Serverangrif- Traffic

[roloooo]

ich kann das alles nicht prüfen, es ist zu viel.

Da brauche ich Tage gar Wochen für.

Komisch, das ich im Config Tool (login.1und1.de) unter Rechnungsübersicht, unter Einzelverbindungsnachweise, seit 3 Tagen kein datum mehr sehe zu dem jewiligen Traffic und die Preise sind auf ca. 10 Nachkommastellen gerundet.

Auszug:

Datentransfer Datum Verbrauch Preis (Brutto)
(0,5 cent bis 1,5 cent
pro MByte - - 168864 MB 1019..0068965517241
(je nach Volumen) (T))

Das alles seit 3 Tagen, als ich mich beschwert habe bei 1&1 wegen dem Schweinegroßen Traffic, für dern ich jetzt 1000 EUR zahlen muss.

Die einen bei 1&1 sagen das es Fehler ist, der behoben wird, die anderen, das es normal ist.

Werrde die Platte reinitialisieren in paar Tagen, sobald ich alles gesichert habe.

Blicke da noch nicht ganz durch was da passiert ist, und der Support von 1&1 sagt immer das gleiche "Als Root-Admin sind sie selbst für die Sicherheit verantwortlich". Stimmt schon, dann sagen die noch das alles in den FAQ oder AGB steht, na schön, ganz große Scheeeeeeeiße

Danke für alle Tips

[outofbound]

hi,

Bei einem Widerspruch zahlt der "Verlierer" allerdings die Kosten... und die können wiederum hoch werden.. bei 1000 Eu... aber das geht wohl zu weit und wird nur ein Anwalt wirklich klären können.

Bei einer Stundung wäre das aber nicht der Fall, da keine Kosten anfallen können, dürfen.

Sich auf Logfiles zu versteifen bringt hier nichts:

a) Die Logfiles weisen auf einen erfolgreichen Exploit hin, soweit so gut
b) Die grosse "nicht bekannte" Datenmenge spricht auch dafür
c) Die anderen Logfiles, die den entstandenen Traffic erklären können, fehlen (nicht gepostet), oder wurden niemals geschrieben. (Trotzdem ist der Traffic wohl entstanden, woher wüsste der OP das sonst... auch bei 1 & 1 kommt Traffic nicht einfach so zustande sondern entspringt einer Berechnungsgrundlage, auch wenn diese falsch sein KANN, heisst es nicht, dass man davon ausgehen sollte.)

Somit weisen alle Indizien auf einen Hack hin.. und den wird der OP wohl (mit allen Konsequenzen) auf seine Kappe nehmen müssen... es sei denn er findet den Ã?beltäter...

Das der Traffic nur an einem Tag stattfindet ist typisch für einen 0- day Warez Server, aber
auch hier kann nur anhand Indizien geraten werden ;)

Gruss,

Out

[Joe User]

wer sich $Software auf einem öffentlich zugänglichem System installiert, für welche bereits seit Jahren funktionierende Exploits existieren, ohne die bekannten Bugs zu fixen, muss sich IMO nicht mehr nur grobe Fahrlässigkeit vorwerfen lassen, sondern vielmehr Vorsatz.

CERT, BugTraq, Google, etc existieren...

Wie auch immer: IANAL

[roloooo]

also

ich weiß nicht mehr so genau, glaube am 23.7.03 war der Server Down und ich habe bei 1&1 angerufen.

Die haben mir gesagt, das der Server von 1&1 gesperrt wurde, da er als Gateway missbraucht worden ist durch eine DOS- Attacke, genau so war es am 23.9.03.

Die haben mir aber nichts vom Traffic erzählt und ich habe mir nichts dabei gedacht, schaute auch nicht in die Kostenkontrolle rein weil ich mit PHP stark beschäftigt war.

Erst paar Tage später war ich über diese Rechnung schockiert.
Hab aus dem Grund soooooooooooooooooofort die 20GB Sperre per Fax eingereicht.


Jetzt bin ich mit den Logs dran, werde mich die Tage mit meinem alten Dozenten in Verbindung setzen, der hat was auf dem Kasten, vielleicht kann er da was machen. Er sprach von IPTABLES, UPDATES und Firewals.

Wenn ich in der Console du -hs eingebe, kommt:

34 M .

Gruß

[Joe User]

@rolooo
könntest Du die betreffenden Logs mal zum Download freigeben? 2+x Augen sehen bekanntlich mehr...

