hallo

jetzt hat es mich erwischt...
der server wurde gehackt ( denke ich mal )

wie darauf komme:
-> passwd wurde am 26.08 geändert
-> log datei von august fehlen
-> history leer
-> einige befehle gehen nicht mehr,.. z.b.: df -h, vi,...



df -h
BUG IN DYNAMIC LINKER ld.so: dynamic-link.h: 62: elf_get_dynamic_info: Assertion `! "bad dynamic tag"' failed!




wie heisst nochmal der befehl, wo ich sehen, wer sich von welchen pc eingeloggt hat..
oder wie finde ich herraus, was passiert ist.

ps ax gibt:
..
47 ? T 0:00 rm -f /etc/mtab /etc/nologin /nologin /fastboot
..

system: suse 7.2, 2.4.4-4GB
( ich weiss ist nicht mehr das neuste.. )

nehme den server erstmal von netz, bis ich weiss was genau passiert ist..


was kann/soll ich machen..
( rootkit,... )

Danke

was kann/soll ich machen..

Na was wohl ? Mach die Kiste platt !

Dem stimme ich zu. Wenn du nicht vorhast eine detailierte forensische Analyse zu starten solltest du die Kiste komplett plätten und ein aktuelles System draufspielen. Und immer brav auf die Sicherheitsupdates achten!

Dem stimme ich zu. Wenn du nicht vorhast eine detailierte forensische Analyse zu starten solltest du die Kiste komplett plätten und ein aktuelles System draufspielen. Und immer brav auf die Sicherheitsupdates achten!

werde ich machen...

will aber ( wenn es noch geht ) herrausfinden wer sich eingeloggt hat..
( ip-nummer,... )

was mich auch interessiert:
wie er es geschafft hat...
( ueber ssh, .... ? )


kann mir jemand ein paar tips dazu geben...

Danke

rootkithunter
chkrootkit

Ansonsten snort, aber dafuer ist es wohl zu spaet!

Samsara
.

Gib mal -> last ein ...
... und schau Dir die /var/log/messages mal genau an, da steht es bestimmt drin.

last - genau das habe ich gesucht..

messages, warn... sind gelöscht!!!!

Ich bin jetzt nicht so auf dem neuesten Entwicklungsstand was rootkits und ihre Beseitigung von Logdaten angeht. Wenn die Logdateien einfach nur gelöscht wurden (via unlink) könnten sie ja noch irgendwo auf der Festplatte zu finden sein. Einfach mal die entsprechende Partition (oder besser noch: das Image der Partition) im Hexeditor öffnen und nach Zeug suchen dass wie ne Logdatei aussieht.

@muell2000,
prima, na schon was gefunden? Deine Hacker waren schon clever ... mit dem Befehl -> w wird Dir angezeigt, wer gerade eingeloggt ist :p .

so der server wird gerade neu aufgesetzt...

ich denke es war kein anfänger, aber ein fehler hat er gemacht...
wie gesagt, messages, warn, history waren gelöscht..

der befehl "last" war gelöscht bzw. es ist ein leeres shell script angelegt..

ein user "null" wurde angelegt..
( sudors vollzugriff ohne passwort.. )

..

der fehler...
er hatte vergessen die dateien wtmp... zu löschen und somit bin ich an die ip-nummer gekommen :)
( die kommt aus rumänien... )

....

lohnt sich ein anzeige zu machen?


Danke

Wenn du vorher ein Image deiner Festplatte gemacht hast, vielleicht. Wenn du kein solches Image hast dann stehst du ohne gute Beweise da: eine wtmp Datei zu fälschen in der eine bestimmte IP Nummer drinsteht ist simpel. Ein ganzes Festplattenimage so zu fälschen, dass selbst ein Forensiker es für echt hält dürfte eine Ecke schwieriger sein. Das Image wäre IMHO schon ein Beweisstück. Vielleicht kann dir bei sowas auch das BSI (http://www.bsi.de/fachthem/sinet/webserv/angriff.htm) oder CERT (http://www.cert.dfn.de/) weiterhelfen.

du hast recht,.. die adresse könnte falsch sein..

ich denke er ist über ssh in das system gekommen...

ich habe iptables eingestellt und mit nmap getestet..

port ssh gefiltert...

wie ist hat er das gemacht?

bzw.

wie ist er an das passwort gekommen?
( dann ist ssh gar nicht so sicher, wie jeder hier schreibt.. oder ? )

Danke

Du hättest dir ersteinmal per dd ein kompletes Image der Platte ziehen sollen. Dann hätte man dem Angreifer mit Forensic-Tools wie Autopsy etc. auf die Schliche komen können und anzeigen können. Schade - hätte ich gerne für dich probiert...

Alles weitere ist jetzt pure Spekulation...


mfg
cane

wie ist er an das passwort gekommen?
( dann ist ssh gar nicht so sicher, wie jeder hier schreibt.. oder ? )
Danke
Hätte der Einbrecher nicht müssen: z.B. über Apache- oder Webapp-Bug die
nobody Rechte, dann der kernel-exploit, mit dem man root kriegt, - fertig.

