Showtee Rootkit Hacker Angriff

[webhilfe]

dodolin du machst mir Angst...

Ok dann fahre ich den Rechner gleich runter. Recht hast Du schon!

Bist Du also der Meinung, das der zweite Versuch des Angreifers auch erfolgreich war???

Ich glaube das ja nicht, Zumahl auch die Logs weiterlaufen und das war beim ersten Angriff nicht der Fall.

[krispin]

wenn dein system gehackt wurde,
neu installen

weist du, was der noch installiert hat?

vielleicht ist dieses idiotische verhalten ja nur ablenkung?!

[dea]

Besser paranoid sein als sich zu wundern ... ;)

webhilfe, Du bist schon merkwürdig ;) Einerseits finde ich Teile Deiner Konzeption(en) (remote Logging, verteilung von Aufgaben auf verschiedene Systeme, ...) sehr vernünftig und sicher, andererseits zieht Dir Deine eigene Bequemlichkeit immer wieder herbe Fallstricke ... *wunder* ;)

Ich gehe mit Dir konform wenn es um den Kenntnisstand des Angreifers geht. Der/Die hat wirklich nichts auf dem Kasten, was sie/ihn leider nicht ungefährlicher macht. :(
"Bestenfalls" wird Deine Büxe nur als filez-Server missbraucht, schlimmstenfalls in einer Form kompromittiert die sich nur noch schwer feststellen lässt (Paranoia: Was wäre wenn diese nicht zu übersehenden Spuren en Ablenkungsmanöver sind?)

Ich will Dich nicht in der Wahl Deiner Distri beeinflussen (oder doch? doch. ;) ). Hast Du Dir schonmal überlegt, ob Du mit Debian nicht besser fahren würdest? Schließlich ist Debian bekannt für rigorose Qualitätssicherung und ein hervorragendes Security Team ... Sicherlich ist Debian auf den ersten Blick "anders" als eine SuSE 7.x (SuSE 8.x aber noch viel mehr *veg*), aber imho ist der Einstige für jemanden der sich mit UNIX/Linux auskennt schnell erledigt und die betrieblichen Vorteile (Wartung, Stabilität, Fehlerarmut) wiegen die erhöhten Initialaufwände durchaus auf ...

Und Hilfe zu Debian findest Du hier im Forum genügend ;)

[Joe User]

Moin,

bevor sich hier noch Jemand zu Tode spekuliert:
http://www.zlotow.net/~shcrew/web/files ... e-shv5.txt
Und wer dort mal ein wenig durch die Verzeichnisstruktur wandert, findet auch noch einige andere nette Programme :-/

Auch bei Google wird man fündig:
http://www.google.com/search?q=%22%2Bww ... f&filter=0

Versteht hier zufällig Jemand polnisch und könnte mal den zweiten Googletreffer querlesen? Die Linkliste gefällt mir in diesem Zusammenhang überhaupt nicht...

HTH & Gruss,
Markus

[webhilfe]

Besser paranoid sein als sich zu wundern ... ;)

webhilfe, Du bist schon merkwürdig ;) Einerseits finde ich Teile Deiner Konzeption(en) (remote Logging, verteilung von Aufgaben auf verschiedene Systeme, ...) sehr vernünftig und sicher, andererseits zieht Dir Deine eigene Bequemlichkeit immer wieder herbe Fallstricke ... *wunder* ;)

hehe, das mit der Bequemlichkeit sollten wir jetzt mal klären :-)
Wo bin ich den deiner Meinung nach bequem?

Ich gehe mit Dir konform wenn es um den Kenntnisstand des Angreifers geht. Der/Die hat wirklich nichts auf dem Kasten, was sie/ihn leider nicht ungefährlicher macht. :(
"Bestenfalls" wird Deine Büxe nur als filez-Server missbraucht, schlimmstenfalls in einer Form kompromittiert die sich nur noch schwer feststellen lässt (Paranoia: Was wäre wenn diese nicht zu übersehenden Spuren en Ablenkungsmanöver sind?)