[roloooo]

Schut euch das mal an:

Tue Jul 22 16:29:35 2003 1 145.254.113.52 6266 /html/mages/b1.jpg b _ i r web3 ftp 0 * c
Tue Jul 22 16:29:43 2003 8 145.254.113.52 52298 /html/images/2.JPG b _ i r web3 ftp 0 * c
Tue Jul 22 16:29:51 2003 8 145.254.113.52 36263 /html/images/3.JPG b


!!!!!!!!!!!!!!!!!!!!!! 23 Juli fehlt !!!!!!!!!!!!!!!!!!!!!!!!!!!


Thu Jul 24 10:20:00 2003 1 145.254.111.90 123 /backup/files.tar.gz b _ o r web1 ftp 0 * c
Thu Jul 24 10:20:42 2003 11 145.254.111.90 152460 /backup/html.tar.gz b _ o r web1 ftp 0 * i
Thu Jul 24 10:22:53 2003 126 145.254.111.90 951094 /backup/mysql.tar.gz b _ o r web1 ftp 0 * c

dasist der Auszug aus der XSVERLOG.



Hiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiilfeeeeeeeeeeeeeeeeeeeeeeeeee!

[captaincrunch]

Die haben mir gesagt, das der Server von 1&1 gesperrt wurde, da er als Gateway missbraucht worden ist durch eine DOS- Attacke, genau so war es am 23.9.03.

Und da wirst du nicht hellhörig ? Spätestens da hätte ich alle Hebel in Bewegung gesetzt, um den Grund dafür rauszubekommen.

Die haben mir aber nichts vom Traffic erzählt und ich habe mir nichts dabei gedacht, schaute auch nicht in die Kostenkontrolle rein weil ich mit PHP stark beschäftigt war.

Sorry, aber was bitteschön hat DDOS denn anderes als Traffic auf sich ?

Hab aus dem Grund soooooooooooooooooofort die 20GB Sperre per Fax eingereicht.

... die aber auch erst ab dem nächsten Abrechnungszeitraum gelten ...

Jetzt bin ich mit den Logs dran, werde mich die Tage mit meinem alten Dozenten in Verbindung setzen, der hat was auf dem Kasten, vielleicht kann er da was machen. Er sprach von IPTABLES, UPDATES und Firewals.

Falls er wirklich so viel auf dem Kasten hat, hast du ihm wohl nicht alles erzählt : IPTables bringen dir herzlich wenig, da der Traffic schon vor deinem Server berechnet wird.

Wie schon mein Vorposter sagte : poste mal einen Link auf die Logs, vielleicht kann man dir dann helfen.

[roloooo]

sorry Joe User aber besser keinem trauen oder?

Versteh mich bitte nicht falsch, aber das ist etwas sensible Welt oder sehe ich das falsch?

Gruß

[captaincrunch]

sorry Joe User aber besser keinem trauen oder?

Wenn du so anfängst frage ich mich sehr stark, warum dein Rootie anscheinend immer noch läuft, denn fahrlässiger geht's dann wirklich nicht mehr.

[roloooo]

Das Problem ist das der Server laufen muss, weil der für eine Firma läuft mit 18 Domains drauf!

Ich muss jetzt schnell umziehen auf den zweiten Server, bevor 20 GB erreicht sind, da der Server dann sofort down ist.

Die nächste Aufgabe ist erstmal die 18 Domains zu Schlundtechnologies umziehen, weil da noch kein BIND oder DNS eingerichtet ist.

Ich richte auf dem XL-Server erstmal die 18 Domains über Subdomains ein und mache von dem Starter mit 18 ko´nnektierten Domains einfache Weiterleitungen über Frames, damit die Firma erstmal weiter arbeiten kann.

Dann muss ich erst die 18 Domains von dem angegriffenen Starter-Server bei SCHLUND konnektieren und erst dann den Starter reinitialisieren.


Anschließend werde ich einen Managed-Server anmieten, alles einrichten,
und die beiden (Starter+XL) kündigen, bzw einen davon.

Habe keine andere Wahl, weil es nicht mehr viel Zeit bleibt.

Es deutet darauf hin, das der Hacker durchgekommen ist und am System teilninmmt.

Der hat auch einige Logs gelöscht wie es aussieht, ein Profi am Werk.

Ich vermute mal das es der alte Provider der Firma war und sich rechen wollte, weil die FA ihn gekündigt hat. Würde gerne den Namen hier erwähnen aber vielleicht später.