( dann ist ssh gar nicht so sicher, wie jeder hier schreibt.. oder ? )
Hm, du hast recht. Dabei waren die Logins root:root und test:test doch so sicher...

*SCNR*

on topic: Jede Kette ist so stark wie ihr schwächstes Glied. Wenn ein Dienst verwundbar ist und der Kernel vielleicht auch noch, dann ist es Essig mit dem virtuellen Eigenheim.

bei mir ist seit ein paar tagen ein slowake am ssh am werkeln und versucht sein glück , benutz aber bsd, heute hab ich ssh abgestellt- der macht mir sonst noch die logs voll.

naja, deswegen soll amns ich ja einen gatewayserver wie smoothwall aufstellen...

Und ein weg an ssh dran zu kommen ist immer eine bruteforce/dictonary-Attacke. Also einfach Passwörter probieren. Am besten in der /etc/sshd (oder wie die heißt) PermitRootLogin No (oder wie man das noch schreibt) eingeben. Denn dann kommt der ANgreifer mit root garnicht rein (und wenn er das nicht rausfindet grundsärtlich nicht ;-)). Und selbst wenn er das merkt/weiß, muss er auch noch einen Benutzernamen kennen.

Man kann ja nach einer bestimmten Anzahl von Fehlversuchen die IP sperren und schon ist Ruhe. Root login sollte man eigentlich immer verbieten wenn der rechner von ausserhalb erreichbar ist. Und den Benutzer und das PW darf man dann auch ruhig etwas kreativ wählen.

Oder man verwendet, wie in jedem Beitrag zu SSH steht, Keys zur zusätzlich Authetifizierung.

Eine weitere Maßnahme könnte Portknocking sein - möchte man von überall auf seinen Server kommen wäre hat ein simples Portknocking angebracht das man von überall realisieren kann (Ping, HTTP oder ähnlich)...

mfg
cane

Du hättest dir ersteinmal per dd ein kompletes Image der Platte ziehen sollen. Dann hätte man dem Angreifer mit Forensic-Tools wie Autopsy etc. auf die Schliche komen können und anzeigen können. Schade - hätte ich gerne für dich probiert...


schade, das habe ich nicht gewusst...

ist das jetzt zu spät?
auf der der system-platte hat sich seit dem agriff nichts geändert...
( ausser die log-dateien )

oder ist das zu spät..

ist das jetzt zu spät?
auf der der system-platte hat sich seit dem agriff nichts geändert...
( ausser die log-dateien )
Hattest du nicht geschrieben, dass du das alte System plattgemacht hast? Wenn nicht, zieh dir schnell ein Backup (mach ein komplettes Image der Festplatte, falls möglich) und plätte dann ganz schnell das System, damit du wieder mit einer "sauberen" Basis arbeiten kannst.

Hattest du nicht geschrieben, dass du das alte System plattgemacht hast? Wenn nicht, zieh dir schnell ein Backup (mach ein komplettes Image der Festplatte, falls möglich) und plätte dann ganz schnell das System, damit du wieder mit einer "sauberen" Basis arbeiten kannst.


ich habe das system auf einer neuen festplatte aufgesetzt..
das alte system läuft noch auf dem "alten server"...
wie gesagt ausser den log-dateien dürfte sich nichts mehr geändert haben..

mit einem images meinst du

dd if=/dev/system of=/tmp/datei

oder?

hat jemand noch links, wie ich dann mit dem image an info´s komme..
bzw. wie ich die programme einsetzen muss..

Danke

geht doch auch raid1 und spiegelst einfach die neu aufgesetzte platte, wenns hackt setzte die andere rein,
wo steht deiner zu hause oder im rechenzentrum

Hallo muell200,

wenn Du möchtest kann ich dir auch gern per Email oder besser Messenger behilflich sein - interessiere mich sehr für Digital-Forensic :)

Ich such mal ein paar Links aus meinen Bookmarks wie Du am besten vorgehst.

Bedenke das eine forensische Analye nicht "mal eben" gemacht sind... also lies dich am besten erstmal ein...

Einen Praxisbericht findest Du hier, ist vom Honeynet.org Project:
http://honeynet.org/challenge/index.html

Ich schau mal nach was deutschem für den Anfang ;)

mfg
cane

Hier - schau dir das erstmal an:

Artikel von Ralf Spenneberg zu Autopsy:
www.spenneberg.com/linux-magazin/058-061_sleuthkit2.pdf
http://www.google.de/url?sa=t&ct=res&cd=2&url=http%3A//www.spenneberg.com/linux-magazin/060-065_sleuthkit.pdf

Homepage von Autopsy:
http://www.sleuthkit.org/autopsy/desc.php

Nette Hilfsmittel und Zusatzinfos:
http://www.computer-forensik.org/

mfg
cane