Ablenkung für was den?

Ich will Dich nicht in der Wahl Deiner Distri beeinflussen (oder doch? doch. ;) ). Hast Du Dir schonmal überlegt, ob Du mit Debian nicht besser fahren würdest? Schließlich ist Debian bekannt für rigorose Qualitätssicherung und ein hervorragendes Security Team ... Sicherlich ist Debian auf den ersten Blick "anders" als eine SuSE 7.x (SuSE 8.x aber noch viel mehr *veg*), aber imho ist der Einstige für jemanden der sich mit UNIX/Linux auskennt schnell erledigt und die betrieblichen Vorteile (Wartung, Stabilität, Fehlerarmut) wiegen die erhöhten Initialaufwände durchaus auf ...

Und Hilfe zu Debian findest Du hier im Forum genügend ;)

Ganz ehrlich gesagt, arbeite ich mit SuSE seit mehr als 20 Jahren.
Noch nie ist sowas passiert. Der Server, um den es hier geht, steht seit mehr als 2 Jahren im Netzt. Das ist auch nicht der einzige Server den ich betreibe. Alles lief bis jetzt tadelos.

An Debian habe ich mich als SuSE Anwender noch nicht herangewagt.
Es wird dir, glaube ich zumidest, auch nicht gelingen mich vom Gegenteil zu überzeugen :-) :-)

Allerdings muss ich ja zugeben das mich Debian eben wegen der angesprochenen Sicherheit schon irgendwie interessiert.

Ich werde mir also Debian besorgen und das ganze mal lokal auf einem Rechner testen.

Zur Sicherheit werde ich auch gleich noch den Rechner runterfahren per init s. Den Rescue Mode halte ich in diesem Fall nicht für besonders sinvoll, da ich davon ausgehen muss, dass der Angreifer über das root PW verfügt, welches von 1und1 vergeben wurde.

Schicke heute noch ein Fax an 1und1 und lass den Server nochmal mit SuSE 8.2 neu aufsetzen. Ausserdem soll 1und1 das Standard root PW ändern.

@Joe User
Danke für die Hinweise, werde mir das morgen mal genauer ansehen.

[Joe User]

Ganz ehrlich gesagt, arbeite ich mit SuSE seit mehr als 20 Jahren.

Hmm... Womit hat SuSE denn vor der Freigabe von Linux Geld gemacht?

Danke für die Hinweise, werde mir das morgen mal genauer ansehen.

Lass' es lieber...

[dodolin]

Den Rescue Mode halte ich in diesem Fall nicht für besonders sinvoll, da ich davon ausgehen muss, dass der Angreifer über das root PW verfügt, welches von 1und1 vergeben wurde.

Wieso meinst du das? Das kann doch nur passieren, wenn du dieses Passwort irgendwo lokal auf deinem Rootserver gespeichert hättest, oder? Du bist echt putzig, weißt du das? :)

SCNR.

[webhilfe]

Den Rescue Mode halte ich in diesem Fall nicht für besonders sinvoll, da ich davon ausgehen muss, dass der Angreifer über das root PW verfügt, welches von 1und1 vergeben wurde.

Wieso meinst du das? Das kann doch nur passieren, wenn du dieses Passwort irgendwo lokal auf deinem Rootserver gespeichert hättest, oder? Du bist echt putzig, weißt du das? :)

SCNR.

Vielleicht ist es ja schon zu spät :) der Server wurde neu aufgesetzt. Leider hat 1und1 das alte root PW genommen.
Kurz danach wurde der Server angegriffen.

Soll ich dir jetzt noch ernsthaft erklären wie man an das PW herankommt, wenn man bereits schon einmal zugang hatte und sich die entsprechenden Dateien gezogen hat? :-) Ich glaube nicht :-)

[dodolin]

Leider hat 1und1 das alte root PW genommen.

