PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Hilfe!!! - Hackerangriff!!!



verve
19.10.02, 23:55
Hallo Leute,

jemand hat sich wohl eben auf den Server gehackt und wichtige Dateien gelöscht!
Ich bin hier noch halbgeschockt!
Womit könnt der sich auf mein System gehackt haben?
Gibt es da irgendwie Tools/andere Sachen, womit ich solche Angriffe verhindern kann!
Helft mir bitte!

greetings

verve

feuerwand
20.10.02, 00:08
>Womit könnt der sich auf mein System gehackt haben?

Der Angreifer wird wahrscheinlich ein Sicherheitsloch in einem deiner Serverdienste ausgenutzt haben


Gibt es da irgendwie Tools/andere Sachen, womit ich solche Angriffe verhindern kann!

Mit einer Firewall, der Abschaltung von unnoetigen Diensten und etwas Muehe bei der konfiguration der Serverdienste kann man die Gefahr deutlich reduzieren.

Hast du irgendwelche Eintraege in den logs gefunden?
Stimmen die Aussgaben von last in etwa?

verve
20.10.02, 00:31
Hallo,
eine Firewall hat mein Router!
Also, angenommen der Hacker hat ein Passwortprogramm benutzt, dass irgendwie 700 Passwörter/sec abrufen kann und das eine Weile probiert hat, dann könnte er doch mein Passwort rausbekommen haben! Wie kann man sich davor schützen (meines Wissens ist es irgendwie möglich, die Logins anzeigen zu lassen und wenn dann irgendwie kommt Passwort 2000 mal fehlgeschlagen, dann ist es offensichtlich ein Hacker und dann kann ich ihn anzeigen!
Wo in den logs soll ich genau gucken!(/var/log/httpd/error ? )
Was soll denn in der last drinne stehen?

Wäre dankbar für weitere Hilfe!

greetings

verve

feuerwand
20.10.02, 00:42
Dieses durchprobieren der Passwoerter nennt sich "Brute Force" und bringt eigentlich in dem Fall nicht sehr viel, da es eine Verzoegerung zwischen der Eingabe des falschen Passwortes und der Meldung, dass das Passwort falsch ist gibt. Was fuer Server liefen bei dir denn?

verve
20.10.02, 00:50
Also, bei mir läuft ein FTP-Server und ein HTTP-Server!
Dass mit den Passwörtern war nur so ne Idee!

greetings

verve

onetwo
20.10.02, 00:56
und von wo wurden die daten gelöscht? ftp? vielleicht hast bei der config was verbockt und falsche rechte gesetzt..?

war terminal server offen?

guck mal in die logs...

das .history file von root...

Roman

feuerwand
20.10.02, 00:57
Dann schau mal nach, ob die installierten Versionen ein Sicherheitsloch enthielten und ob es fuer deine Distribution ein paar Sicherheitupdates gibt.

HangLoose
20.10.02, 01:06
hi

laß mal chkrootkit über den server laufen => http://www.gesamtschule-eiserfeld.de/gee/faq/faq0202.html

Gruß HangLoose

Jinto
20.10.02, 01:07
@verve
gehts noch ungenauer?
IMHO sind deine Angaben absolut unbrauchbar. Versuch es doch mal damit:
OS (inkl. Version+Hersteller)
laufende/installierte/erreichbare Dienste (inkl Version!)
install. Updates (verm. keine)

Es sei denn, ich bin gerade in der Rubrik Ratespiele, dann ignoriert mein Posting *SCNR*

HangLoose
20.10.02, 01:15
@Jinto


Beiträge: 666 ;)

bernie
20.10.02, 01:21
Hi,

hast du in /tmp komische Dateien liegen? Das war bei mir mal.
Und wenn du dir sicher bist, dass die Maschine gehackt ist -> neu aufsetzen

Ciao, Bernie

verve
20.10.02, 01:22
danke allen für eure vorschläge!
Ich hab den Server erstmal down gemacht (d.h Router aus, Verbindung unterbrochen)
Ich werd das alles mal machen und laufen lassen!
@Jinto
Schuldige, aber ich bin nur so in Rage, dass ich das ganz vergessen habe!
Also OS: SuSE Linux 7.3
Erreichbare Dienste: MySQL, und weiß nich was ich noch so angeben soll
Updates: keine:(
@bernie
ich schau mal nach!
@onetwo
Nee, die Rechte sind schon richtig gesetzt! Da bin ich mir eigentlich sicher!
In der config? Was könnt ich denn da verbockt haben?
greetings

verve

sepp2k
20.10.02, 01:25
Is ssh von außen ereichbar? telnet? samba? gibts für den ftp einen Account der Dateien löschen kann? Ist auf dem http ein Skript der Dateien lösche kann? Wenn du PHP auf dem http laufen hast: Ist reister_globals auf on?

verve
20.10.02, 01:30
hallo sepp,

ich werd mal gucken! Kann es aber nicht sofort alles ausprobieren, da ich erst morgen wieder an den server kann! Nur Admin darf alle Dateien von FTP-Accounts löschen! Doch dafür muss man ja erstmal das Passwort herauskriegen...


greetings

verve

HangLoose
20.10.02, 01:34
Doch dafür muss man ja erstmal das Passwort herauskriegen...

oder mit nem exploid root-rechte erlangen.

