Anzeige:
Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 15 von 20

Thema: Server wurde gehackt

  1. #1
    Registrierter Benutzer
    Registriert seit
    Jul 2002
    Ort
    Köln
    Beiträge
    330

    Server wurde gehackt

    Moin !

    Ich brauche etwas Hilfe beim analysieren wo das Sicherheitsloch ist. Ich betreibe ein Webserver unter 10.04 mit ISPCP 1.0.7. Momentan habe ich schlicht die Webanwendung in Blick, aber ich finde keine "typischen" Spuren in den Logs.

    Was mir bis jetzt aufgefallen ist, ist die Berechtigung der Standardbefehle wie ls, mv usw. 112:114 (Letzteres ist die Gruppe postdrop). Das verwirrt mich gerade etwas

    Der Server wurde mit cb Rootkit, SHV4 Rootkit, SHV5 Rootkit ausgestattet.

    Könnt ihr mir dabei helfen, herauszufinden woher der Schuss kam ?

    Gruß
    Exe
    Noti: Kubu 11.04, Quadro 3000M 2GB, i7-2720QM, 16GB RAM, 2x500GB HD
    Dessi: Kubu 10.10, Intel Atom, 4GB RAM, 40GB SSD, 2TB HD RAID1.

  2. #2
    Open-Xchange Avatar von cane
    Registriert seit
    Nov 2002
    Ort
    NRW
    Beiträge
    6.682
    10.04
    Was ist 10.04?

    Fahr das System sofort herunter und setze es neu auf - ein Image für die spätere Analyse kannst Du immer noch ziehen!

    mfg
    cane
    Es existiert kein Patch für die menschliche Dummheit.

  3. #3
    Registrierter Benutzer
    Registriert seit
    Jul 2002
    Ort
    Köln
    Beiträge
    330
    10.04 ist die Version von Ubuntu.

    Server ist down und das vm-image ist gemountet - wurschtel da gerade drinne herum. Der Webserver muss aber wieder online, daher wäre es irgendwie von Vorteil, wenn ich weiß wo das Loch ist.
    Noti: Kubu 11.04, Quadro 3000M 2GB, i7-2720QM, 16GB RAM, 2x500GB HD
    Dessi: Kubu 10.10, Intel Atom, 4GB RAM, 40GB SSD, 2TB HD RAID1.

  4. #4
    Registrierter Benutzer
    Registriert seit
    Sep 2003
    Beiträge
    2.990
    Zitat Zitat von ExeCRabLE Beitrag anzeigen
    Server ist down und das vm-image ist gemountet - wurschtel da gerade drinne herum. Der Webserver muss aber wieder online, daher wäre es irgendwie von Vorteil, wenn ich weiß wo das Loch ist.
    welche versionen, welche scripte laufen, ....

    das sollte ein fachmann anschauen!
    um welche seite geht es?
    ( auch per pm )
    Geändert von muell200 (29.12.10 um 11:02 Uhr)

  5. #5
    Rain_maker
    Gast
    Eine allgemeine Anmerkung:

    Zitat Zitat von ExeCRabLE Beitrag anzeigen
    ......., aber ich finde keine "typischen" Spuren in den Logs.
    +

    Zitat Zitat von ExeCRabLE Beitrag anzeigen
    Der Server wurde mit cb Rootkit, SHV4 Rootkit, SHV5 Rootkit ausgestattet.
    Wenn der Angreifer wirklich einigermassen clever war, musst Du auch die Möglichkeit in Betracht ziehen, daß zweiteres der Grund für ersteres sein könnte.

  6. #6
    Registrierter Benutzer
    Registriert seit
    Dec 2010
    Beiträge
    21
    Dem Programm RootkitHunter bekommst du das Rootkit wieder von deinem Server runter. http://www.rootkit.nl/projects/rootkit_hunter.html

    Das Problem ist aber nicht das Rootkit, das Problem ist, dass du keine Ahnung hast, was der Angreifer mit deinem System gemacht hat. Um es wirklich wieder sauber zu bekommen geht es echt am schnellsten alles wieder neu aufzusetzen. Wenn's nur ein Webserver ist, dann sollte das auch ohne Backup relativ schnell gehen.