Natürlich. Das ändert sich dein Leben lang nicht.

Soll ich dir jetzt noch ernsthaft erklären wie man an das PW herankommt, wenn man bereits schon einmal zugang hatte und sich die entsprechenden Dateien gezogen hat?

Ja. Bitte. Das PW für das Rescue-System ist im RAM-Image abgelegt, welches auf den Schlund-Servern liegt. Wie soll da jemand drankommen? Und wenn dein Rescue läuft, läuft ja nur der SSHD und der wird ja wohl nicht gehackt worden sein, oder?

[krispin]

so, ich fahr nun in urlaub, damit ich nach zwe iwochen noch nen Link wiederinde, soll mir der Eintrag ne Email schicken...

bitte nicht löschen, und habt verständis auf einen interessierten Linux-User der gerne auch das Verfahren wissen möchte :)

Krispin

[webhilfe]

Leider hat 1und1 das alte root PW genommen.

Natürlich. Das ändert sich dein Leben lang nicht.

Soll ich dir jetzt noch ernsthaft erklären wie man an das PW herankommt, wenn man bereits schon einmal zugang hatte und sich die entsprechenden Dateien gezogen hat?

Ja. Bitte. Das PW für das Rescue-System ist im RAM-Image abgelegt, welches auf den Schlund-Servern liegt. Wie soll da jemand drankommen? Und wenn dein Rescue läuft, läuft ja nur der SSHD und der wird ja wohl nicht gehackt worden sein, oder?

Das PW für root und dem Systemuser, der von 1und1 standardmäßig angelegt wird, liegt nach einer Neuinstallation im /etc Verzeichniss. Die Passwörter sind identisch.

Wenn sich jemand 10 min nach der Neuinstallation Zugriff zum Server Verschaft, dann kann er auch die entsprechenden Dateien runterziehen und ist im Besitz vom standard root PW.

[captaincrunch]

Wenn sich jemand 10 min nach der Neuinstallation Zugriff zum Server Verschaft, dann kann er auch die entsprechenden Dateien runterziehen und ist im Besitz vom standard root PW.

1. Da müssten aber schon ziemlich viele Zufälle zusammenkommen :
- Derjenige müsste (wie auch immer) wirklich an das standardmäßige Root-PW gekommen sein
- dann müsste er gewusst haben, wann reinitailisiert wurde, und ziemlich genau den richtigen Zeitpunkt abgepasst haben.

2. Im Falle einer Reinitisierung hätte ich dann an deiner Stelle asap sämtliche Passworte geändert.

3. Ich meine mal irgendwo gelesen zu haben, dass man 1&1 anweisen kann, dass das Rootpasswort geändert wird, frag mich aber bitte nicht wo. Frag doch einfach mal nett nach, und schildere deine Lage ...

[webhilfe]

Wenn sich jemand 10 min nach der Neuinstallation Zugriff zum Server Verschaft, dann kann er auch die entsprechenden Dateien runterziehen und ist im Besitz vom standard root PW.

1. Da müssten aber schon ziemlich viele Zufälle zusammenkommen :
- Derjenige müsste (wie auch immer) wirklich an das standardmäßige Root-PW gekommen sein
- dann müsste er gewusst haben, wann reinitailisiert wurde, und ziemlich genau den richtigen Zeitpunkt abgepasst haben.

2. Im Falle einer Reinitisierung hätte ich dann an deiner Stelle asap sämtliche Passworte geändert.

3. Ich meine mal irgendwo gelesen zu haben, dass man 1&1 anweisen kann, dass das Rootpasswort geändert wird, frag mich aber bitte nicht wo. Frag doch einfach mal nett nach, und schildere deine Lage ...

1. Der Server war mindestens eine Stunde im Netzt ungeschützt. Ich hatte 1und1 gebeten, mich zu informieren, wann die arbeiten abgeschlossen sind. Das haben die leider nicht getan. Somit hatte der Angreifer mindestens 1 Std. Zeit.

