Server gehackt, was war schuld?

[Anonymous]

Hallo,

ich habe gerade über Google das Board hier gefunden und da ich schon mal viel Infos durch euer Forum sammeln konnte, wollte ich mal ein Szenario vortragen, was mir vor 3 Tagen passiert ist. Mir wurde der Server zum Teil gelöscht und das schlimmste ist für mich, dass ich 0 Ahnung habe, wie das passiert sein könnte.

Wir betreiben auf unserem Root eine Homepage, wo wir Xampp benutzt haben. Da ich davon ausgehe, dass Apachefriends ihr Handwerk verstehen fühlte ich mich damit auch immer recht sicher.

Nun war es kurz vor mitternacht und mitmal schrieb mich einer an, dass unsere Userpics der Homepage fehlten. Ich dachte mir nichts dabei, spielte sie wieder auf und wollte in die Datenbank gehen um dort nachzuschauen, wer jetzt etwas gemacht hat, da wir ein Logscript laufen haben.

Dort angekommen, stellte ich fest, dass die Datenbank sauber gelöscht worden war. Sämtliche DBs der Datenbank hatten 0 Einträge. Auch die Datenbanken, die nichts mit der Homepage zu tun hatten.

Nun beendete ich Xampp und musste erstmal tief schlucken, da unsere gesamte Page mal ebend so weg war. Ein starten war nicht mehr möglich, da wohl einige Dateien fehlten. Auch andere projekte wurden komplett vom Server gelöscht. Nun dachte ich mir ja, dass wäre nicht das Problem, denn es hat ja bei Xampp alles einen Benutzer.

Aber mein puttylogin ging auch nicht mehr, da ich aber noch eingeloggt war mit WinSCP sah ich mir die Ordner an und einige wurden gelöscht (z.b. /bin) vom Rootserver.

Nun ist alles im Eimer, alle Daten sind weg und das leider für immer

Nun stehe ich aber noch vor der großen Frage, wie war das möglich? Wenn ein Script eine Sicherheitslücke hat, dann kann er ja sicher die Page löschen, aber wie bekam er den Hauptlogin für die Datenbank.

Kann man ein sogenanntes "Rootkit" auch per PHP/HTML einspielen?

Und war das ein gezielter Angriff oder gibt es hier irgendwie Leute, die Server mit sicherheitslücken Scannen und wir wurden zufällig ausgewählt?

[tcs]

Hi,

tut mir sehr leid mit Deinem Server!

Ein paar Gedanken dazu:

XAMPP ist kein Server den man produktiv laufen läßt. Ehrlich gesagt würde ich ihn nichtmal als Testumgebung nutzen da es einige Unterschiede in der Konfiguration gegenüber einem produktiven Apache mit PHP und mySQL gibt.
XAMPP ist für "schnelle unwichtige Testchen zwischendurch" gedacht, man bekommt im Handumdrehen eine "funktionierende" Umgebung. Sicherheitstechnisch ist dies jedoch mehr als bedenklich, daher auch mein Hinweis oben.

Daß Du dieses Paket auf Deinem Server eingesetzt hast läßt weiters den Schluß zu daß Du Dich vorher nicht eingehend mit der Materie, mit der Administration von *NIX Systemen befaßt hast. Daher sollte jemand wie Du auch nicht einen rootserver administrieren, und Du solltest ehrlich gesagt froh sein daß (noch?) nicht mehr passiert ist als der Datenverlust. Das ist auch gleich der nächste Punkt... mit einer wohlüberlegten Backupstrategie wären die Daten seit x Stunden zum Teufel, mehr nicht. Auf keinen Fall wäre alles zum Teufel.

Ich hoffe ich hab den Sachverhalt halbwegs human formuliert, grundsätzlich könnte man von einem grandiosen Mißverständnis was Verantwortung und Fachwissen betrifft sprechen. Ich würde empfehlen einige Stufen zurückzugehen und auch anhand einiger Links Dein Basiswissen zu erweitern.

Nochmal, herzliches Beileid, nimm's als Gelegenheit Dir nötiges Wissen anzueignen.

