Wir haben einen Linux-Server auf dem eine Homepage und ein Ftp-Server (e107 v1.75) am laufen.
Die Homepage unterliegt seit knapp einer Woche einem Hack-Angriff von aussen.

Der Typ kündigt es an und erreicht es dann irgendwie das die Seite ultralangsam oder gar nicht mehr erreichbar ist.

Da wir alle nicht so den Einblick in dieser Materie haben wende ich mich mal an euch, in der Hoffnung ein paar tips zu bekommen.

Das grösste Problem das es zu lössen gibt ist, ich weiss nicht wie er es macht, ich habe keine Ahnung wo ich nachschauen kann/muss um das ganze nachvollziehen zu können.

Wie kann ich also herrausbekommen wie es die Seite Lamlegt, kann ich in Linux sehen von wo der Angriff kommt?

Danke schon mal
Die LinuxNull :)

Das könnte man alles mit den entsprechenden Kentnissen :-)

Aber in deinem Fall würde ich dir eher empfehlen bei der Polizei Anzeige zu erstatten. Dazu nimmst du dir sämtlich Drohungen in digitaler Form als auch ausgedruckt mit zu der Polizei.

Ansonsten kann ich dir nur empfehlen dich an einen Experten zu wenden, aber über Forentipps wirst du hier auf der Strecke bleiben.

Wie droht er es denn an?
Ich dachte, Drohungen über Instant Messaging etc. zählen nicht als Beweismittel..., wobei Logs natürlich genauso manipuliert werden können.

Danke baumgartner, fuer Deine fundierte Aussage ueber Fragen, die gar nicht gefragt waren.
@LinuxNull: Die klassische Frage, die auf solche Posts folgt: Warum legt Ihr Euch einen Linuxserver zu, wenn Ihr gar nicht wisst, wie man das Ding administriert? Wenn Ihr SSH-Zugriff auf die Buechse habt, deaktiviert Euren Webserver und schaut Euch mal in /var/log um.

'cuda

Ich würde erstmal schauen, ob der Server schon kompromittiert wurde oder ob es sich "nur" um DoS Angriffe von außen handelt (wohl eher zweiteres) denn wenn dieser Cracker oder Script Kiddie Spaß dran hat, hätte er wohl längst andere Dinge gemacht.

Ansonsten @bla!zilla hol dir schonmal ne Kotztüte.

Ich würde erstmal schauen, ob der Server schon kompromittiert wurde oder ob es sich "nur" um DoS Angriffe von außen handelt (wohl eher zweiteres) denn wenn dieser Cracker oder Script Kiddie Spaß dran hat, hätte er wohl längst andere Dinge gemacht.

Ansonsten @bla!zilla hol dir schonmal ne Kotztüte.

Wenn Ihr SSH-Zugriff auf die Buechse habt, deaktiviert Euren Webserver und schaut Euch mal in /var/log um.
Oder womit wuerdest Du anfangen?

'cuda

Oder womit wuerdest Du anfangen?
damit:

Ansonsten @bla!zilla hol dir schonmal ne Kotztüte.

Ernsthaft:
Frage ist erstmal - ist es nur ein (d)DOS oder ein realer Cracker-Angriff, also mit dem Ziel, die Maschine zu übernehmen?

Je nach dem würde ich davon das weitere Vorgehen abhängig machen...

Ich vermute, der Server ist was die Sicherheit angeht, schlecht konfiguriert und es handelt sich dadurch vermutlich nur um ein Script-Kiddie.


Oder womit wuerdest Du anfangen?

Ich würde mich an der Maschine per SSH anmelden und Prozesse sowie Logs kontrollieren. Falls ein Einbruch stattgefunden haben könnte, was ich für unwahrscheinlich halte, da der Angreifer / das Script-Kiddie dann vermutlich mehr Schaden angerichtet hätte als eine Webseite in so "langer Zeit" lahmzulegen, würde ich den Server vom Netz nehmen, die Ursache lokalisieren und neu aufsetzen.

Vielleicht hat er ja eine alte Version vom Apache aktiv und ein Script-Kiddie benutzt ein Programm, welches den Apache attackiert. Wenn er dann noch nicht mal limits oder sowas konfiguriert hat, kann es ja sein, dass sein Webserver irgendwann nicht mehr antwortet. Naja, ich habe meinen Apache noch nie auf DoS Attacken getestet oder ihn angegriffe, daher kann ich es so genau nicht sagen^^

Danke baumgartner, fuer Deine fundierte Aussage ueber Fragen, die gar nicht gefragt waren.
@LinuxNull: Die klassische Frage, die auf solche Posts folgt: Warum legt Ihr Euch einen Linuxserver zu, wenn Ihr gar nicht wisst, wie man das Ding administriert? Wenn Ihr SSH-Zugriff auf die Buechse habt, deaktiviert Euren Webserver und schaut Euch mal in /var/log um.