Der alte Provider hat noch vor paar Monaten mit Maßnahmen gedroht, weil angeblich eine alte Rechnung nicht beglichen wurde.

Zum Betrag möchte ich mich hier auch nicht äußern.

Der alte Provider kannte auch meinen Chef und hat ihm mal am telefon von Filme saugen und ablege auf fremden Servern, von Port-Scannarn, CGI- Tools, Trojanern erzählt, als die noch gute Kumpels waren.

Der Server des alten Providers war so oft down, das man sich für den Providerwechsel mit 18 Domains zu !6! entschieden hat.

Ca 1-2 Monate später kamen die beiden Angriffe, der erste am 23.7, der zweite am 10.8, aber der Server muss weiter laufen bis er an die kritische Grenze von 20 GB stößt, was schon morgen passieren kann.

Tja was soll man da machen, ich trinke erstmal Kaffe , ne erstmal ne Cola.

Dann schicke ich erstmal alle Mitarbeite und Chef in Urlaub, weiss nicht 2 Wochen, 1 Monat, mal schauen.

Ich hab da über 1 Monat an den 18 Domains gesessen, alsokann diese nicht innerhalb von paar Tagen vom Server-Starte auf Server XL übrtragen.

Ok, ich könnte ja bequem über scp in der Shell, so blöd bin ich auch nicht, aber der Hacker könnte einen Spion installiert haben, der dann auf den XL-Server rüber geht.

Deswegen alles schön per SCP, von dem Sarter lokal speichern und hoch au den XL über Subdomains.

Schauen wir mal.




Gruß

[captaincrunch]

Das Problem ist das der Server laufen muss, weil der für eine Firma läuft mit 18 Domains drauf!

In dem Fall wirst du dich über die Kosten, die 1&1 von dir verlangt nicht wundern, und noch weniger ärgern dürfen. Was du machst ist schon mehr als vorsätzlich.

Ich muss jetzt schnell umziehen auf den zweiten Server, bevor 20 GB erreicht sind, da der Server dann sofort down ist.

Du hast den Ernst der Lage immer noch nicht kapiert, oder ?!?

Der hat auch einige Logs gelöscht wie es aussieht, ein Profi am Werk.

Schwachsinn, wenn es ein "Profi" gewesen wäre, würdest du dich jetzt 1. immer noch fragen, was mit deinem System los ist, und 2. wäre dir defintiv nicht so ein Traffic entstanden, da "Profis" nichts mit Sciptkiddies gemeinsam haben.

Ich vermute mal das es der alte Provider der Firma war und sich rechen wollte, weil die FA ihn gekündigt hat. Würde gerne den Namen hier erwähnen aber vielleicht später.

Wie tief willst du dich eigentlich noch reinreiten ? An deiner Stelle würde ich mich hüten, jedwede Vermutungen zu äußern, du weiß ja noch nicht einmal annähernd, was überhaupt passiert ist.

Ok, ich könnte ja bequem über scp in der Shell, so blöd bin ich auch nicht, aber der Hacker könnte einen Spion installiert haben, der dann auf den XL-Server rüber geht.

Oh Mann. Du weißt wirklich nicht, wie teif du eigentlich in der Sch.. steckst. Sorry, aber wenn ich dein Chef wäre, der dir die Administration des Servers anvertraut hätte, würde ich eher dich in "Urlaub" schicken, unbezahlt und auf unbestimmte Zeit ...
Als guter Ratschlag : an deiner Stelle würde ich nichts mehr rübernehmen, was momentan auf dem Server liegt, da du wohl nicht weißt, was denn so alles verändert wurde.

*kopfschüttel*

[roloooo]

geht klar, hab mit meinem Chef und meinem DOZ eine Lösung gefunden.

Ich meine, so lernt man aus Fehlern.

Nicht ich habe den Server beantragt sondern die Firma und ich sollte nur die Seiten erstellen, nicht aber Server administrieren.

Aus Kostengründen aber musste ich mich um alles kümmern, um Serverbestellung, Providerwechsel, Mitarbeitersupport, Druckerprobleme, Faxprobleme, Mitarbeitersupport, Webseiten, Mysql-Datenbanken.


Na ja man kann ja nicht in 4 Richtungen fahren, wenn man im Auto sitzt.