Cheers

tcs

Links:
http://www.rootforum.org/forum/viewtopic.php?t=5248
http://www.rootforum.org/forum/viewtopic.php?t=2176
http://www.linuxfibel.de/
http://www.debianhowto.de/

[Anonymous]

Erstmal danke für die Antwort. Deine Links werde ich mir gleich ansehen.

Ich sag mal ehrlich, ja ich bin noch ein Anfänger, aber ich lese halt, seitdem ich das Teil habe recht viel dazu und versuche, sowas auch zu lernen.

Ich, bzw. wir waren geblendet von dem Satz: "Nimm Linux, dass ist sicher!". Nun lese ich Sachen wie "Rootkit" und stelle fest, dem ist ja nicht so.

Vor einigen Wochen fehlte bei uns ein Ordner vom Call of Duty Ordner, ich dachte dort, wird wohl irgendwie via Server dran gekommen sein und es ist ja nicht der Root zugriff. Also sämtliche Prozesse hatten ihren eigenen Benutzer.

Wenn ich mir hier einige Sachen durchlesen, hätte ich vermutlich dort schon "Das System neu aufsetzen sollen".

Mal ebend schnell ein paar Fragen, die mir in den Sinn kommen:

- Kann man den Root per HTML und PHP eingaben in den Homepage Formularen killen. (Vorstellen könnte ich mir sowas durchaus, wie schütze ich mich dann vor sowas?)

- Könnte jemand, der nett ist und einen Server stellt, den ich via FTP auf den Server hole, nicht auch böse Kits direkt auf mein Server laden. (Ich würde mal vermuten, dass wird 100 % möglich sein)

- Wenn ich einem User zugriff für sein Spiel gebe, und er dann mit den Daten einloggen kann, kann er dann auch ein Rootkit einschleusen, ohne Rootrechte. (Da würd ich auch mal vermuten, dass es geht, da mein Rootzugang niemand kannte ausser ich und mit ihm auch nichts gestartet worden ist.


EDIT: OH MEIN GOTT, wenn ich mir jetzt mal so Sachen überlege und auch mein Fall ansehe, müsste ich mich ja nicht mal wundern, wenn die Polizei vor meiner Tür steht und ich beschuldigt werde, irgendwas gehackt zu haben. Das dürfte ja kein Problem sein, wenn er Rechte zu meinem Root hat.

[tcs]

Wenn ich mir hier einige Sachen durchlesen, hätte ich vermutlich dort schon "Das System neu aufsetzen sollen".

Ja, man sollte - falls die Möglichkeit besteht - die gecrackte Festplatte für Offlinediagnose ausbauen und von 0 anfangen, so schnell wie möglich.
Dazu auch dieser Link:
http://www.rootforum.org/forum/viewtopic.php?t=7801

- Kann man den Root per HTML und PHP eingaben in den Homepage Formularen killen. (Vorstellen könnte ich mir sowas durchaus, wie schütze ich mich dann vor sowas?)

Per HTML dürfte so etwas eigentlich nicht gehen, nahezu 100% solcher Cracks bauen aber sowieso auf meistens unsichere PHP Scripts auf.
Häufig werden in solchen Code Systembefehle eingeschleust die Programme von irgendwo laden und so versuchen dem ausführenden Benutzer root-Rechte zuzuschustern. Mal ganz grob beschrieben

- Könnte jemand, der nett ist und einen Server stellt, den ich via FTP auf den Server hole, nicht auch böse Kits direkt auf mein Server laden. (Ich würde mal vermuten, dass wird 100 % möglich sein)

Auf Servern hab ich keine Freunde. Traurig aber sicher

- Wenn ich einem User zugriff für sein Spiel gebe, und er dann mit den Daten einloggen kann, kann er dann auch ein Rootkit einschleusen, ohne Rootrechte. (Da würd ich auch mal vermuten, dass es geht, da mein Rootzugang niemand kannte ausser ich und mit ihm auch nichts gestartet worden ist.

s.o.

Fahr am besten den Server sofort runter und sichere - falls möglich - via Rescuesystem o.ä.
Dann eine komplett neue Installation anwerfen - nach eingehendem Studium des Themenbereiches *NIX Administration.

Viel Erfolg :-)

Cheers

tcs

[Anonymous]

Ich habe den Server gemietet gehabt. Dort habe ich nachdem das passiert ist, sofort die Kiste vom Netz nehmen lassen.

Auf das Thema, Daten retten, die noch da sind, wollte er nicht eingehen. Selbst auf meine Logdateien, damit ich ebend vielleicht ein Anhaltspunkt habe, wie das passiert sein könnte, ist er nicht eingegangen.

Er bot nur eine Möglichkeit an: Neuinstallieren gegen 30 Euro bezahlung.

Ich habe darauf den Server sofort gekündigt und werde mir einen neuen Server mieten. Dort habe ich schon mal 2 GB FTP Speicherplatz, wo ich meine Daten doch per Cronjob sichern könnte.

Jetzt noch mal eine Frage zum Lücken ausbessern. Ich nutze debian. Dort kann ich doch per apt-get Updates an der Kiste durchführen. Würden die z.b. Sicherheitslücken schließen, die im Debian aufkommen?

[darkman]

Ich habe darauf den Server sofort gekündigt und werde mir einen neuen Server mieten.

*TOEEEEEEEEEEEEET* Falsch *rotes Licht aufblinken seh*
Merkst Du eigentlich nicht wo das echte Problem gelegen hat?
tcs hats extra freundlich formuliert und so..

[tcs]

Ja, wenn diese Sicherheitslücken in den deb Packages liegen und nicht in deren Konfiguration

Sicherheitstechnisch sind da dann aber noch längst nicht alle sinnvollen Maßnahmen getroffen glaube ich. Zum Beispiel /var und /tmp auf eigenen Partitionen, mit entsprechenden Optionen gemountet, PHP Zugriffe/Berechtigungen einschränken/steuern etc.

Du siehst, da sind etwas tiefgehendere Konfigurationen notwendig, schau Dir das unbedingt vor dem nächsten produktiven System zu Hause auf einem alten Rechner an.

Cheers

tcs

[niemand]

*TOEEEEEEEEEEEEET* Falsch *rotes Licht aufblinken seh*
Merkst Du eigentlich nicht wo das echte Problem gelegen hat?
tcs hats extra freundlich formuliert und so..

Ich habe das so interpretiert, dass ihn sein Provider nicht mehr an die Daten seines Servers lässt. In dem Fall würde ich auch sofort kündigen und mir einen anderen suchen.

cu

[darkman]

Hi,

ja, der Provider ist scheinbar auch scheisse... aber:
Das Ursprungsproblem war ein gehackter Server aufgrund von fehlendem
Wissen. Nun einen anderen Server mieten macht genau das nicht wett.
Darum gings mir.

[wgot]

Hallo,

Dort habe ich schon mal 2 GB FTP Speicherplatz, wo ich meine Daten doch per Cronjob sichern könnte.

wenn Du die Sicherung per Cronjob machst müssen die Zugangsdaten für den Backupspace im Backupscript stehen. Damit hat sie auch der Einbrecher und der Backup ist kein brauchbarer Backup mehr.

Gruß, Wolfgang

[isotopp]

Jetzt noch mal eine Frage zum Lücken ausbessern. Ich nutze debian. Dort kann ich doch per apt-get Updates an der Kiste durchführen. Würden die z.b. Sicherheitslücken schließen, die im Debian aufkommen?

Ã?hm, verstehe ich das richtig: Ihr habt einen Dedi selber administriert, ohne

- regelmäßig Fixes und Updastes einzuspielen
- ein Backup zu machen
- eine Idee zu haben, was um Euch rum so passiert?

Habt Ihr schon mal darüber nachgedacht, was gemanagtes zu kaufen? Die paar Euro im Monat mehr sind sicherlich gut angelegt.

[christian-wf]

Hallo VeschperMojo,
setzt Du PHPBB auf dem Server ein? Da gab es in der letzten Zeit wieder teilweise ganz üble Sicherheitslöcher. Also wenn Du soetwas ensetzt, würde ich nach der Neuinstallation des Servers auch die neueste Version von PHPBB installieren und z.B. die wid-Kurzinfo Mailingliste des BSI http://www.bsi.de/certbund/infodienst/index.htm abonnieren. Dort erfährt man von solchen Bugs üblicherweise sofort nach deren Entdeckung und kann dann die Patches installieren. :!:

Viele Grüße Christian