  7. #7
    Arztsohn Avatar von dilindam
    Registriert seit
    Nov 2003
    Ort
    Kargesloch
    Beiträge
    298
    Also bei einem "meiner" Server war die alte phpmyadmin Version eine Sicherheitslücke.

    (also ich musste das dann fixen, ansonsten habe ich mit der Kiste nicht viel am Hut)

    Darüber wurde dann ein Bot installiert der dann ssh BruteForce Attacken ausgeführt
    hat. Das haben die RootKit-Hunter aber auch nicht gefunden. Erst mit ps haste die vielen Prozesse gefunden. Bot löschen, neue phpMyAdmin-Version installieren und gut.
    5 Setzen!

  8. #8
    Registrierter Benutzer Avatar von HirschHeisseIch
    Registriert seit
    Nov 2002
    Beiträge
    3.276
    Oha... Wenn ich sowas lese...

    Ein gehackter Server (AKA ein kompromittiertes System) ist in _keinem_ Fall mehr Vertrauenswürdig.
    Da können Programme wie RKHunter und Co noch so viel versprechen.
    Wenn ein mal eine nicht vertrauenswürdige Person ne Shell auf dem System hatte (womöglich gar eine Root-Shell) hilft nur sauberes Neuinstallieren.
    RTFM you have to, young padawan.

  9. #9
    Registrierter Benutzer Avatar von bla!zilla
    Registriert seit
    Apr 2001
    Beiträge
    9.884
    Es wäre nicht die erste Maschine wo zwei Rootkits laufen. Eines was sich finden lässt, und eines was gut versteckt ist. Wenn man das erste gefunden wurde, suchen die meisten nach dem zweiten nicht mehr... Die Kiste gehört auf jeden Fall eingestampft. Zudem sollte man den Einsatz von solchen Tools gut überlegen. Sowas birgt immer die Gefahr einer Sicherheitslücke.

  10. #10
    Arsch mit Hörnern Avatar von solarix
    Registriert seit
    Dec 2003
    Ort
    Kuchen (Fils)
    Beiträge
    793
    Ich hoffe Du hast immer schön Backup gemacht. Den Vorpostern kann ich mich nur anschliessen.
    Auf jeden Fall platt machen das Ding. Alles andere ist unseriös und Gefrickel.
    Lesen bildet.....
    Wolle_lache_Wolle_Spaß/

  11. #11
    Registrierter Benutzer
    Registriert seit
    Dec 2003
    Ort
    Dettenhausen
    Beiträge
    21.476
    ... und dann hinterher nicht einfach das Backup einspielen - weil sonst sind die ganzen netten Features wieder drin :-)
    Ich bin root - ich darf das.

  12. #12
    Registrierter Benutzer
    Registriert seit
    Mar 2005
    Ort
    Weinviertel/AT
    Beiträge
    1.753
    Aber neu aufsetzen mit den selben Lücken hat auch keinen Sinn.

    Einer meiner Server war auch schon mal Opfer der besagten phpmyadmin-Lücke. Das gute war nur, ich konnte jeden Schritt der gemacht wurde genau verfolgen, war sogar begeistert was das Ding alles so macht.
    In der Regel hilft es gut von allem was in etc,lib und *bin liegt Hashsummen zu ziehen, da kann man dann im Falle dass man Opfer wurde dann vergleichen wo es Änderungen gab. Nachteil ist halt dass man nach jedem Update diese Liste neu generieren muss, aber wozu gibts Cronjobs?

