Server gehackt?

[as-n]

Code: Select all

ls -alhR /boot

Und was sagt mir das?

Code: Select all

 ls -alhR /boot
/boot:
total 11M
drwxr-xr-x    4 root     root         1.0K Feb  4 10:16 .
drwxr-xr-x   19 root     root         4.0K Feb  4 11:11 ..
lrwxrwxrwx    1 root     root            1 Feb  3 16:05 boot -> .
-rw-r--r--    1 root     root          512 Jan 29  2003 boot.0300
lrwxrwxrwx    1 root     root           31 Feb  3 16:17 bzImage -> /boot/bzImage
-2.4.23-nosmp-scsi
-rw-r--r--    1 root     root         1.5M Dec  7 19:55 bzImage-2.4.23-nosmp-3wa
re
-rw-r--r--    1 root     root         2.0M Dec  7 20:22 bzImage-2.4.23-nosmp-scs
i
-rw-r--r--    1 root     root         1.8M Dec  7 19:44 bzImage-2.4.23-smp-3ware
-rw-r--r--    1 root     root         2.4M Dec  2 08:50 bzImage-2.4.23-smp-scsi
drwxr-xr-x    2 root     root         1.0K Jul 15  2003 grub
-rw-r--r--    1 root     root         239K Mar 28  2003 initrd
-rw-r--r--    1 root     root         239K Mar 28  2003 initrd.shipped
-rw-r--r--    1 root     root          516 Jan 29  2003 lilo.log
drwx------    2 root     root         1.0K Jan 20  2003 lost+found
-rw-------    1 root     root         201K Feb  3 16:18 map
-rw-r--r--    1 root     root          82K Mar 28  2003 memtest86.bin
-rw-r--r--    1 root     root          81K Feb  4 10:16 message
-rw-------    1 root     root          14K Apr  4  2003 restoresymtable
-rw-r--r--    1 root     root         2.1M Jun 24  2003 update

/boot/grub:
total 291K
drwxr-xr-x    2 root     root         1.0K Jul 15  2003 .
drwxr-xr-x    4 root     root         1.0K Feb  4 10:16 ..
-rw-r--r--    1 root     root           30 Jan 20  2003 device.map
-rw-r--r--    1 root     root         8.7K Mar 28  2003 e2fs_stage1_5
-rw-r--r--    1 root     root         8.3K Mar 28  2003 fat_stage1_5
-rw-r--r--    1 root     root         7.7K Mar 28  2003 ffs_stage1_5
-rw-r--r--    1 root     root         9.5K Mar 28  2003 jfs_stage1_5
-rw-------    1 root     root          406 Jan 28  2003 menu.lst
-rw-r--r--    1 root     root         7.9K Mar 28  2003 minix_stage1_5
-rw-r--r--    1 root     root          11K Mar 28  2003 reiserfs_stage1_5
-rw-r--r--    1 root     root          512 Sep 11  2002 stage1
-rw-r--r--    1 root     root         107K Mar 28  2003 stage2
-rw-r--r--    1 root     root         103K Jan 29  2003 stage2.old
-rw-r--r--    1 root     root         7.4K Mar 28  2003 vstafs_stage1_5
-rw-r--r--    1 root     root          10K Mar 28  2003 xfs_stage1_5

/boot/lost+found:
total 2.0K
drwx------    2 root     root         1.0K Jan 20  2003 .
drwxr-xr-x    4 root     root         1.0K Feb  4 10:16 ..

Ciao
André

[as-n]

Juche, mein Server war jetzt zwei Tage wieder online und erneut ist er in fremden Händen :evil:
Ich habe am Auslieferungszustand nur folgende Ã?nderungen vorgenommen:

Alle Updates mittels yast eingespielt, webmin und nessusd installiert.
Mehr habe ich (gottseidank) noch nicht getan.

Jetzt sag mir mal jemand, wie das schon wieder passieren konnte.

Ciao
André

[lufthansen]

hast du das pwd geändert ?

