Hallo,
momentan ist mein Server gesperrt, da er laut 1und1-Support eine DOS-Attacke gegen einen IRC-Server ausgeführt haben soll.
Könnte da psyBNC Bockmist gebaut haben ?
Habe im Moment noch nicht wieder Zugriff drauf, suche aber schonmal nach möglichen Ursachen (1und1 schweigt sich im Moment noch aus...)...
Server gesperrt wegen DOS-Attacke...
Bei mir auch... DoS Attacke
hi folks,
bei mir hat (für mich total überraschend) 1&1 auch eine DoS attacke gemeldet und die IP meines rootservers gesperrt. das einzige was ich kurz zuvor via ssh bemerkte war, dass die bash history gelöscht war - und ich das nicht war. ich hätte danach besser sofort das passwort geändert...
der rechner ist mittlerweile wieder oben, aber jetzt bin ich ziemlich verunsichert, ob der angreifer nicht einen prozess oder sonstiges in mein system eingebaut hat. apropos, kennt jemand den eintrag:
/sbin/xc -q
in der inittab? wer hat ähnliche probleme bei 1&1?
bei mir hat (für mich total überraschend) 1&1 auch eine DoS attacke gemeldet und die IP meines rootservers gesperrt. das einzige was ich kurz zuvor via ssh bemerkte war, dass die bash history gelöscht war - und ich das nicht war. ich hätte danach besser sofort das passwort geändert...
der rechner ist mittlerweile wieder oben, aber jetzt bin ich ziemlich verunsichert, ob der angreifer nicht einen prozess oder sonstiges in mein system eingebaut hat. apropos, kennt jemand den eintrag:
/sbin/xc -q
in der inittab? wer hat ähnliche probleme bei 1&1?
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: Server gesperrt wegen DOS-Attacke...
Dann solltest du das Teil besser schnellstens sehr genauen Prüfungen unterziehen, und beim kleinsten Verdacht, dass das System wirklich komprmittiert ist die Kiste neu aufsetzen lassen.der rechner ist mittlerweile wieder oben, aber jetzt bin ich ziemlich verunsichert, ob der angreifer nicht einen prozess oder sonstiges in mein system eingebaut hat.
Bis dahin ist aber erste Bürgerpflicht : Ruhe bewahren und keine Panik, wenn solche Tests überhastet gemacht werden, läuft man schneller Gefahr, etwas zu übersehen. Am besten ist also erst einmal, sämtliche "wichtigen" Passworte zu ändern, und vor allem, die Kiste im Rescue-System zu booten, denn da wird ein möglicher Angreifern weniger Angriffspunkte haben.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: Server gesperrt wegen DOS-Attacke...
Hab direkt als der Server wieder oben war, alle Serverdienste beendet, log files auf meinen lokalen Rechner geschifft und durchgeguckt.
Hab nix großartiges entdeckt, abgesehen davon das der irc-bouncer den quakenet-server scheinbar nicht erreichen konnte und ständig neue connect-versuche gemacht hat (kann man bei psybnc irgendwo einstellen, dass er 60 Sekunden oder länger bis zum nächsten Versuch warten soll ?)
Direkt danach hab ich mal den Virenscanner alles scannen lassen und er hat nen Trojaner gefunden und vernichtet.
Anschließend direkt erstmal Passwörter geändert...
Ich werde jetzt sicherheitshalber morgen nen Fax zur Server-Reinitialisierung senden. Ich wüsste allerdings gerne wie der da drauf gekommen ist....
Das wird mir auf jedenfall eine Lehre sein demnächst viel mehr auf Sicherheit zu achten...
Hab nix großartiges entdeckt, abgesehen davon das der irc-bouncer den quakenet-server scheinbar nicht erreichen konnte und ständig neue connect-versuche gemacht hat (kann man bei psybnc irgendwo einstellen, dass er 60 Sekunden oder länger bis zum nächsten Versuch warten soll ?)
Direkt danach hab ich mal den Virenscanner alles scannen lassen und er hat nen Trojaner gefunden und vernichtet.
Anschließend direkt erstmal Passwörter geändert...
Ich werde jetzt sicherheitshalber morgen nen Fax zur Server-Reinitialisierung senden. Ich wüsste allerdings gerne wie der da drauf gekommen ist....
Das wird mir auf jedenfall eine Lehre sein demnächst viel mehr auf Sicherheit zu achten...
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: Server gesperrt wegen DOS-Attacke...
