PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Server gehäckt oder nicht ?



BladeDC
26.10.05, 17:37
Hallo woran kann ich erkennen ob mein Root gehäckt wurde weil mein Traffic der letzten 4 Tage rapide angestiegen ist und das ist unmöglich von den Game servern.

Habe regelmäßig Updates gemacht hab IP Tables kanns net verstehen

Wäre dankbar für ein paar Tipps

Tomek
26.10.05, 17:49
Hallo woran kann ich erkennen ob mein Root gehäckt wurde weil mein Traffic der letzten 4 Tage rapide angestiegen ist und das ist unmöglich von den Game servern.
Es kann alles mögliche sein. Du solltest zuerst überprüfen, wobei besonders viel Traffic entsteht. Das kannst du z.B. mit iptraf herausfinden.


Habe regelmäßig Updates gemacht hab IP Tables kanns net verstehen
Das heisst nicht zwangsläufig, dass dein Server keine Sicherheitslücken oder Schwachstellen hat.


Wäre dankbar für ein paar Tipps
Bei deinem Kenntnisstand würde ich den Server schnellstmöglich kündigen oder diesen gegen einen Managedserver tauschen.

Jesaja
26.10.05, 23:41
IPtables blockt ja nur Zugriffe auf Dienste, die nicht laufen sollen. Und ein aktueller Apache tut standartmäßig auch nichts gegen SQL-Injection.
Lass mal Chrootkit o.ä. drüber laufen und poste mal, was die Logs sagen.
Außerdem solltest du mal den inhalt von /tmp überprüfen und gucken, ob neue/ungewollte Dienste laufen.

Aber bitte, überleg dir nochmal, ob n Rootserver wirklich das richtige für dich ist. Falls du zum Ergebnis ja kommst, dann lies dich bitte etwas tiefer in die Materie ein.



Bei deinem Kenntnisstand würde ich den Server schnellstmöglich kündigen oder diesen gegen einen Managedserver tauschen.
Besser gegen nen Duden...

Blackhawk
27.10.05, 09:25
Hallo woran kann ich erkennen ob mein Root gehäckt wurde weil mein Traffic der letzten 4 Tage rapide angestiegen ist und das ist unmöglich von den Game servern.

Habe regelmäßig Updates gemacht hab IP Tables kanns net verstehen

Wäre dankbar für ein paar Tipps
Ansteigender Traffic kann tausend Ursachen haben. Bei mir z.B. bringen automatische Updates (ohne die ja wohl kein Root-Server laufen sollte) manchmal ganz wenig und manchmal ganz viel Traffic...

Jesaja
08.11.05, 14:00
"utomatische Updates (ohne die ja wohl kein Root-Server laufen sollte)"

Imho sollte grade ein Rootserver bzw. jeder produktiv eingesetzter Server ohne Auto-update laufen.....
Aber vielleicht liegst nur an meiner Erfahrung mit Windows, dass ich so denke...

Jigsore
08.11.05, 14:16
Server vom Netz nehmen wenn Du so etwas wie ein Rescuesystem oder Console hast, ansonsten alle Dienste ausser SSH beenden und mit der Suche nach dem Grund des erhöhten Traffic beginnen. Tips dazu findest Du zuhauf hier im Forum. Dazu noch den Ratschlag von Tomek beherzigen Dir einen Managed Server anzuschaffen und/oder Dich, wie Jesaja geschrieben hat, gründlich in die Materie einarbeiten.

Blackhawk meint mit automatische Updates (ohne die ja wohl kein Root-Server laufen sollte) bestimmt die Paketdatenbank auf dem aktuellsten Stand halten, und keine Updates automatisch einzuspielen :p

Jesaja
09.11.05, 22:26
Ähm, alle Dienste ausser SSH deaktivieren bringt imho nichts, wenn der Server schon komprimittiert ist, weil er Angreifer bereit Zugriff hatte/hat und jederzeit selbst Dienste starten kann.