[as-n]

Natürlich,

ich kann mir nur vorstellen, dass das Passwort auf dem Weg vom Provider zu mir abgefangen wurde und der Angreifer praktisch eher Zugriff auf die Maschien hatte als ich.
Aber das ist doch etwas unwahrscheinlich.

Oder mein Provider will mich ärgern

Ciao
André

[steffz]

Starte Webmin und Nessus nur dann, wenn du sie wirklich brauchst. Neueste Version hin oder her, Webmin ist eine Zeitbombe.

[dodolin]

Starte Webmin und Nessus nur dann, wenn du sie wirklich brauchst.

Noch besser: Binde sie nur auf localhost und nutze ssh-tunnel.

Jetzt sag mir mal jemand, wie das schon wieder passieren konnte.

Die Glaskugel hat Urlaub, sorry.

Kaputte Webscripte in Verbindung mit altem Kernel?

[as-n]

Noch besser: Binde sie nur auf localhost und nutze ssh-tunnel.

Jetzt sag mir mal jemand, wie das schon wieder passieren konnte.

Die Glaskugel hat Urlaub, sorry.

Kaputte Webscripte in Verbindung mit altem Kernel?

Webscripte waren ja außer die oben genannten, noch gar nicht drauf, es muss also entweder am Kernel, nessus oder Webmin oder einer Kombination aus allen dreien gelegen haben.
Ein 2.4.24er Kernel würde mir zumindest erstmal einen etwas ruhigeren Schlaf bescheren, aber denn bekomme ich ja nicht :-(
Ich versuche den jetzt mal selber zu kompilieren, schaue aber bei der Konfiguration mittels menuconfig so drein, wie eine Kuh ins Uhrwerk. :(

Ciao
André

[standbye]

Was für einen Server hast du?

einen alten 1&1 mit 1.3ghz celeron?

für den hab ich noch ne config rumfliegen ;)

allerdings für 2.4.24 mit grsecurity patch

ist vielleicht nicht die sauberste aber sie funktioniert

[as-n]

Nein, es ist ein AMD Duron 1,4 GHz bei Greatnet.

[Joe User]

Lege bitte das folgende Textfile zum Download bereit:

Code: Select all

rpm -qa > ~/packagelist.txt

[captaincrunch]

Mal eine ganz doofe Frage: was hat Nessus auf einem öffentlich erreichbaren Server verloren? Dir ist schon bewusst, dass alleine das eine offene Einladung an sämtliche Scriptkiddies dort draußen ist?

[alk]

Natürlich,

ich kann mir nur vorstellen, dass das Passwort auf dem Weg vom Provider zu mir abgefangen wurde und der Angreifer praktisch eher Zugriff auf die Maschien hatte als ich.
Aber das ist doch etwas unwahrscheinlich.

Oder mein Provider will mich ärgern :wink:

Ciao
André

naja weisst du, es gibt da ne ganz einfache lösung.......guck ma nach keyloggern auf deiner workstation....... *duck*

[as-n]

Der Server ist jetzt erstmal aus.

Nessus hatte ich gerade drauf gemacht gehabt weil ich das Loch irgend wie finden wollte, aber hat nix genutzt.
Webmin war knapp 3 Stunden drauf, Nessus ungefähr 45 Minuten ehe ich dann den Gast mitgekommen habe.
Zumindest lasse ich die beiden Sachen ab sofort komplett weg.
Der Rest war SuSE8.1 Standard, da hatte ich noch nichts gemacht, außer alle verfügbaren Updates einzuspielen.

Ich habe eine Neuinstallation beauftragt und hoffe dass die mir diesesmal die IP nicht wieder zusammen mit dem Rootpasswort zusenden, das war mir auch schon suspekt.

Naja, danke für die Hilfe, ich werde jetzt vorsichtiger sein, versprochen.

