hi all,

ich bin heute heute gehackt worden.
Aber das scheint ja nicht grade ein Hacker der guten sorte zu sein.

Ok Mein Problem:

Ich hatte eine Firewall grade auf mein Neu Installierten Dual System eingerichtet, und werend dessen muste ich mal auf WC und genau da hat der Hacker auf meinen noch nicht gesperrten SSH Port zugegriffen.

Auszug aus .bash_history (root)


cd /home
ls
ls -la jala
ls -la jallaman/
ls
exit
cd /home/jallaman/
ls
df -h
cfdisk
fdisk -l
df -h
w
ls
ncftp
ftp
wget http://www3.linuxpackages.net/packages/Slackware-8.1/ncftp-3.1.5/ncftp-3.1.5-i386-1.tgz
ls
mv ncftp-3.1.5-i386-1.tgz /
cd /
tar zxvf ncftp-3.1.5-i386-1.tgz
cd
cd /home/jallaman/
ncftp
ls
du -sh laggylinux-05-05-03.tgz
exit


Auszug aus /var/log/Secure

May 7 20:40:35 mx2 sshd[4976]: Bad protocol version identification 'quit' from 80.212.5.42
May 7 20:41:43 mx2 sshd[4977]: Bad protocol version identification 'quit' from 217.8.138.234
May 7 20:45:49 mx2 useradd[5067]: new group: name=jallaman, gid=512
May 7 20:45:49 mx2 useradd[5067]: new user: name=jallaman, uid=509, gid=512, home=/home/jallaman, shell=/bin/bash
May 7 20:47:55 mx2 sshd[5095]: Accepted password for jallaman from 217.8.138.234 port 39760 ssh2
May 7 20:49:09 mx2 sudo: jallaman : TTY=pts/0 ; PWD=/home/jallaman ; USER=root ; COMMAND=/bin/su -
May 7 21:03:48 mx2 sshd[5358]: Accepted password for jallaman from 217.8.138.234 port 39763 ssh2
May 7 21:07:09 mx2 sshd[5438]: Accepted password for jallaman from 217.8.138.234 port 39776 ssh2
May 7 21:07:18 mx2 sudo: jallaman : TTY=pts/0 ; PWD=/home/jallaman ; USER=root ; COMMAND=/bin/su -


Also das System leuft immer noch keine Probleme nix

Meine Frage muss ich jetzt wieder Formatieren oder reicht es wenn ich das PW ändere.

PS: Jallaman ist schon weg "NCFTP ist auch schon wieder weg" :p

Und wenn er ein script drauf genagelt hat das ihn das admin PW zusendet ist das recht egal Telnet + SSH ONLY LAN:)

Danke für eure Hilfe

hmmm das ssh only lan wird dir als Schutz nicht ausreichen, wenn er schonmal auf deinem System war ! Er könnte einen Trojaner installiert haben, der auf einem anderen Port horcht, als auf dem 22er und damit hast du verloren ....

MfG Markus

PS: Bedeutet
May 7 20:49:09 mx2 sudo: jallaman : TTY=pts/0 ; PWD=/home/jallaman ; USER=root ; COMMAND=/bin/su -
May 7 21:03:48 mx2 sshd[5358]: Accepted password for jallaman from 217.8.138.234 port 39763 ssh2
May 7 21:07:09 mx2 sshd[5438]: Accepted password for jallaman from 217.8.138.234 port 39776 ssh2
May 7 21:07:18 mx2 sudo: jallaman : TTY=pts/0 ; PWD=/home/jallaman ; USER=root ; COMMAND=/bin/su -

dass der Eindringling Root-Rechte hatte ? nein oder ? Zumindest nicht in diesen Zeilen oder ??

Original geschrieben von Da.Bull
hmmm das ssh only lan wird dir als Schutz nicht ausreichen, wenn er schonmal auf deinem System war ! Er könnte einen Trojaner installiert haben, der auf einem anderen Port horcht, als auf dem 22er und damit hast du verloren ....


Also mit andere Ports hat er so seine Probleme da wird er nicht weit kommen *glaub ich *

Folgende Ports sind offen:
21,25,80,110 alle diese Ports werden aber auf einen Anderen Rechner weitergeroutet.