Jigsore
10.11.05, 10:04
Dann sag mir mal wie Du denn ein Backup durchführen würdest wenn Du ausser SSH keinen anderen Zugang zum Server hast?

marce
10.11.05, 11:22
ganz einfach mit ssh? :-)

Blackhawk
10.11.05, 12:17
Dann sag mir mal wie Du denn ein Backup durchführen würdest wenn Du ausser SSH keinen anderen Zugang zum Server hast?
z.B.: rsync -e ssh

Jigsore
10.11.05, 13:36
Sicher gibt es noch mehr Wege, aber wenn ein böser Mensch auf meinem Server war seh ich einfach nur zu das ich alle wichtigen Dinge so schnell wie möglich runterkriege, den Server neu ausetze, Backups eventuell auf böswillige Veränderungen prüfe und hoffen das dann alles wieder läuft nachdem Backups wieder eingespielt wurden.

Mein Post war eher eine Antwort auf:

Ähm, alle Dienste ausser SSH deaktivieren bringt imho nichts, wenn der Server schon komprimittiert ist, weil er Angreifer bereit Zugriff hatte/hat und jederzeit selbst Dienste starten kann.
Nun kommt der nächste und sagt er macht es mit Telnet, der übernächste machts per FTP.. natürlich alles unter uid0 ;)
Ich machs halt per mc -> shell -> server -> verzeichnis/dateistrukturen kopieren -> server neu aufsetzen. Funktioniert seit Jahren problemlos und schnell.

IT-Low
10.11.05, 18:26
Dann sag mir mal wie Du denn ein Backup durchführen würdest wenn Du ausser SSH keinen anderen Zugang zum Server hast?

Du willst ein Backup von einem kompromittierten Rechner machen? Moep. Fehler im System. Dann ist es genau genommen schon zu spät. Wer weiß ob du dann überhaupt noch ein Backup von deinem "eigenen" Rechner machst?

marce
10.11.05, 18:49
Du willst ein Backup von einem kompromittierten Rechner machen? Moep. Fehler im System. Dann ist es genau genommen schon zu spät. Wer weiß ob du dann überhaupt noch ein Backup von deinem "eigenen" Rechner machst?
für 'ne forensische Analyse kann sowas durchaus sinnvoll sein...

IT-Low
10.11.05, 19:26
für 'ne forensische Analyse kann sowas durchaus sinnvoll sein...

Ja, das geht aber nur wenn man physikalischen Zugriff auf die Kiste hat und sie vom Netz getrennt ist. Hängt die Kiste noch die ganze Zeit kompromittiert am Netz, macht dann über SSH z. B. ein Backup überhaupt keinen Sinn mehr oder ist wenigstens ziemlich fragwürdig.

Jigsore
10.11.05, 19:50
Was ist an Deiner Aussage Du willst ein Backup von einem kompromittierten Rechner machen? Moep. Fehler im System. realistisch?

Sicher wäre mir mein Gameserver mit ein paar Webseiten relativ egal. Aber was mache ich wenn es ein Kundenserver ist der dazu noch schnell wieder da sein muss?
Die Integrität meiner Backups ist natürlich fraglich, und wenn ich dann nach Deinem Ratschlag handel, muss ich den Kunden leider mitteilen das alles futsch ist und es lange dauern wird bis alles wieder läuft weil ich Angst habe das der pöse Cracker in den Configs meines Servers rumgepfuscht hat die ich als Admin mit Sicherheit nicht durchsehen werde ob alles stimmt.
Ob da wohl Klagen kommen würden, von dem geschädigten Ruf mal ganz abgesehen?

Nichts gegen Paranoia, aber das ist nun extrem übertrieben das Du meinst es wäre ein Fehler wichtige Inhalte des Servers noch zu retten.

IT-Low
10.11.05, 20:18
Nichts gegen Paranoia, aber das ist nun extrem übertrieben das Du meinst es wäre ein Fehler wichtige Inhalte des Servers noch zu retten.

OK, ein paar Webseiten retten. Deren Integrität zu überprüfen ist trivial, da geb ich dir recht. Prinzipiell bleib ich aber bei meiner Meinung.

Am besten ist aber, dass man auf ein sauberes Backup zugreifen kann. Dass das in der Praxis meistens anders ist, steht auf einem anderen Blatt.