Hallo

Habe mal eine Frage zu meinem Kleinen Debian-Server hier.
Ich habe heute auf meinem Server mal so ein wenig in der /etc/passwd und der /etc/shadow geschaut und siehe da ich habe auf einemal 2 neue Benutzer drin gehabt mit root-Rechten die nicht von mir erstellt wurden.

#cola:x:0:0::/var/lib/dir:/bin/sh
#aiud:x:0:0::/var/lib/dir:/bin/sh



Habe diesen beiden erstmal ein neues Passwort gegeben und auch auskommentiert. Lokal kann ich mich unter den Benutzern auch nicht mehr anmelden. Mein root und mein Benutzerakkount haben auf jeden fall auch erstmal ein neues Passwort bekommen.
Gibt es jetzt eine möglichkeit rauszubekommen über welchen Weg der Einbruch stattgefunden hat und was mit diesen Benutzernamen in meinem System gemacht wurde?
Wie geht man in solchen fällen vor? Zugang zum Netzwerk hat der Server jetzt auf jeden fall erstmal nicht mehr.

Ich weiß nur leider auch nicht wie lange die Accounts schon bestanden, habe die letzte Zeit viel mit dem Thema iptables verbracht und es werden bei mir jetzt alles Ports bis auf ssh gefiltert von außen.
Würde mich freuen wenn ihr mir da ein wenig Hilfestellung geben könntet.

Warum Du die neuen, unerwünschten Benutzernamen verfremdest hast erschliesst sich mir nicht wirklich. Wenn Du Info willst musst Du Info geben und unerlaubte Eindringlinge verdienen keinen Schutz. Für die Abgrenzung könnte es allerdings von Bedeutung sein.

Ansonsten, wenn es tatsächlich ein Entering war (wofür vieles spricht) ist die schnelle und einzig mögliche Antwort:

a) Server vom Netz nehmen
b) Logs sichern
c) Server plattmachen
d) Lernen, wie man Server absichert
e) Server neu aufsetzen

An beliebiger Stelle dieser Liste nach Ausführen von a) kannst Du ja auch nach ähnlichen/gleichlautenden Threads hier suchen...


Kreol

Danke dir erstmal für deine Antwort.
Ja warum ich die Benutzernamen zuerst verfremdet habe weiß ich auch nicht so genau :-) ist aber geendert.

Das das Plattmachen das sicherste ist war mir auch schon fast klar, aber kann ich nicht z.b. sehen wenn dieser benutzer eine Datei oder sowas erstellt hat?
Da ich den Schaden ja nun habe will ich natürlich auch daraus versuchen das meiste zu lernen.
Habe in den log-Datein schon rumgeschaut aber nichts gefunden. Gehe aber auch mal davon aus das ein Einbrecher da als erstes seine Spuren verwischen will.

Ein "geschickter" Einbrecher (oder mehrere und deren mehr oder minder blind bedienbare Tools) haut Dir halt auch gleich die Logs um die Ohren. Das da nichts interessantes mehr drinsteht ist wäre also nicht sehr verwunderlich. Ein Blick in /var/log, insbesondere die messages schadet zwar nicht, dürfte aber nutzlos sein. Selbst wenn da noch IPs stehen stammen sie vermutlich aus Belgisch-Kongo...

Um herauszufinden, wann eine Datei geändert wurde gibt es find und zum Ändern des Zeitpunkts touch. Also wofür? Ein geentertes System ist korrumpiert. Ein Angreifer kann das auch. Also #2: Neu aufsetzen nachdem der/die Angriffspunkte beseitigt wurden.


Kreol

http://de.wikipedia.org/wiki/Technische_Kompromittierung

Greeez Oli

Yup, wenn möglich, das komplette System via dump sichern und komplett neu aufsetzen - nachdem lokal analysiert wurde wie denn der Einbrecher ins System gekommen ist.
Je nachdem ob IP's noch zu finden sind in den Logs, die jeweiligen Provider informieren.

Yup, wenn möglich, das komplette System via dump sichern und komplett neu aufsetzen - nachdem lokal analysiert wurde wie denn der Einbrecher ins System gekommen ist.
Je nachdem ob IP's noch zu finden sind in den Logs, die jeweiligen Provider informieren.

Der Provider gibt die Daten erst auf Anordnung raus - daher immer Strafanzeige machen.

mfg
cane

Ich glaub, das hat sich eher darauf bezogen, dass der Provider den User informiert, wenn es sich um einen vServer oder dedi Server handelt.

War auch so gemeint - ggf. Strafanzeige stellen. Nur, wenn wie schon gesagt die Logs "bereinigt" wurden oder irgendwelche Privat-Rechner als Sprungbrett benutzt wurden wird da vielleicht nie etwas dabei rauskommen

War auch so gemeint - ggf. Strafanzeige stellen. Nur, wenn wie schon gesagt die Logs "bereinigt" wurden oder irgendwelche Privat-Rechner als Sprungbrett benutzt wurden wird da vielleicht nie etwas dabei rauskommen

Das sieht man ja dann - ist ja schon positiv wenn sie demjenigen die Bude hochnehmen dessen Privatrechner missbraucht wurde.

mfg
cane

Trotzdem Strafanzeige stellen, so kannst Du zur Not Deinen Kopf nochmal aus der Schlinge ziehen, wenn über deine Maschine ordentlich Mist gemacht wurde - dann ist's wenigstens nachweisbar.

Plattmachen muss sein ...

Falls die Kiste noch nicht neu aufgesetzt wurde, wären vor allem die Zeitstempel von /var/lib/dir und die Ausgabe von "last" von Interesse!

Gruß Stephan