Du magst Recht haben, aber das krigen wir schon hin

[roloooo]

Hab mit du -hs * / probiert:

p123456:/ # du -hs * /
6.5M bin
7.0M boot
224K dev
4.6M etc
291M home
62M lib
48K lost+found
12K media
8.0K mnt
36K opt
du: `proc/8633/fd/3': No such file or directory
249M proc
20K quota.user
34M root
4.4M sbin
5.8M srv
15M tmp
942M usr
18G var
du: `/proc/8633/fd/4': No such file or directory
19G /


???????????????????????????? :roll:

[vpn-user]

18G var

Da stecken die meisten logfiles drunter und evtl. auch deine Document-Roots des Webservers. Also da würde ich mal reingehen und suchen, wo die großen dateien liegen.

[s4fuser]

Code: Select all

19G / 

Und was heisst das? 19 GB im /?

[phantom]

Und was heisst das? 19 GB im /?

Das / insgesamt 19GB groß ist? ;-)

Nebenbei: Wenn ich den letzten längeren Beitrag von roloooo lese (den mit dem Urlaub), kann ich mich einiger Zweifel ob der Authentizität dieses Vorfalls nicht erwehren... *schulterzuck*

[outofbound]

Hm...

ups... eine Seite lesen vergessen...

Ich sags nur ungern: Aber dir gehört der Zugang zum Internet verboten.

Wie lange es wohl geht, bis die ersten Polizisten an deine und die Haustür deiner
Firma klopfen? Und DANN wird es wirklich lustig, da wirst du über das Kilo Euro
später mal lachen.

Gruss,

Out

[mweigand]

Nebenbei: Wenn ich den letzten längeren Beitrag von roloooo lese (den mit dem Urlaub), kann ich mich einiger Zweifel ob der Authentizität dieses Vorfalls nicht erwehren... *schulterzuck*

ich schliesse mich hier an... klingt alles sehr abenteuerlich...

[roloooo]

was meinst du mit der POLZ?

Meinst du die können da drauf WAREZ finden?

Wir scannen den Server heute mit FlashFXP und anderen Tolls, dann werden wir den bereinigen und Rotkit-Scanner installieren, sowie einige Ports sperren.

Desweiteren werden die Packete protokoliert und bei kritischem traffic, die Dienste gestoppt, bis man den Verursacher findet.

Die Festplatte wird von der Kripo untersuchet, wir krigen ne neue rein oder gehen auf den Managed-Server rüber, weiss noch nicht genau, erst nächste Woche.

Bei dem Managed-Server für Dummies kann sowas nicht passieren, weil die Sicherheit da groß geschrieben wird

Melde mich.

[relativity]

Bei dem Managed-Server für Dummies kann sowas nicht passieren, weil die Sicherheit da groß geschrieben wird

Hmm... sicher?

Ich mein da sitzen auch nur Menschen
die haben zwar um einiges mehr Ahnung als manch andere
aber dafür haben sie auch ein paar mehr Server die sie
administrieren müssen und die Logs checken etc.

weiss net ob da nicht in der Masse der Server
evtl. einzelne untergehen können weil die Log
files von den servern nur alle paar Tage mal gecheckt werden.

(Ist nur eine Idee, hab keine Ahnung wie es da wirklich aussieht)

[Joe User]

OK, wenn sich r* und/oder sein Chefe nicht helfen lassen will, dann sollen sie dafür bluten - gewaltig...

Auch wenn's im Forum sinnfrei ist: *PLONK*

[gopha]

Den Server mit FlashFXP scannen ? Entweder habe ich keine Ahnung, oder du? Ich tippe auf letzteres, da Flashfxp nen FTP Tool ist ...

[outofbound]

Hi,

Managed Server sind von daher sicher, dass die von Profis auch gemanaged sind, die sich
um updates, etc kümmern, und, soweit mir bekannt, auch hinter einer Firewall liegen...

Was natürlich nicht heisst, dass man mit unsicherer Software, oder unsicheren Passwörtern
das System kompromitieren kann... aber dann wohl erstmal nicht als root ;)

Gruss,

Out

[giffi]

Und vor allem trägt man nicht die Verantwortung für eventuelle Angriffe, etc., oder ??
Das wäre die beste Lösung für r...


Giffi

[mutombo]

vielleicht erstmal klein anfangen:
gameboy advanced mit linkkabel, oder ne xbox live.
damit ist man wenigstens nicht sofort eine riesige gefahr für sich und andere ....