    Edit sagt: Wenn du das schon in einer VM "analysierst" dann hoffentlich nicht mit dem System selbst, sondern unter zuhilfename einer Live-CD ;-)
    Geändert von baumgartner (30.12.10 um 13:46 Uhr)

  13. #13
    Sith Lord
    Registriert seit
    Apr 2009
    Beiträge
    1.438
    Zitat Zitat von baumgartner Beitrag anzeigen
    Aber neu aufsetzen mit den selben Lücken hat auch keinen Sinn.
    Stimmt zwar, aber wenn's nur ein ge-brute-force-tes Passwort war oder so, dann kann man ja nach dem neu Aufsetzen ein bessereres Passwort oder gar Key-Files nehmen. Außerdem kann evtl. sowas wie tripwire und auch snort oder shadow mit dran hängen, um es schneller zu bemerken, wenn wieder was ist und um auch besser daraus zu lernen und die Lücken schließen zu können.

  14. #14
    Arsch mit Hörnern Avatar von solarix
    Registriert seit
    Dec 2003
    Ort
    Kuchen (Fils)
    Beiträge
    793
    Zitat Zitat von oziris Beitrag anzeigen
    Stimmt zwar, aber wenn's nur ein ge-brute-force-tes Passwort war oder so, dann kann man ja nach dem neu Aufsetzen ein bessereres Passwort oder gar Key-Files nehmen. Außerdem kann evtl. sowas wie tripwire und auch snort oder shadow mit dran hängen, um es schneller zu bemerken, wenn wieder was ist und um auch besser daraus zu lernen und die Lücken schließen zu können.
    Stimmt alles...
    Aber meiner Meinung nach ist das sinnvollste bei Dedicated Boxen sowieso, so wenig Kram wie nötig drauf.. und nur die Dienste die wirklich benötigt werden.

    FTP z.B. versuche ich schon seit einem Jahr aus unserem Laden zu verbannen.... und wo es geht mit sftp Accounts abzufackeln.

    Schon bei der Installation kann man einiges abfangen, wenn man sich ein paar Gedanken macht. Bei einem dedicated Server lohnt sich das wirklich.
    Auch der Einsatz von Jails, Zones, oder OpenVZ lohnt sich gerade in solchen Szenarien.

    Man muss zwar mehr bedenken.. aber im Zweifelsfall kann man die virtuelle Instanz einfach wegschmeissen.
    Lesen bildet.....
    Wolle_lache_Wolle_Spaß/

  15. #15
    Registrierter Benutzer Avatar von bla!zilla
    Registriert seit
    Apr 2001
    Beiträge
    9.884
    Zitat Zitat von solarix Beitrag anzeigen
    FTP z.B. versuche ich schon seit einem Jahr aus unserem Laden zu verbannen.... und wo es geht mit sftp Accounts abzufackeln.
    Löblich. Ähnliches kann ich über Telnet berichten. Die meisten Leute administrieren ihre Switches/ Router noch per Telnet, IMHO zu selten per SSH.

Ähnliche Themen

  1. Erklärung fürLogfileeinträge ???
    Von balu160676 im Forum Anbindung an die Aussenwelt
    Antworten: 142
    Letzter Beitrag: 12.06.08, 15:42
  2. LDAP-Anmeldung geht nicht
    Von magic_halli im Forum Linux als Server
    Antworten: 16
    Letzter Beitrag: 01.12.06, 11:20
  3. microsoft.com geklaut???
    Von pcdog im Forum Meldungen und Mitglieder
    Antworten: 6
    Letzter Beitrag: 20.01.06, 01:53
  4. HL-Server erscheint nicht in WON-Liste
    Von mrsuicide im Forum Dedizierte Spiele Server
    Antworten: 3
    Letzter Beitrag: 01.04.03, 09:16
  5. DSL : RX-Datenstopp nach kurzer idletime, trotz idle = 5000
    Von Newbie2001 im Forum Anbindung an die Aussenwelt
    Antworten: 19
    Letzter Beitrag: 08.02.02, 16:23

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •