Hacker angriff - Weihnachtsgrüße

Rund um die Sicherheit des Systems und die Applikationen
Post Reply
mmichael29
Posts: 56
Joined: 2002-11-19 15:13
 

Hacker angriff - Weihnachtsgrüße

Post by mmichael29 »

Hallo,

ich hab auf meinem Rootserver plötzlich auf allen web's einen spanischen Weihnachtsgruss. Wie geht denn sowas? HILFE !!!

Hab nen 1&1 rootie, was braucht ihr denn noch?
darkspirit
Posts: 553
Joined: 2002-10-05 16:39
Location: D'dorf
Contact:
 

Re: Hacker angriff - Weihnachtsgrüße

Post by darkspirit »

Das geht indem ein Cracker über unsichere Software, Konfigurationsfehler oder Social Engineering deinen Server kompromittiert. :?
Logs sichern (könnten gefälscht sein) -> Sicherung aller statischen Webseiten und anderer ungefährlicher Dateien -> Reinitialisierung
mmichael29
Posts: 56
Joined: 2002-11-19 15:13
 

traurig

Post by mmichael29 »

:(

das ist aber traurig, darf ich noch was dummes fragen, ich hab 2 rootserver und hab auf dem gecrackten schon die dateien in ein .tar gesichert, nur hab ich den befehl zum kopieren auf den anderen server vergessen .. oder via scp schicken? ich hab's schon 100mal gemacht, aber im weihnachtstrubel vergessen .-)
static
Posts: 437
Joined: 2002-10-27 19:56
Location: Schweiz
 

Re: Hacker angriff - Weihnachtsgrüße

Post by static »

Ja, scp ist dafür das richtige:

Code: Select all

man scp 
so long
static
darkspirit
Posts: 553
Joined: 2002-10-05 16:39
Location: D'dorf
Contact:
 

Re: Hacker angriff - Weihnachtsgrüße

Post by darkspirit »

Theoretisch könnte es sein, dass das SCP-Binary ausgetauscht wurde und dann brav das Passwort für den zweiten Server mitsnifft. Ich würde das Paket erstmal auf einen lokalen Rechner ziehen (wenn Linux, danach das Passwort des verwendeten Users ändern) und von da aus auf den zweiten Server.
Mag sein, dass das übervorsichtig ist, aber ich würde da lieber sichergehen.
yt
Posts: 103
Joined: 2003-10-13 23:04
Location: Duisburg
 

Re: Hacker angriff - Weihnachtsgrüße

Post by yt »

Entweder über scp:

z.B. vom 2.Server:
scp -v user@host:/Verzeichnis/*tar.gz /Verzeichnis/auf/zweiten/Server/.

(--> man scp)

oder vom 2.Server mit wget, falls die Dateien über www erreichbar:

wget http:/URL.zumerstenServer.de/Verzeichnis/Datei.tar.gz
static
Posts: 437
Joined: 2002-10-27 19:56
Location: Schweiz
 

Re: Hacker angriff - Weihnachtsgrüße

Post by static »

Wenn du scp von deinem zweiten, nicht geknackten Server ausführst, sollte das imho kein Problem sein.

so long
static
mmichael29
Posts: 56
Joined: 2002-11-19 15:13
 

6 gbyte ?

Post by mmichael29 »

uih, das sind aber 6 gbyte an daten .. da brauch ich denke ich jahre ...
btw. wenn scp die meldung "not a regular file" ausgibt, was ist dann los?
scp root@217.160.xxx.xxx: /home/www/web1/daten.tar
yt
Posts: 103
Joined: 2003-10-13 23:04
Location: Duisburg
 

Re: Hacker angriff - Weihnachtsgrüße

Post by yt »

Ist da zwischen : und / ein Leerzeichen? --> weg mit. Ziel angeben, oder zumindest . (also einen Punkt), also so:

scp blabla/daten.tar .
mmichael29
Posts: 56
Joined: 2002-11-19 15:13
 

so ein käse

Post by mmichael29 »

Hier sagt es mir das file wäre nicht da:

scp -v root@217.160.xxx.xxx:/home/www/web1/html/daten.tar /home/www.

ist es aber??
yt
Posts: 103
Joined: 2003-10-13 23:04
Location: Duisburg
 

Re: 6 gbyte ?

Post by yt »

mmichael29 wrote: btw. wenn scp die meldung "not a regular file" ausgibt, was ist dann los?
scp root@217.160.xxx.xxx: /home/www/web1/daten.tar
Da fällt mir auf: root-Zugriff sollte man über ssh unterbinden, d.h. in ein User-Verzeichnis kopieren und dann beim user die Daten abholen.

--> http://www.netsecond.net/howto/index.ph ... =4&lang=de
yt
Posts: 103
Joined: 2003-10-13 23:04
Location: Duisburg
 

Re: so ein käse

Post by yt »

mmichael29 wrote: scp -v root@217.160.xxx.xxx:/home/www/web1/html/daten.tar /home/www/.
mmichael29
Posts: 56
Joined: 2002-11-19 15:13
 

mmmhhhh ...

Post by mmichael29 »

27508: debug1: Doing password authentication.
root@217.160.xxx.xxx's password:
27508: debug1: Sending command: scp -v -f /home/www/web1/html/daten.tar
27508: debug1: Entering interactive session.
27508: debug1: fd 0 setting O_NONBLOCK
27508: debug1: fd 1 setting O_NONBLOCK
scp: /home/www/web1/html/daten.tar: No such file or directory
27508: debug1: fd 1 clearing O_NONBLOCK
27508: debug1: Transferred: stdin 1, stdout 63, stderr 0 bytes in 0.1 seconds
27508: debug1: Bytes per second: stdin 13.1, stdout 826.4, stderr 0.0
27508: debug1: Exit status 1
yt
Posts: 103
Joined: 2003-10-13 23:04
Location: Duisburg
 

Re: Hacker angriff - Weihnachtsgrüße

Post by yt »

Du bist sicher,dass das Verzeichnis stimmt? (pwd) Und du bist sicher, dass die Datei daten.tar heißt (Groß-/Kleinschreibung beachten! kein .tar.gz??)

Wenn nicht, würde ich das ganze sowieso mal zippen (entweder gzip -9 daten.tar oder bzip2 nehmen --> die Datei wird dann auch kleiner ;)) oder gleich mit der Option z oder j das tar erstellen
mmichael29
Posts: 56
Joined: 2002-11-19 15:13
 

jo

Post by mmichael29 »

jo, bin ich, aber ich zippe das ganze mal:

rescue:/home/www/web1/html# dir
total 6000156
drwxr-xr-x 3 web1 ftponly 4096 Dec 24 14:03 .
dr-xr-x--- 9 web1 www 4096 Jun 29 13:59 ..
-rw-r--r-- 1 web1 ftponly 4971694080 Dec 24 12:33 daten.tar
dopefish
Posts: 142
Joined: 2003-02-06 12:57
Location: Karlsruhe
Contact:
 

Re: Hacker angriff - Weihnachtsgrüße

Post by dopefish »

was sagt ein
ssh root@217.160.xxx.xxx ls -al /home/www/web1/html/
?
Post Reply