Meinst du ? Je nach Trojaner ein ziemlich "mutiger" Glaube ... ;)Direkt danach hab ich mal den Virenscanner alles scannen lassen und er hat nen Trojaner gefunden und vernichtet.
1. Satz : sehr vernünftigIch werde jetzt sicherheitshalber morgen nen Fax zur Server-Reinitialisierung senden. Ich wüsste allerdings gerne wie der da drauf gekommen ist....
2. Satz : Dann sichere vorher sämtliche Logs, wenn du es genau wissen willst, erstellst du ein genaues Abbild der Platte (bzw. bestimmter Partitionen (oh sorry, ich hatte vergessen, dass 1&1 eine superüble Partitionierung gewählt hat ;) )) mit dd, und schiebst das per ssh auf eine andere Kiste.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Mir ist das Gleiche passiert....
Wie lange geht es bis 1und1 den Server wieder startet?
Ich habe die reinitialisierung gleich m,itgeschickt.
Die Logfiles habe ich zufällig vorher noch gesichert.
Wie das passieren kotte habe ich aber bisher auch nicht nicht herausbekommen.
Möglicherweise durch ein infiziertes Mailman rpm Arichiv, nach dessen Installation wurde ein Windows Virus im Mailman Verzeichnis gefunden.
Na meine Frage, wie lange braucht 1und1??
Danke
Werner
Ich habe die reinitialisierung gleich m,itgeschickt.
Die Logfiles habe ich zufällig vorher noch gesichert.
Wie das passieren kotte habe ich aber bisher auch nicht nicht herausbekommen.
Möglicherweise durch ein infiziertes Mailman rpm Arichiv, nach dessen Installation wurde ein Windows Virus im Mailman Verzeichnis gefunden.
Na meine Frage, wie lange braucht 1und1??
Danke
Werner
Restart
Hi Werner,
die Reinitialisierung ging sehr schnell, eigentlich war der Server nach 2 Stunden nach dem Fax wieder "frisch".
Aber das Prozedere bis ich 1und1 erklärte habe, dass ich nicht hinter der DoS Attacke gesteckt habe und mein Server gehackt wurde, das hat ca. 1 Woche gedauert. Angeblich kam mein Fax nicht an. Ich hatte es dann im täglich nochmal geschickt - und es ist nie angekommen. Bis ich eine Frau bei der Hotline so verrückt gemacht habe, sich an das Fax zu stellen und zu warten, bis es ankommt. Das hat dann geklappt.
Grüße!
die Reinitialisierung ging sehr schnell, eigentlich war der Server nach 2 Stunden nach dem Fax wieder "frisch".
Aber das Prozedere bis ich 1und1 erklärte habe, dass ich nicht hinter der DoS Attacke gesteckt habe und mein Server gehackt wurde, das hat ca. 1 Woche gedauert. Angeblich kam mein Fax nicht an. Ich hatte es dann im täglich nochmal geschickt - und es ist nie angekommen. Bis ich eine Frau bei der Hotline so verrückt gemacht habe, sich an das Fax zu stellen und zu warten, bis es ankommt. Das hat dann geklappt.
Grüße!
Re: Server gesperrt wegen DOS-Attacke...
Ja, das Problem ist, dass ein Anruf bei der Hotline richtig Geld kostet... Da kann man sich dann schwarz ärgern, wenn man dann 3 Mal vergeblich bei denen anruft und erfährt, dass das Fax nicht angekommen ist. Man muss natürlich trotzdem blechen.
Ja
das hast du ja sooo recht!
Ich habe mir das Anrufen bisher noch verkniffen und ein Ladung Mails verschickt. Aber ich befürchte ich werde auch noch anrufen müssen.
Klassse.......
Grüße
Uli
P.S. werde meine Erfahrungen bzw die Offlinezeit hier dokumentieren
Ich habe mir das Anrufen bisher noch verkniffen und ein Ladung Mails verschickt. Aber ich befürchte ich werde auch noch anrufen müssen.
Klassse.......
Grüße
Uli
P.S. werde meine Erfahrungen bzw die Offlinezeit hier dokumentieren
-
majortermi
- Userprojekt
- Posts: 916
- Joined: 2002-06-17 16:09
Re: Ja
Darauf darfst du gerne verzichten:werner01 wrote:P.S. werde meine Erfahrungen bzw die Offlinezeit hier dokumentieren
http://www.rootforum.org/terms.html
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...
Warum man sich an diese Reihenfolge halten sollte...