sowas angeht und meld den Server solang ab. Das ist besser für Dich. Du haftest für Schäden, wenn Du den Server nicht im Griff hast. Und das sag ich nicht böswillig, sondern an guter Rat.

Gruß Malte
PS: Die Jungs vom Rootforum reagieren auf Leute wie Dich sehr allergisch, da es immer mehr Newbies nen Server mieten obwohl sie keine ahnung haben.

Für die zukunft: Schau dir mal logcheck an, das überwacht die gängigen logs und schickt dier mails falls sich was verdächtiges tut...

Gruß,
Ace

Wenn man nicht schwimmen kann, springt man auch nicht ins Wasser!

Diese Kohlen solltest Du schon selbst aus dem Feuer holen, und Dich mit der Problematik beschäftigen. Vermutlich hast Du allerdings nur ein paar ungebetene Gäste, die den freien Speicherplatz und den Traffic Deines Root-Servers nutzen.

Schau Dir doch mal mit ... last ... w ... an wer so gerade drin bzw. online ist. Dann such mal nach Dir nicht bekannten Verzeichnissen, wo fremde Daten abgelegt wurden. Den Tipp mit rkhunter kann ich Dir nur ans Herz legen! :o

Bei mir und meinem ersten Rootie war es nicht anders. Kein Plan von nichts gehabt aber trotzdem haben wollen.
Nach zwei Monaten dann recht viel Traffic über dem Enthaltenen...

Ich denke durch solche Fehler lernt man am schnellsten. Zumindest mich hat es dazu angespornt mich mit der kompletten Thematik zu beschäftigen.

Neben den Schelten sollte es aber auch Hilfe für die Leute geben wenn jenige ordentlich fragen ;)

Wie willst Du da helfen, da kann man ja nur sagen ... gib die IP her und die Zugangsdaten für root und Kennwort ... und schaut dann selbst mal nach. Nur das ist natürlich wiederum ein Sicherheitsrisiko. Ich denke Du hast da etwas Richtiges gesagt:

Zumindest mich hat es dazu angespornt mich mit der kompletten Thematik zu beschäftigen. Das rechtliche Haftungsrisiko für verursachte Schäden etc. ist nicht außer Acht zu lassen bzw. zu verniedlichen.

Das rechtliche Haftungsrisiko für verursachte Schäden etc. ist nicht außer Acht zu lassen bzw. zu verniedlichen.

So lange Du nicht grob Fahrlässig handelst hast Du natürlich Recht.

Ich habe aber bisher noch nichts gehört das ein Serverbetreiber dessen Root Opfer von z.B. Spammern, für DDoS Attacken missbraucht wurde etc. rechtlich belangt wurde.

Nur zum Teil ... in Deinem Beispiel hast Du sicherlich Recht, das wird im Moment noch locker gehandhabt. Aber denke mal an Kinderpornographie im professionellen Stiel, da ist die Kripo schon rigoroser. Hierfür werden ja zum Teil sogar Board-Betreiber von Foren haftbar gemacht, bestes Beispiel sind die Yahoo-Foren.

Ich will ja hier keine Schwarzmalerei betreiben, aber man sollte die Risiken kennen und im Auge behalten. Unwissenheit schützt vor Strafe nicht ... ein altes immer noch gültiges Sprichwort ;) .

Mittlerweile sind auch FTP Server auf denen Warez ablegt wurden im Visir diverser Vereine und natürlich wenn Filme dort liegen freut sich die RIAA bzw. die deutschen Ableger der RIAA.
Wie schon gesagt - Server unbedingt vom Netz nehmen !
Heisst alle Serverdienste runterfahren und wenn es die Option gibt den Server neu zu installieren unbedingt machen.
Vorher Logfiles sichern und via "du -h" die Verzeichnisse rausfinden, wo eventuell die Daten liegen die den Traffic verursacht haben. Dann ist auch der entsprechende Serverdienst (HTTP, FTP ...) rausgefunden. Von diesem neben Logfiles auch noch die Konfiguration sichern und diese überprüfen - damit der Fehler nicht nochmal passieren kann.

Ist ja nicht neu, wird aber immer wieder vergessen -> regelmäßig den Server mit einem Online-Update auf dem neusten Stand halten, dann kann mit korrekter Konfiguration eigentlich fast nix schieflaufen.

Man sollte nicht vergessen zu erwähnen das PHP eigentlich eins der grössten Sicherheitslecks ist.

Schön und gut wenn man sich drum kümmert seine Distribution aktuell zu halten, logs zu checken und sich vielleicht ein wenig mit der Konfiguration von Apache beschäftigt, sich dann aber wundert das irgendjemand seinen Server kompromitiert weil man so ein dummes Zeug (sorry) wie phpBB, oder noch besse,r irgendeinen *Nuke Kram betreibt.

Es geht nicht nur darum sich mit dem System auszukennen, ich meine es geht auch darum zu wissen wo eventuelle Schwachpunkte auftauchen können.

auch für solche fälle kann man was machen.
z.b. /home- und /tmp-partition mit noexec,nosuid,nodev mounten,
php selbst absichern (open_basedir,...),
kein wget und v.a. kein compiler (zumindest nicht für normale user)
usw

da könnte man noch lange so weitermachen

Hallo,

ich habe bis jetze ein paar grundkenntnisse in sachen Linux und brauche jetzt die Hilfe eines Experten!!!

Ich habe seit einigen monaten eine Linux server angemietet, jetzt drängt sich mir der verdacht auf das sich jemand zugang verschafft hat. Ich habe ca 15 gb traffic den ich jedoch nicht nachvollziehen kann (confixx). Jetzt brauche ich jemand der sich das ding mal anschaut auch wegen einiger meines erachtens nach nicht originalen user usw.

Hoffe das man hier besser beraten wird als im rootforum.de

THX Martin

Wenn Du wirklich Hilfe benoetigst, dann melde Dich einfach per PN.

Man sollte nicht vergessen zu erwähnen das PHP eigentlich eins der grössten Sicherheitslecks ist.
Nein. Höchstenfalls unsichere Skripte, aber bei der richtigen[tm] Konfiguration kann auch dann nicht viel passieren (von clientseitigen Exploits wie XSS mal abgesehen).

Hätte ich dazuschreiben sollen. Natürlich meinte ich PHP im Zusammenhang mit unsicheren Skripten angefangen mit den zwei die ich schon genannt habe.

Wo steckt eigentlich Martin? Hast Du das Problem gelöst? :o

Wir reden uns hier die Köpfe heiß, und Martin liegt vielleicht am See und döst ... löööl

@Martin: Wenn alle Stricke reißen, sende mir ne private Mail ... :rolleyes:

Und selbst wenn man PHP Script betreibt, hilft um eventuelle Gefahren einzudämmen vielleicht noch Apache in einen Chroot Käfig einzusperren und vor allem dann Dinge wie Webdav usw. abzuschalten. Sprich alles was mit Uploads - wenn nicht unbedingt gebraucht - zu verbieten.