2. Die Passwörter wurden von mir geändert.

3. Ich habe 1und1 per Fax gebeten das standard PW zu ändern.

[dea]

@CC: Wenn ich einmal wirklich Zugriff auf einen fremden Server und bösartige Absichten hätte würde ich mir zuallererst die Dateien ziehen in denen die Konteninformationen abgelegt sind. Selbst die Verwendung von Shadow- und MD5-Passwörtern tacuht dann nichts mehr ... :(

hehe, das mit der Bequemlichkeit sollten wir jetzt mal klären :-)
Wo bin ich den deiner Meinung nach bequem?

Das habe ich auch eine ganze Zeit lang so gemacht, aus Zeitmangel bin ich aber davon abgekommen.

Und Zeitmangel ist imho in diesen Zusammenhängen Bequemlichkeit ;) Aber schau' Dir Debian und seine Softwareverwaltung ruhig genauer an, Du wirst sehen, das Zeug taucht :)

BTW: Die 1&1 SuSE-Installation ist eine Komplettinstallation (zumindest war's bei meinem 7.2er rootie so) inkl. allem unnützen Schund :/

Ablenkung für was den?

"Echte" Angriffe - allerdings glaube ich mittlerweile nicht mehr daran sondern halte es für wahrscheinlicher, dass Du es mit einem klassischen Skriptkiddy zu tun hast.

Ganz ehrlich gesagt, arbeite ich mit SuSE seit mehr als 20 Jahren.
Noch nie ist sowas passiert. Der Server, um den es hier geht, steht seit mehr als 2 Jahren im Netzt. Das ist auch nicht der einzige Server den ich betreibe. Alles lief bis jetzt tadelos.

Hab' ich Dich doch richtig eingeschätzt, ein alter Hase .... :)

An Debian habe ich mich als SuSE Anwender noch nicht herangewagt.
Es wird dir, glaube ich zumidest, auch nicht gelingen mich vom Gegenteil zu überzeugen :-) :-)

Ich will auch keine Missionsarbeit leisten, denn imho ist immer die Lösung die Beste die den Anwendern (in diesem Fall Dir) die geringsten Schwierigkeiten (Lernen, Bedienung, Wartung, etc.) bereitet. Aufgrund Deiner langen Erfahrung gehe ich auch davon aus, dass Du auch über ausgereifte Betriebsprozesse verfügst und rate Dir deshalb auch "nur", Dich in aller Ruhe intensiv mit Debian auseinanderzusetzen. Ich verspreche Dir auch nicht, dass Debian das richtige für Dich und Deine Zwecke ist, ich halte Debian nur für die momentan betriebstechnisch beste Distribution. Grundlage dieser Einschätzung ist im Wesentlichen das Debian-Paketmanagement.

Allerdings muss ich ja zugeben das mich Debian eben wegen der angesprochenen Sicherheit schon irgendwie interessiert.

Ich werde mir also Debian besorgen und das ganze mal lokal auf einem Rechner testen.

Tu dem und sei kritisch dabei, auch Debian ist nicht optimal ;)

Zur Sicherheit werde ich auch gleich noch den Rechner runterfahren per init s. Den Rescue Mode halte ich in diesem Fall nicht für besonders sinvoll, da ich davon ausgehen muss, dass der Angreifer über das root PW verfügt, welches von 1und1 vergeben wurde.

Schicke heute noch ein Fax an 1und1 und lass den Server nochmal mit SuSE 8.2 neu aufsetzen. Ausserdem soll 1und1 das Standard root PW ändern.

Init S ? Dann kommst Du doch garnicht mehr an die Büxe und brauchst Den Support zum Resetten - oder tut der Reset aus dem Rescue-System dann immer noch? Tät' mich wirklich mal interessieren ...

