Server wurde gehackt - Verhindern?

[set-chan]

Hallo allerseits!

Ich gebe zu, ich arbeite mich erst in die Materie ein, von daher war es wahrscheinlich ein Leichtes meinen root Server bei 1&1 zu knacken. Ich würde mich freuen, wenn mir jemand sicherheitsrelevante Tipps geben kann, um einen erneuten Angriff zu verhindern.

Letzte Woche Montag versuchte ich via Web auf eine meiner Seiten zuzugreifen, musste aber feststellen, dass "die gewünschte Datei nicht auf dem Server zu finden" war. Ferner bekam ich bei weiteren Zugriffsversuchen die "hier entsteht eine neue Internetpräsenz" Anzeige. War klar, dass da jemand dran war. Als ich bei Putty nachsah konnte ich feststellen, dass jemand in dieser Nacht online war, undverschiedene Dinge ausgeführt hat. Das hier konnte ich in den bash History finden:

Code: Select all

dir
cd psa
dir
cd psa_7.5.2
cd PSA_7.5.2
dir
cd  rpm_SuSE_9.1
dir
cd base
dir 
cd
dir
yast

Beim Support riet man mir sofort den Server komplett platt zu machen. Bin gerade dabei.

Kann mir jemand sagen, was genau dieser jemand da versucht haben könnte, bzw. wie ich einen erneuten Zugriff verhindern kann.

Vielen Dank im Voraus! :-)

Jenny

[dodolin]

http://www.google.de/search?q=psa+rootkit

[captaincrunch]

Ich find's jedes Mal auf's neue erschreckend, dass gerade diejenigen Kiddies, die nicht einmal elementare Unix-Kommandos beherrschen einen Server 0wn3n... :?

Hoffentlich hast du dir auch sonstige Logs aufgehoben...

[set-chan]

:( Danke. Ich hatte mir hier nur ein paar Antworten und Tips herhofft...
Ich weiß im nachhinein, dass es Nonsens ist, einen eigenen Server zu halten, wenn man nicht in der Materie ist.

Find ich ein bissl unfair.

Aber danke fürs Kiddies; da weiß ich ja bescheid.

[chris76]

:( Danke. Ich hatte mir hier nur ein paar Antworten und Tips herhofft...

Sicherheit ist kein Zustand, daher kann man das nie pauschal sagen was Du verändern hättest sollen. Vor allem hängt es auch stark von den verwendeten Programmen ab!

Ich weiß im nachhinein, dass es Nonsens ist, einen eigenen Server zu halten, wenn man nicht in der Materie ist.

Aja und daraus gelernt oder nicht?

Find ich ein bissl unfair.

.

Aber danke fürs Kiddies; da weiß ich ja bescheid

Du hast den Satz von CaptainCrunch wohl nicht verstanden?!
Das hat er IMHO daraufbezogen das der eindringling den Befehl dir verwendete!

[schl]

Hast Du Deinen Server wenigsten schon runtergefahren, damit er auf die Kündigung des Vertrags warten kann, ohne DIR und uns zu schaden :?:

[mausgreck]

Ich find's jedes Mal auf's neue erschreckend, dass gerade diejenigen Kiddies, die nicht einmal elementare Unix-Kommandos beherrschen einen Server 0wn3n... :?

Wirklich unglaublich. Wohl auch noch nichts von "unset HISTFILE" gehört.

[kawfy]

Das hier konnte ich in den bash History finden:

Code: Select all

dir
cd psa
dir
cd psa_7.5.2
[...]
yast

Kann mir jemand sagen, was genau dieser jemand da versucht haben könnte, [...]

In /root/psa liegen die RPMs von Plesk nach einem Update drin. Jemand hat sich das oberflächlich angeschaut und dann Yast aufgerufen ...
Das hilft dir aber nicht weiter, den Server sicher zu machen oder um überhaupt herauszufinden, wie derjenige da rein kam.

[set-chan]

@ CaptainCrunch Wenn das so ist, entschudlige ich mich natürlich dafür. Tut mir leid, war ein klares Missverständnis meinerseits. War sowieso ein bisschen aufgebracht wegen der ganzen Sache und habe das wohl in diesem Moment falsch verstanden. :(

Ich habe gestern eine ganze Reihe logs gefunden, in denen man seinen/ihren Weg verfolgen kann.

@ chris76 Danke, dass Du das geklärt hast. Wie oben gesagt: voll falsch verstanden. Oh ja, gelernt habe ich daraus...

@ sCHL Das lass mal meine Sorge sein. Bin ja brav und werd nicht mehr nerven. :roll:


Danke @ kawfy. Wie gesagt, habe noch mehr Logs retten können.

Nur noch eine Frage hätte ich: Wenn der Rechner im Rescue System ist, ist kein Webserver, FTP-Daemon etc aktiv. Ich nehme an, das gleiche gilt auch für mysql? Da sich der Rechner im normalen Modus nicht mehr booten lässt, ich aber gerne noch ein Backup einer DB gemacht hätte, ist glaube ich auch ein client nicht weiter Hilfreich. Hat da jemand eine Idee oder einen Link, den er mir posten kann? Vielen Dank... :|

[Joe User]

man mount
man chroot

[tcs]

Achtung:
wenn der Verdacht besteht daß ein System kompromittiert wurde (vulgo hacked) sollte man tunlichst davon absehen auf den produktiven Partitionen IRGENDWAS zu starten. Und chroot startet bekanntlich eine - möglicherweise veränderte - Shell. In diesem Fall das System runterfahren und in dieser Form _nie_ wieder booten. Rescuesystem, Images machen, runterladen und auf einem anderen System zu Hause einspielen und testen/untersuchen. Nennt sich forensische Analyse, google eröffnet einem hier ungeahnte Möglichkeiten.
Nochmal:
Wenn der leiseste Verdacht besteht daß in ein System eingebrochen wurde sofort runterfahren und kein einziges Binary dieser Installation ausführen.

Cheers

tcs

[set-chan]

@ Joe User Danke

@ tcs Danke auch für diesen wichtigen Hinweis. Als klar wurde, dass jemand am System rumgespielt hat, wurde er sofort in den Rescue gesetzt. Das Problem hatte sich direkt erledigt, weil er gar nicht mehr im normalen Modus bootet. Via WinSCP habe ich bereits die vhosts soweit sichern können, aber die DB's fehlen noch. Danke nochmal.