Einer unserer Server wurde gehackt

[jkreutz]

Hilfe,

alle index-Dateien sind durch index-Dateien eine IR4DEx-Crew oder ähnlich ausgetauscht worden. Hat jemand erfahrung damit. Server ist zur im Rescuemode und wir sichern. Haben aber das Problem das unser Fachmann im Urlaub ist. Ich selbst habe nur mittelmässige Kenntnisse in diesem Bereich. Wer kann mir Tipps bzw. Hilfestellung geben.

Gruß
Jens

[captaincrunch]

Was an Hilfestellung hättest du denn gerne? Keine Binaries, sondern nur die wichtigen Dinge sichern, neu installieren (lassen), und Backup einspielen, dana ASAP suchen, durch welches Loch die Kiddies reingekommen sind (den Schritt am besten noch im Vorfeld).

[jkreutz]

wichtige Dinge sind meiner Meinung nach :

die home-Verzeichnisse der confixx-User
die sql-Datenbanken
die cronjobs
die mailboxen

oder ??

[darkspirit]

Das wird dir niemand sagen können, da es völlig davon abhängt, was für Dienste du nutzt.. Bei einem Webserver solltest du alle statischen Daten im Document-Root sichern, bei einem Datenbankserver die DB's dumpen, bei einem Mailserver die Mailboxen speichern und bei einem Nameserver die Zonefiles usw. usf... dazu evtl. die Konfigurationen der Dienste und Wartungsscripts, sofern vorhanden.

[jkreutz]

wir nutzen diesen Server nur als www Server für kleine Ortsgemeinden.
Dort sind Email-Adresse angelegt und 3 Benutzer nutzen Datenbanken

das wars

[kruegerj]

Dann sicherst du am besten die Dateien:

also mysql Daten such mal mit:

Code: Select all

locate mysql

Normalerweise liegen die in: /var/lib/mysql

dann machst du:

Code: Select all

tar -cvzf /pfad/zu/einem/ftp/ordner/mysql.tar.gz /var/lib/mysql

Dannach machst du:

Code: Select all

tar -cvzf /pfad/zu/einem/ftp/ordner/home.tar.gz /home

je nach größe wird er etwas brauchen....
Mit "/pfad/zu/einem/ftp/ordner" ist ein Ordner gemeint, den du via FTP erreichen kannst um die teile zu saugen...

Danach das Reinitialisierungs Fax raus jagen und gut ist....

Zur Sicherheit solltest du den kompletten /etc Ordner sichern.

Code: Select all

tar -cvzf /pfad/zu/einem/ftp/ordner/etc.tar.gz /etc

[rootmaster]

.... logfiles sichern nicht vergessen ;)

ps: besser wäre ein (zusätzliches) totalbackup, das man offline inspizieren sollte

"back to the roots"

[kruegerj]

Das kann man aber net erwarten @totalbackup wenn man nicht mindestens DSL hat, denn ich könnte mir vorstellen, das die da ein wenig mehr daten drauf haben ;)


Zum Logs sichern:

Code: Select all

tar -cvzf /pfad/zu/einem/ftp/ordner/logs.tar.gz /var/log

Na dann mal viel spass beim sichern...

[andreask2]

Was an Hilfestellung hättest du denn gerne? Keine Binaries, sondern nur die wichtigen Dinge sichern, neu installieren (lassen), und Backup einspielen, dana ASAP suchen, durch welches Loch die Kiddies reingekommen sind (den Schritt am besten noch im Vorfeld).

Aber wie findet man das raus wenn man Logs nicht mehr trauen kann? Was meinst Du mit "ASAP"?

Ich überlege schon ob ich evtl. über das Netzwerk loggen soll, mit syslog-ng geht das ja AFAIK auch über verschlüsselte Kanäle, oder zumindest bestimmte Dinge auf diese Weise loggen, was wäre denn da sicherheitstechnisch besonders interessant?

Tripwire sollte man vielleicht auch installieren, und Veränderunegn darüber überwachen, muss nur sichergstellt sein dass Meldungen/Logs das System auf jeden Fall unverändert verlassen können.

Kann man geschriebene Logs nicht irgendwie automatisch verschlüsseln oder signieren, z.B. mit gpg?

Wobei das System dann dafür ja den privaten Schlüssel braucht, und wenn der sich auf dem System befindet kann den ja ein Angreifer ebenfalls benutzen, oder?

Grüße
Andreas

[t-son]

asap = as soon as possible = so schnell wie möglich

hugh! :-)

[andreask2]

ups... OK ;-)

[kevin_poulsen]

sieht mir irgendwie sehr aehnlich aus...
http://www.rootforum.org/forum/viewtopic.php?t=22612