Hacker angriff - Weihnachtsgrüße

[mmichael29]

Hallo,

ich hab auf meinem Rootserver plötzlich auf allen web's einen spanischen Weihnachtsgruss. Wie geht denn sowas? HILFE !!!

Hab nen 1&1 rootie, was braucht ihr denn noch?

[darkspirit]

Das geht indem ein Cracker über unsichere Software, Konfigurationsfehler oder Social Engineering deinen Server kompromittiert. :?
Logs sichern (könnten gefälscht sein) -> Sicherung aller statischen Webseiten und anderer ungefährlicher Dateien -> Reinitialisierung

[mmichael29]

:(

das ist aber traurig, darf ich noch was dummes fragen, ich hab 2 rootserver und hab auf dem gecrackten schon die dateien in ein .tar gesichert, nur hab ich den befehl zum kopieren auf den anderen server vergessen .. oder via scp schicken? ich hab's schon 100mal gemacht, aber im weihnachtstrubel vergessen .-)

[static]

Ja, scp ist dafür das richtige:

Code: Select all

man scp 

so long
static

[darkspirit]

Theoretisch könnte es sein, dass das SCP-Binary ausgetauscht wurde und dann brav das Passwort für den zweiten Server mitsnifft. Ich würde das Paket erstmal auf einen lokalen Rechner ziehen (wenn Linux, danach das Passwort des verwendeten Users ändern) und von da aus auf den zweiten Server.
Mag sein, dass das übervorsichtig ist, aber ich würde da lieber sichergehen.

[yt]

Entweder über scp:

z.B. vom 2.Server:
scp -v user@host:/Verzeichnis/*tar.gz /Verzeichnis/auf/zweiten/Server/.

(--> man scp)

oder vom 2.Server mit wget, falls die Dateien über www erreichbar:

wget http:/URL.zumerstenServer.de/Verzeichnis/Datei.tar.gz

[static]

Wenn du scp von deinem zweiten, nicht geknackten Server ausführst, sollte das imho kein Problem sein.

so long
static

[mmichael29]

uih, das sind aber 6 gbyte an daten .. da brauch ich denke ich jahre ...
btw. wenn scp die meldung "not a regular file" ausgibt, was ist dann los?
scp root@217.160.xxx.xxx: /home/www/web1/daten.tar

[yt]

Ist da zwischen : und / ein Leerzeichen? --> weg mit. Ziel angeben, oder zumindest . (also einen Punkt), also so:

scp blabla/daten.tar .

[mmichael29]

Hier sagt es mir das file wäre nicht da:

scp -v root@217.160.xxx.xxx:/home/www/web1/html/daten.tar /home/www.

ist es aber??

[yt]

btw. wenn scp die meldung "not a regular file" ausgibt, was ist dann los?
scp root@217.160.xxx.xxx: /home/www/web1/daten.tar

Da fällt mir auf: root-Zugriff sollte man über ssh unterbinden, d.h. in ein User-Verzeichnis kopieren und dann beim user die Daten abholen.

--> http://www.netsecond.net/howto/index.ph ... =4&lang=de

[yt]

scp -v root@217.160.xxx.xxx:/home/www/web1/html/daten.tar /home/www/.

[mmichael29]

27508: debug1: Doing password authentication.
root@217.160.xxx.xxx's password:
27508: debug1: Sending command: scp -v -f /home/www/web1/html/daten.tar
27508: debug1: Entering interactive session.
27508: debug1: fd 0 setting O_NONBLOCK
27508: debug1: fd 1 setting O_NONBLOCK
scp: /home/www/web1/html/daten.tar: No such file or directory
27508: debug1: fd 1 clearing O_NONBLOCK
27508: debug1: Transferred: stdin 1, stdout 63, stderr 0 bytes in 0.1 seconds
27508: debug1: Bytes per second: stdin 13.1, stdout 826.4, stderr 0.0
27508: debug1: Exit status 1

[yt]

Du bist sicher,dass das Verzeichnis stimmt? (pwd) Und du bist sicher, dass die Datei daten.tar heißt (Groß-/Kleinschreibung beachten! kein .tar.gz??)

Wenn nicht, würde ich das ganze sowieso mal zippen (entweder gzip -9 daten.tar oder bzip2 nehmen --> die Datei wird dann auch kleiner ;)) oder gleich mit der Option z oder j das tar erstellen

[mmichael29]

jo, bin ich, aber ich zippe das ganze mal:

rescue:/home/www/web1/html# dir
total 6000156
drwxr-xr-x 3 web1 ftponly 4096 Dec 24 14:03 .
dr-xr-x--- 9 web1 www 4096 Jun 29 13:59 ..
-rw-r--r-- 1 web1 ftponly 4971694080 Dec 24 12:33 daten.tar

[dopefish]

was sagt ein
ssh root@217.160.xxx.xxx ls -al /home/www/web1/html/
?