Währe es am besten das system nochmal neu drauf zu haun ?

ich hatte grade mal 5Min das system drauf schon Hacker Angriff :(

hallo,

generell gilt: erst installieren und (!) härten, dann erst ans internet hängen.
ssh protokoll version 1 sollte generell nicht erlaubt sein, was für eine distri hast du denn ?

matze

Installier den Rechner neu. Wenn einer reinkommt, kann er auch "was" verstecken...

Moin

Wie kommen die denn da so schnell rein.War da ein Blankpasswort aktiv?.

Unter windows langt ja schon ein Ipc Scanner um per Bruce Force Attacke ans Pw zu gelangen um anschliessend volle rechte zu haben,weil die meisten win systeme im Adminmodus laufen.

gruss lenny

gamebeast brauch einfach nur ein schlechtes passwort vergebenzu haben:rolleyes:

Also mit andere Ports hat er so seine Probleme da wird er nicht weit kommen *glaub ich *

Folgende Ports sind offen:
21,25,80,110 alle diese Ports werden aber auf einen Anderen Rechner weitergeroutet.

Währe es am besten das system nochmal neu drauf zu haun ?

ich hatte grade mal 5Min das system drauf schon Hacker Angriff

Deine "offenne Ports": Wie hast du das getestet ? Wer sagt, dass er nicht einen Trojaner installiert hatund auf Port 6985 durch den Trojaner auf deinen PC kommt ?

=> Neu installieren. Erst PC sichern, DANN ans netz bringen (schliesse mich da Metzetronic an)

MfG Markus

bzw. system abkoppeln, untersuchen, loch finden, sichern neu installieren!

erstaml danke für die schnellen antworten

Mein System: Redhat 8.0

Ist das euer ernst mit dem Formatieren ??? da sind rund 350GB daten (Games, Musik, Programme)wie soll ich denn die Sichern :( also ich habe mal einen Portscan gemacht.

gescannte Portnummern: TCP/UDP (1-65535)

21 open tcp ftp 21
25 open tcp smtp 25
80 open tcp http 80
110 open tcp pop-3 110

portscan (http://digisec.mine.nu/security-check/nmap/results/nmap-xQ7EYi1fhF/index.html)

Online bist 09.05.2003 9.00


alle anderen Ports sind dicht laut diesem Portscanner sollte ein remotelogin nicht mehr möglich sein. desweiteren habe ich SSH und Telnet so eingestellt das es nur von locallan erreichbar ist

Portscanner: http://www.digisec.de/

kann ich mich da drauf verlassen ?

wenn ja brauch ich ja nicht formatieren :)

PS: ich habe das nochmal überprüft und da ist mir aufgefallen das der immer nur fdisk... verwendet hat ? das geht aber nicht denn da muss noch /sbin/fdisk... vor habs ausprobiert das mit dem befehlen pur geht nur von localhost aus.

Also So schlau kann der ja nicht gewesen sein :p



@FALc

Das Passwort war g0dm0de aber jetzt nicht mehr jetzt ist es 21 stellig :):p



nochmals danke für eure hilfe

Naja, geschicktere Bindshells werden erst beim Eintreffen von speziellen Paketen aktiv.

Ansonsten kann ich dir nur raten, was meine Vorgänger dir gesagt haben: System platt und neu Aufspielen, ohne Internet, dann alles Abdichten und Sicherheits-Patches aufspielen. Dann erst wieder ans Netz. Wenn du nur einen Rechner hast, musst du halt schon vorher ans Netz, was eigentlich nicht so riskant ist, wenn keine Services mehr laufen.

Dass du noch ein Haufen ungesicherter Daten hast, ist nicht ein allzu grossen Problem: Nicht ausführbare Daten kannst du behalten wichtig ist nur, dass keine ausführbaren Dateien liegen bleiben. Sicherheitshalber würde ich darauf achten, dass "." nicht in $PATH vorkommt. Dann lässt du am besten noch einen Virenscanner über die Dateien, die du behalten hast.