'cuda


Das grösste Problem das es zu lössen gibt ist, ich weiss nicht wie er es macht, ich habe keine Ahnung wo ich nachschauen kann/muss um das ganze nachvollziehen zu können.

Da kommt jetzt original sowas raus:

bin ein linuxanfänger ich weiß ist eine schwere aufgabe aber was muss ich in putty eintippen damit ich dies genau auf dem root habe und wo muss ich vll was in der config ändern?


Interressant wäre es mit welcher Bandbreite der Server ans Internet angebunden ist (sollte es sich tatsächlich um eine reine (d)Dos-Attacke handeln.

Ich tippe da auch auf eine D(DOS) Attacke. Schaut Euch mal das log Eurer Firwall an. Eventuell findet Ihr so raus welcher Dienst angegriffen wird und könnt Ihn dann modifizieren.


Leon

... das sind ja alles nur Hypothesen. Ich würde den Rechner vom Netz nehmen und forensisch untersuchen (lassen).

verschoben nach sicherheit

ich geh mal davon aus, dass frau linuxnull keine ahnung hat, was ssh oder gar DOS ist, in dem fall kann sie mit den antworten nichts anfangen und ist wieder verschwunden... falls dem nicht so ist:
hilfe über das forum ist hier wenig aussichtsreich, das müsste jemand anschauen, der was davon versteht.

hilfe über das forum ist hier wenig aussichtsreich, das müsste jemand anschauen, der was davon versteht.
den Satz könnte man auch falsch verstehen :-)

äh hehe war aber nicht so gemeint ;-)
das müsste sich jemant vor ort anschauen der was davon versteht

te absolvo :-)

um heraus zu bekommen, ob die maschiene bereits kompromitiert ist, wuerde ich als ertes mal http://www.chkrootkit.org/ durchlaufen lassen. das ganze rennt sowieso per cron mindestens einmal die woche! (auf nem gut konfigurierten router) und der output per mail an eine externe email adersse....

Warum soll ich mir eine Kotztüte holen?

um heraus zu bekommen, ob die maschiene bereits kompromitiert ist, wuerde ich als ertes mal http://www.chkrootkit.org/ durchlaufen lassen. das ganze rennt sowieso per cron mindestens einmal die woche! (auf nem gut konfigurierten router) und der output per mail an eine externe email adersse....

Auf nem gut konfigurierten router rennt chkrootkit einmal die woche?
Unsinn, totaler Unsinn sag ich da nur...

Jedes Pippi-Rootkit macht chkrootkit wirkungslos...

cane

ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not infected
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not found
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not found
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not found
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files


Dann verstehe ich aber nicht warum das Teil die ganzen Tools überprüft. Und warum es das überhaupt gibt. Könntest du einmal erläutern warum jedes Pippi-Rootkit chkrootkit Wirkungslos macht?

um einen ansatz zu finden, was alles probleme verursachen könnte, kannst du ja mal http://www.nessus.org/ besuchen und dir das tool runter laden. damit machst du einen kompletten scan und siehst dir das ergebnis an.
echte standard problemzonen werden damit zugänglich und du bekommst noch tips, was du machen kannst, damit nichts passiert (links, versionsanzeigen etc.)

als ansatz ist das durchaus sehr brauchbar und man bekommt mal einen überblick.

Zitat:
Zitat von sm0ker Beitrag anzeigen
um heraus zu bekommen, ob die maschiene bereits kompromitiert ist, wuerde ich als ertes mal http://www.chkrootkit.org/ durchlaufen lassen. das ganze rennt sowieso per cron mindestens einmal die woche! (auf nem gut konfigurierten router) und der output per mail an eine externe email adersse....

Auf nem gut konfigurierten router rennt chkrootkit einmal die woche?
Unsinn, totaler Unsinn sag ich da nur...

Jedes Pippi-Rootkit macht chkrootkit wirkungslos...

cane

aehhmm... nix fuer ungut! das ist EINE der massnahmen, welche meiner meinung nach auf einem router ergriffen werden koennen! neben einer gut konfigurierten firewall, ssh welches kein root login erlaubt...... man kann natuerlich auch ersteinmal riesig rumflamen, aber nix konstruktives zum problem des posters sagen... super sinnvoll....

Dann verstehe ich aber nicht warum das Teil die ganzen Tools überprüft. Und warum es das überhaupt gibt.?
Um es von einem garantiert nicht kompromittierten System laufen zu lassen, z.B. von ner LiveCD. Is auch völlig wurst. OP: Bezahlt jemanden dafür, dass er eure Server administriert. So wie en Fahrunternehmen auch nen KFZ-Mechaniker einstellt. Oder halt in ne Werkstatt geht.