Das mit den (im Rescue-System) hartcodierten root-PWs stört mich auch gewaltig ...

Ich drück' Dir auf alle Fälle die Daumen, dass Du Erfolg bei der Abwehr des Angreifers hast - so viel Dreistigkeit und Hartnäckigkeit ist wirklich selten. Der/Die hat es anscheinend wirklich auf Dich und keinen anderen abgesehen ... :(

[captaincrunch]

Auch wenn's hier jetzt ein bisschen OT ist :

Selbst die Verwendung von Shadow- und MD5-Passwörtern tacuht dann nichts mehr ...

Dann zeig mir mal denjenigen (außer vielleicht der NSA), der MD5-Passworte innerhalb so kurzer Zeit crackt. Sofern es ein halbwegs sicheres PW ist (was die 1&1-Rootpasswörter sind), kommst du da auch mit Brute-Forcing nicht weit.

[Joe User]

@webhilfe

wer hat eigentlich auf dem betroffenem System Schreibrechte in '/tmp'?

[rootmaster]

3. Ich habe 1und1 per Fax gebeten das standard PW zu ändern.

naja, das "hardcoded" root-pw ist nich wirklich eine sicherheitslücke, da man ja erst in den rescue-mode booten muss und dafür ein anderes pw (das man ändern kann ;)) benötigt. ausserdem sollte der rescue-mode ja kein dauerzustand sein und wenn du willst, kannst du im "rescue-mode" das root-pw ganz normal (~ passwd) neu setzen. allerdings wird es bei jedem hochfahren in den rescue-mode wieder durch das des standard-rescue-images ersetzt ;)

ps: wenn du das root-pw nach neuinitialisierung des servers meinst, solltest du natürlich genau jenes schnellst möglichst ändern... oder noch besser: selber neuinitialisieren ;)

"back to the roots"

[c14l]

Hi! Eine kurze Zwischenfrage:

Das PW für root und dem Systemuser, der von 1und1 standardmäßig angelegt wird, liegt nach einer Neuinstallation im /etc Verzeichniss. Die Passwörter sind identisch.

Aber doch wohl nur der MD5-Hash? Oder gibts da irgenteine Datei, wo das im Klartext drinsteht? Ich hoffe, ich hab das nur falsch verstanden...

Gruß
C14L

[wgot]

Hallo,

und ich hoffe, daß ich irgendwo einen dicken Denkfehler habe:

Das Masterpasswort, das für das Rescue benötigt wird, und das Root-Passwort nach der Neueinrichtung ist, ist gleichzeitig das Root-Passwort für die Datenbank. Weil Confixx und Logrotate Rootzugang zur Datenbank brauchen, steht dieses Passwort in mehreren Konfigurationsdateien im Klartext.

Also sollte man das Root-Datenbankpasswort schnellstens ändern, ich find aber keine offizielle Möglichkeit dafür, welche das an allen Stellen ändert. Im Forum hab ich vor allem gefunden, daß dabei Probleme aufgetreten sind.

Ich hab den Server noch nicht neu initialisieren lassen, bleibt dabei das Masterpasswort tatsächlich erhalten?

Für mich wäre es selbstverständlich, daß hierbei ein neues Masterpasswort vergeben wird, das man sich dann in config.pueretec.de abholen kann. Bei Puretec liegt doch nicht für jeden Server ein indivuelles Image bereit, die haben eines (bzw ein zweites für Suse 7.2), und die individuellen Daten werden entweder in's Image reingepatcht oder hinterher per Script eingerichtet.

Eine Neueinrichtung ohne Ã?nderung aller Passwörter ist doch nach einen Hackerangriff keine sichere Neueinrichtung.

Gruß, Wolfgang

[chris76]

Das Datenbankpasswort zu änder ist zwar nicht so einfach, aber auch nicht richtig schwer wenn man die richtigen Dateien ändert. (Habe aber auch viel hilfe benötigt bevor es ging).