Gruss, Andy

Du kannst dein System sicher auch so lassen, wie es ist ! aber wunder dich dann bitte nicht, wenn dein "Gast" zurück kommt....

Und wieso hast du auf einem "neu installierten" system schon 350 GB Daten drauf ? Wo kommen die denn her ? die musst du doch vorher auch woanders gehabt haben ?

Im schlimmsten Fall: alle Dateien auf die größte Partition /Festplatte und rest formatieren und dann neu aufspielen !

Im Übrigen: 350 GB ?????????????????????????????????????????????????? ????

MfG Markus

@RapidMax

Das ist ja das problem ist hab 12 Rechner alle mit linux und alle stellen ein Internetdeinst zur verfügung. Und der gehackte Server ist der gateway.
Und die server beziehen die userdaten von dem gateway mit nfs



360GB Software Raid :rolleyes: 3x120GB

Die 360GB habe ich von meinem 2ten server und zum teil auch kunden daten.

und wenn ich linux neudrauf hauhe sagt der immer raid muss formatiert werden sonst geht es nicht :(

ist doch alles Schei**e

da werde ich mal formatieren, geht wohl nicht anders :(

Danke für alle Antworten und Tipps

Original geschrieben von gamebeast
@RapidMax

und wenn ich linux neudrauf hauhe sagt der immer raid muss formatiert werden sonst geht es nicht :(

ist doch alles Schei**e

da werde ich mal formatieren, geht wohl nicht anders :(

Danke für alle Antworten und Tipps

Hmm..verstehe ich nicht so ganz. Deine Nutzdaten sind doch wohl gtrennt vom eigentlichen System. Und dein RAID-Device muss nicht formatiert werden (warum auch). Sowas hat auf dem Gateway aber auch nix verloren.

@gamebeast
ähm, euer Gateway ist Userverwaltung und Kundendatenserver in einem? Also vor der Neuinstallation würde ich über ein evtl. Redesign der Serveranordnung nachdenken.

Der Zugriff eines Hackers auf eure Kundendaten wird eure Kunden garantiert nicht begeistern.

PS: dein altes Kennwort war mehr als schlecht (Wörterbuch), versuch mal nur die ersten 8 Ziffern deines Kennwortes.

Also ich habe das alles mal geprüft was hier so gepostet wurden.


Nun ein vorschlag von mir an euch

Gehacker rechner = 254 Gateway
Anderer Server = 253 Server im LAN ohne Inet

Nutzdaten von 254 auf anderen Server sichern
254 formatieren und neu installieren

254 ONLY Gateway (services: dhcp,iptables)

253 bittet dann die Nutzdaten an (service: backup, nfs-Server)

geht das so ??? ist das dann relativ sicher ?

wenn das so geht werde ich damit morgen anfangen :(

Da es ein produktives System ist, stellt sich die Frage, ob nicht eine professionelle Firewall angebracht ist. Ein selbst gestricktes IPTables-Script muss nicht schlecht sein, aber wenn du ein Firewall einsetzt, so ist dieser erstens gut geprüft und du hast professionellen Support. Ich denke da z.B. an Astaro (und die billig-Lösung IPCop) oder ein Hardware-Firewall.

Ein Firewall hilft dir aber auch nicht, wenn du ein einfaches Passwort vergibst, oder einen Dienst falsch konfigurierst.

Gruss, Andy

Original geschrieben von RapidMax
Da es ein produktives System ist, stellt sich die Frage, ob nicht eine professionelle Firewall angebracht ist. Ein selbst gestricktes IPTables-Script muss nicht schlecht sein, aber wenn du ein Firewall einsetzt, so ist dieser erstens gut geprüft und du hast professionellen Support. Ich denke da z.B. an Astaro (und die billig-Lösung IPCop) oder ein Hardware-Firewall.

Ein Firewall hilft dir aber auch nicht, wenn du ein einfaches Passwort vergibst, oder einen Dienst falsch konfigurierst.

Gruss, Andy

also so Prduktiv bin ich ja nun nicht.

1GB Webspace für Freunde/Programmierer mit cgi,php und mysql.

das mache ich schon 2 Jahre das geht super


>professionelle Firewall ?<
Iptables ist eigenlich sehr gut
Ein Hardware Router kommt nicht in frage wegen Preis.