Ciao
André

[königrollo]

Hallo,

eine rmeienr Server hat gestern den SSL Port eigenmächtig geändert.
In der Bash History fand ich das:


tar xvf fu.tgz
cd .fuckZ
rm -rf " "

Ciao André

was macht eigentlich der befehl

rm -rf " " ?

rm -rf ist mir shcon klar, aber was machen die beiden anführungszeichen mit leerschritt? ein verzeichnis löschen das den namen <leer> hat?

danke
rollo

[captaincrunch]

ein verzeichnis löschen das den namen <leer> hat?

Exakt, das <leer> wird durch die " geqoutet.

[königrollo]

das sind schon *piep*, mann mann mann!!!

[Edit CaptainCrunch: Ich hab die Aussage mal etwas "entschärft". ;) ]

[outofbound]

Nanana, werd wird denn gleich,

die armen kleinen Jungs können doch auch nix dafür, dass du
einen Fehler bei deiner Konfiguration gemacht hast, netterweise
haben Sie dich sogar noch drauf hingewiesen. (Wenn auch
selbst aus Unfähigkeit). Reg dich nicht darüber auf, sondern
lerne. Diese Jungs sind harmlos im Vergleich zu dem, was
ein Profi alles anstellen könnte, und früher oder später
wird dich so einer mal als Ziel aussuchen.

Hast du mal darüber nachgedacht, woher der Angreifer
denn kommen könnte? Hast du im IRC jemanden angepisst,
oder im Real Life? Wie siehts mit Keyloggern auf deiner eigenen
Kiste aus? Hast du DSL? Wie siehts dann mit deinem Router aus,
snifft da vielleicht jemand fröhlich mit?

Wenn ich mir Morgens statt ner Zeitung meine Logs durchschaue,
dann find ich das viel witziger jede Comedy- Show. Vor allem
die inzwischen in mehrere Millionen gestiegenen Spam- Mails,
über ein vermeintlich "unsicheres" formmail.php verschickt
werden... zumindest denkt der Spammer das, regen mich immer
wieder zum Schmuntzeln an. Und was da so auf den Ports
31337 und 1337 eintrudelt... KÃ?STLICH sag ich euch.

Und wie oft die Leute schon versucht haben, mein PHP- Gästebuch
zu hax00rn. Die sind manchmal richtig frustriert, wenn dann anstatt
"I 0wN y000" so etwas wie
"Der User mit der Telekom-IP XXX.XXX.XXX.XXX, höchstwahrscheinlich
aus dem Raum Frankfurt, meinte: "I 0wN y000", leider hat das wohl nicht
ganz so geklappt, wie er sich das vorstellte."

Wirklich lustig sind dann die Versuche, Std- Passwörter auf FTP
und ssh zu probieren... meiner Meinung nach
"Stufe 2 des Ich-Habe-Keinen-Sex-Und-Bin-Frustriert"- Index.
Irgendwie hab ich das Gefühl, dass die Jungs immer die
selben Passwortlisten verwenden... zumindest wenn ich
mir das mal aus meinem Pseudo- FTP rausgreppe. Wahrscheinlich
"Computer Hacking in 21 Days" oder so mit ner "Secret Hacker
Tools CD" ;)

Sehr lustig wirds dann, den ein oder anderen "etwas befähigteren"
doch mal rein zu lassen, und ihm wie im Zoo bei seinen Versuchen
zuzuschauen... und vielleicht mal Hallo zu sagen.

Auch Super- K3//13333 Hax0rs mit Namen wie "Zer0 KeWl",
die es dann tatsächlich schaffen, mit einem 20 Jahre alten Exploit
mein selbst geschriebenes Telnet- Skript zu "ownen" wundern sich
doch manchmal, dass die Shell eher einem C64 ähnelt, als einem
*nix...

Leider werden diese ganzen Skriptkiddies immer noch als "Monster/Terroristen/Super-
Hacker" bezeichnet... eine Unverschämtheit und einen Schlag
ins Gesicht für den Berufsstand, meiner Meinung nach zumindest. ;)

Gruss,

Out

[checker]

@OutOfBound:

Göttlicher Post, du bringst es auf den Punkt! *gg* :-D :!:

MfG checker