PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Apache Server gehackt



Ellcrys
21.09.03, 23:25
Hi,

von nem Bekannten von mir wurde dessen Server, ein Suse 8.1 Linux mit Apache Server bei 1&1, gehackt. Das jedenfalls schliesse ich daraus das auf dem server auf einmal 10 GB mehr an Daten drauf sind, ausserdem steigt der taffic jedes WE rapide an. Nun zu meiner Frage:

1. Wie kann ich die Dateien die geupped worden sind finden? Wie kann ich die Sicherheitslücke schliessen? Auf dem Server sind auf einmal DOS dateien drinne, wie kanns?
Ich muss wohl erwähnen das das Log File vom 23. letzten monats fehlt. Ausserdem nehme ich an das die Verzeichnise gelockt sind, mit einem einfachem find befehl werde ich wohl die dateien net finden. Ausserdem habe ich nur nen Shell zugriff auf den Server.

2. Was kann ich machen um den Übeltäter zu finden?


Danke schonmal im voraus.

Ciao Daeda

cybercrow
21.09.03, 23:30
Original geschrieben von Ellcrys
von nem Bekannten von mir wurde dessen Server, ein Suse 8.1 Linux mit Apache Server bei 1&1, gehackt.

ich bin mir ziemlich sicher das er gecrackt und nicht gehackt wurde ;)

Doh!
22.09.03, 00:04
Kannste nur noch platt machen und neu installieren. Ich denke der war halt net ganz sauber aufgesetzt. Wahrscheinlich hat er ein zu einfaches root-Passwort gehabt, so dass sie den sshd geknackt haben. Wahrscheinlich hatt er noch ne Uralt-Version von Open-SSL druff

chr
22.09.03, 01:34
hm, kurz nachgedacht, nur so als idee (wenn ich an diese ach so leeten fxp kiddies denke die überall rumschwirren in den düsteren gefilden des irc *gähn*)

mit einem 'netstat -anp' gucken was da auf irgendwelchen obskuren ports rumrennt (suchen musst du selber)

als nächsten schritt würde ich zu den verdächtigen ports telnet'ten zur bestätigung des verdachts.

aus der netstat ausgabe müsstest du dann sehen können wo das entsprechende startfile liegt, mit ein wenig glück findest du dann auch die entsprechenden configs mit den pfaden.

nur mal so ein gedankengang zur späten stunde.

wenn die logs weg sind... nunja, du könntest das ding dann manipulieren das der unerwünschte (ich gehe mal davon aus) ftp-daemon logfiles erstellt und dir dann die uploader vornehmen, dazu müsste die kiste aber weiterlaufen. spätestens wenn derjenige merkt das sein ftpd(?) manipuliert wurde oder sonst was nicht stimmt isser weg. den traffic hast du dann auch noch weiterhin.

gute nacht.

Doh!
22.09.03, 09:24
Original geschrieben von chr


mit einem 'netstat -anp' gucken was da auf irgendwelchen obskuren ports rumrennt (suchen musst du selber)


lsof -Pni

ist auch gut

Liberace
22.09.03, 09:48
Oder ein lsof -i tcp:<port> --- Um auch noch was sagen zu koennen ;)

Du solltest auch nach rootkits auf der Maschine suchen, wenn du sie nicht neuaufsetzen moechtest.

www.chkrootkit.org (http://www.chkrootkit.org)

Liberace

Jinto
23.09.03, 13:44
Original geschrieben von Ellcrys
von nem Bekannten von mir wurde dessen Server, ein Suse 8.1 Linux mit Apache Server bei 1&1, gehackt. Das jedenfalls schliesse ich daraus das auf dem server auf einmal 10 GB mehr an Daten drauf sind, ausserdem steigt der taffic jedes WE rapide an. Nun zu meiner Frage: Du bist mutig, den kompromittierten Computer am Netz zu lassen.

Bitte nicht falsch verstehen: Wenn man wenig Ahnung hat, wäre ein "managed Server" doch die bessere Wahl, oder?