> Einfaches Passwort ?<

ich habe das so gelernt das es reicht wenn ich ein Passowort nutze das aus zahlen und Buchstaben besteht z.B 1j2he4h65n3 würde es auch reichen wenn ich ein passowrt peer zufall erstelle z.B php script

>Dienst falsch konfigurierst ?<
es laufen eh nur

Apache als ddc User (home =/dev/null)
Mailprogi als als ddc User (home =/dev/null)
ftp als ddc User (home =/dev/null)
Im Inet

Da ich gelernter Netzwerkadministrator NT bin ist alles super eingerichtet blos das mit der Server ordnung hatte ein anderen Grund.
Und das mir das passiert ist mit der firewall war ein fehler der nicht passieren dürfte und auch noch nie passiert ist . Normaler weise klemm ich inet ab oder route es über ein anderen Server.

Netwerkaufbau

Inet <-> Router <-> Gateway(firewall) <-> Gateway(firewall2) <-> Lan

Alle diese punkte sind in unterschiedlichen netzwerken und haben alle andere IP blöcke und subnets

Blos da ich denn ersten rechner Formatieren muste weill da noch Win2000S drauf war und als Gateway arbeitete, nicht grade super war machte ich da linux drauf und das wars dann.

Also zuallererst würde ich mal überprüfen, ob da nicht ein Exploit ausgenutzt wurde.
Desweiteren würde ich auf die neueste Version von RH umsteigen, für die jeweils neueste Version gibt es meist noch so gut wie keinen Exploit.

Und wenn man an der Firewall herumschraubt, sollte man folgendes als erstes eingeben:

# ipchains -A input -i ! lo -j DENY
# ipchains -A output -i ! lo -j DENY
# ipchains -A forward -j DENY

Damit ist der Zugriff zwar komplett lahmgelegt (von aussen und innen), aber auch hier gilt: Besser ist das.

Wie der Zufall es nämlich will, habe ich gerade gestern einen Vortrag zu diesem Thema genossen.....da wurde genau dieser Angriffsweg näher beschrieben....per Exploit (für RH) in die SSH einbrechen.

Viel Spass noch

hi,

so system ist neu drauf und SSH ist deinstalliert. so das das nicht mehr möglich ist

Verwaltung via webmin :) only LAN

PS:

# ipchains -A input -i ! lo -j DENY
# ipchains -A output -i ! lo -j DENY
# ipchains -A forward -j DENY

ist falsch

das heist

# iptables -A input -i ! lo -j DENY
# iptables -A output -i ! lo -j DENY
# iptables -A forward -j DENY

Nö, falsch ist es nicht :)

Meine Version ist für ipchains, deine für iptables...

Aber ist doch erfreulich, wenn es jetzt läuft

Original geschrieben von Phyraxis
Nö, falsch ist es nicht :)

Meine Version ist für ipchains, deine für iptables...

Aber ist doch erfreulich, wenn es jetzt läuft


ich habe mal gehört das iptables besser als ipchains sein soll grade wenn viele datenverkehr ist soll die ipchains schlapp machen ! *nie getestet *

bin mit iptables zufrieden :)

Hello

Schau doch mal was für ports offen sind und zwar nicht mit portscanner sondern mit netstat und lsof dann siehst du was wirklich da los ist !
also lsof ist super
mach mal einfach
lsof -i protokollname zeigt alles schön an!

cu

blos bringen tools wie lsof und netstat nach einem hackereinbruch höchstwahrscheinlich auch nur noch die halbe wahrheit ans licht, da sollten portscanner wie nmap schon effektiver sein.

re,

also ich nmap genutzt und es sind nur die ports offen die ich ins inet frei gegeben habe. Danke für denn tipp

Kannst auch mal Nessus benutzen...
Das ist kein Port- sondern ein Schwachstellenscanner...
Hier im Forum ist eine gute Anleitung von joey wie das geht...

Wenn Du Deinen Rechner mit solchen Tools scannst und die Lücken weitestgehend schließt bist Du vor 98 % der Angriffe sicher.

cane

@cane

danke werde ich mal machen.