In was für Dateien alles das root pw hinterlegt ist kann ich dir nicht genau sagen, ich weiß halt nur die von der DB und confixx, da stehen sie drin.

Ciao Christian

[dea]

hoi - wollte mich nur mal nach 'nem aktuellen Status erkundigen ...

[webhilfe]

Hi,

nun mal ein paar aktuelle Infos :-)

Ein Tag nachdem ich die Anzeige per Internet aufgegeben habe (Danke nochmal für den link!!!), hat sich das LKA mit mir in Verbindung gesetzt.

Einen Tag später war der Angreifer ermittelt. Ein 59 Jähriger Anschlussinhaber mit einem Sohn. Somit lag ich bei den Scriptkiddys anscheinend richtig.

Weitere Infos habe ich leider noch nicht. Ich melde mich aber wieder hier, sobald ich neue Infos habe.

Ein besonderer Dank geht nochmal an das 1und1 Serverteam.
Insgeammt wurde der Server 5 mal Reinitialiesiert.

2 mal SuSE 7.2 (Angreifer)
1 mal SuSE 7.2 (keiner hat das Fax von mir gelesen, sollte SuSE 8.1 installiert werden)
1 Mal SuSE 8.1 (Confixx funktionierte nicht)
1 Mal SuSE 8.1 (während der Reinitialisierung abgestürtzt, hat auch keiner gemerkt)
Beim letzten mal hat es dann endlich geklappt.
Das ganze hat insgesammt 3 Tage gedauert.

Der Hammer ist, das das root PW nicht von 1und1 geändert werden kann.
Ich musste also ständig vom rechner sitzen und warten ob der Rechner fertig ist. Das ganze soll ich auch noch bezahlen (4 mal angerufen a 4,60 + MwSt.)

Naja, für 49,- Euro kann man nicht viel erwarten. Hat mir aber wieder einmal gezeigt, das sich am Service von 1und1 nichts geändert hat.

[Outlaw]

Das PW kann schon geändert werden, die wollen nur nicht ....

Nunja, wegen der Bezahlung ist das so ne Sache aber da kennt sich nur ein Anwalt so richtig aus. Das Du angegriffen wurdest, kann ja 1&1 nix dafür aber wegen den anderen Schnitzern ....

Was mich aber wundert, ist die Tatsache, daß das LKA so schnell geschaltet hat. Ich hatte mal was mit dem BKA und dem FBI zu tun (längere, größere, teurere Geschichte), bis die sich gemeldet haben, hatte der Täter schon nen Vollbart und konnte deshalb nicht mehr identifiziert werden .... ;):D

Aber wenigstens taten die Leute von der Kripo LB alles in ihrer Macht stehende und respekt vor denen, die haben KnowHow und reagieren auch recht schnell aber auch die stossen oft an ihre Grenzen ....

Gruß Outi

[ice]

Der Hammer ist, das das root PW nicht von 1und1 geändert werden kann.
Ich musste also ständig vom rechner sitzen und warten ob der Rechner fertig ist. Das ganze soll ich auch noch bezahlen (4 mal angerufen a 4,60 + MwSt.)

Naja, für 49,- Euro kann man nicht viel erwarten. Hat mir aber wieder einmal gezeigt, das sich am Service von 1und1 nichts geändert hat.

Schreib ein Fax an 1und1 z.H. der Beschwerdeabteilung, schildere was passiert ist. Auf der Antwort, die Dir mitteilt, das das alles Deine Schuld ist, steht der Name des Sachbearbeiters. Dann rufst Du an(in der Zentrale) und verlangst den Mitarbeiter. Dem erklärst Du das nochmal und Du wirst sehen, es klärt sich alle auf und Du bekommst vielleicht sogar eine Erstattung des Ausfalls. Mit denen kann man reden, auch wenn das machmal nicht so aussieht.

Ich sprech aus Erfahrung.