verve
20.10.02, 01:38
@HangLoose

Wie mit den exploid root-rechte erlangen?
Kenn mich da nicht so aus...Wie soll denn nun an User an rootrechte kommen?

greetings

verve

sepp2k
20.10.02, 01:41
Original geschrieben von verve
Nur Admin darf alle Dateien von FTP-Accounts löschen! Doch dafür muss man ja erstmal das Passwort herauskriegen...
Ich würde niemanden die Rechte geben wichtige Daten per FTP zu löschen. Das ist viel zu unsicher. Das beste ist ein System zu konfigurieren dass nichtmal jemadn mit dem root-Passwort das System vom Internet aus zerstören kann

verve
20.10.02, 01:46
Ihr könnt euch ja mal meine proftpd.conf ansehen!
Ich bin mir nämlich gar nicht so sicher ob root jetzt per ftp löschen kann (also alle Dateien)!
Ich hab dies ja nie ausprobiert!
Hier meine proftpd.conf:
http://www.linuxforen.de/forums/showthread.php?s=&threadid=49348&highlight=ftp+max+clients

greetings

verve

Jinto
20.10.02, 01:47
@HangLoose
Ist mir gar nicht aufgefallen :D
Mein Schreibstil ließ wohl darauf schließen :cool:

@verve
>Erreichbare Dienste: MySQL, und weiß nich was ich noch so angeben soll
Am besten wäre natürlich gewesen, du hättst tatsächlich alle genannt. Aber ist letztlich egal da:

SuSE Linux 7.3, keine patches und von aussen erreichbare Dienste.

Damit brauchst du dich eigentlich nicht weiter wundern. Um keine falschen Schlussfolgerung aufkommen zu lassen, das hat nichts mit einem SuSE Problem zu tun.

Nur mal so als Beispiel, was mind. ein Update nötig hat:
SSH
Apache
mod_ssl



Bevor du deinen Computer wieder ans Netz lässt solltest du dir also die patches beschaffen und auf dem frisch installierten Computer auch einspielen. Wenn man Dienste anbietet empfiehlt sich zudem das Abonnement der Sicherheitsmailingliste der jeweiligen Distribution.

HTH

HangLoose
20.10.02, 01:49
hi verve

ein exploid ist eine schwachstelle oder ein fehler in einem programm, den ein angreifer ausnutzt, um root-rechte zu erlangen.

nach möglichkeit sollten auf einem firewall-rechner auch keine weitern dienste laufen.


Gruß HangLoose

HangLoose
20.10.02, 02:10
hi verve

ein sogenanntes Network Intrusion Detection System wäre für dich eventuell auch ganz interessant. ein ids *lauscht* quasi an deinem netzwerk-interface nach *anzeichen* von angriffen, portscans etc.

ich persönlich nutze zum beispeil snort => http://www.snort.org/

wenn dich snort interessieren sollte, sag bescheid. da kann ich dich mit links *zuschmeißen* ;)


Gruß HangLoose

Jinto
20.10.02, 02:31
@HangLoose
och, hast die nette Grafik wieder gelöscht.

Bzgl. IDS Also streng genommen, sollte man auf dem Filtersystem gar keine Dienste anbieten (dazu gehört auch dann auch eine IDS). Auch eine IDS kann Fehler enthalten.

Ich mag den konventionellen Ansatz:
1. so wenig Diesnte wie möglich auf dem Server
2. diese entsprechend dem Anforderungen konfigurieren
3. Patches einspielen (oder Dienste deaktivieren)
4. von Zeit zu Zeit überprüfen ob noch alles innerhalb der gesetzten Vorstellungen liegt.

HangLoose
20.10.02, 02:49
Hi Jinto



@HangLoose
och, hast die nette Grafik wieder gelöscht.



jo, nich das ich noch ärger mit netzmeister bekomme ;)




Bzgl. IDS Also streng genommen, sollte man auf dem Filtersystem gar keine Dienste anbieten (dazu gehört auch dann auch eine IDS). Auch eine IDS kann Fehler enthalten.

da hast du sicher recht. ich möchte bloß auch gerne wissen, was sich vor meiner firewall abspielt und mir ist keine möglichkeit bekannt z.b. snort von einem client aus an meinem ppp0 lauschen zu lassen. sollte es dort eine möglichkeit geben, würde ich sie gerne erfahren.
bei mir hab ich snort mittlerweile so laufen, das einmal vor und einmal hinter der firewall *gelauscht* wird.





Ich mag den konventionellen Ansatz:

1. so wenig Diesnte wie möglich auf dem Server
2. diese entsprechend dem Anforderungen konfigurieren
3. Patches einspielen (oder Dienste deaktivieren)
4. von Zeit zu Zeit überprüfen ob noch alles innerhalb der gesetzten Vorstellungen liegt.



ich auch :). auf dem firewallrechner läuft auch nur das nötigste. kein httpd, kein ftpd usw.
mysqld(für snort) und ssh, aber dort sind die ports nur zum lan hin offen.

das problem ist bloß. für den *normalen* user der mal eben nen ftp oder web-server anbieten möchte, besteht meisten nicht die möglichkeit, diese services auf einen extra rechner *auszulagern*. man muß halt dann kompromisse eingehen.

in diesem fall sollte man eventuell auch tools wie tripwire, loggen auf einem client etc ins auge fassen.


Gruß HangLoose