Jemand hatte zugriff auf meinem root.

[lennie]

Hallo,

ich habe mir vor kurzem einen root Server (debian) gemietet. Da ich selber nicht so viel Ahnung habe (ich aber umbedingt einen eigenen root benötige) habe ich es von jemanden anders konfigurieren lassen. (Die Person wurde mir empfohlen).

So langsam habe ich aber das gefühl das er sich da selbst was installiert hat (zwischen 1-2 uhr hab ich immer den meisten Traffic).

Wie soll ich jetzt am besten vorgehen? Ich habe bis jetzt nur das rootpw geändert.

grüße lennie

[cosmicboy]

Wenn man überhaupt keine Ahnung von der Materie hat, sollte man auch keinen Root-Server mieten bzw. dies von jemanden machen lassen, den man kennt und vertraut. Letzen Punkt hast du ja erfüllt.

Um wieviel Traffic handelt es sich denn?

Und warum sprichst du den Bekannten nicht einmal darauf an, statt direkt gegen ihn zu arbeiten?

[lennie]

Wenn man überhaupt keine Ahnung von der Materie hat, sollte man auch keinen Root-Server mieten bzw. dies von jemanden machen lassen, den man kennt und vertraut. Letzen Punkt hast du ja erfüllt.

Dies ist ja nicht mein erster Root. Derjenige hatte mir schonen einen Server vor 6 Monaten eingerichtet und der läuft bis jetzt immernoch perfekt.

Um wieviel Traffic handelt es sich denn?

Es sind ca. 200MB pro Std (und der Server ist fast gar nicht mehr Erreichbar). Zur Hauptzeit sind es gerade mal 80mb pro Std.

Und warum sprichst du den Bekannten nicht einmal darauf an, statt direkt gegen ihn zu arbeiten?

Weil ich ihm seit gestern nicht mehr vertraue. Ich hatte mich mit ihm unterhalten und das Gespräch ist sehr merkwürdg verlaufen. Als ob er genau wüßte was da los ist.

lg
lennie

[chris76]

Es sind ca. 200MB pro Std (und der Server ist fast gar nicht mehr Erreichbar). Zur Hauptzeit sind es gerade mal 80mb pro Std.

Backup??

[wgot]

Hallo,

Derjenige hatte mir schonen einen Server vor 6 Monaten eingerichtet und der läuft bis jetzt immernoch perfekt.

hat Dein Helfer die Server nur eingerichtet, oder auch regelmäßig gepflegt?

Ich hatte mich mit ihm unterhalten und das Gespräch ist sehr merkwürdg verlaufen. Als ob er genau wüßte was da los ist.

Wenn er nur einmalig eingerichtet hat aber danach nichts mehr an den Servern gewartet wurde wissen wir auch, was da los ist. :oops:
Kann es sein, daß der Helfer das angedeutet hat?

Rootserver brauchen regelmäßige Betreuung; Kontrolle der Logfiles und Updates. Nur Einrichten lassen und dann rennen lassen ist zu wenig.

Wie weit geht Deine Ahnung, macht es Sinn wenn Du versuchst das Problem zu analysieren und ggf die Kiste neu einzurichten mit Google und Forum als Hilfe? Wenn nicht bleibt letztlich nur die Suche nach einer neuen Vertrauensperson.

Gruß, Wolfgang

[sledge0303]

Ich würde vor allem nachsehen, ob noch ein anderer User mit Rootrechten eingerichtet wurde. Diesen dann asap entfernen und, wie Wolfgang schon schrieb, eine neue Vertrauensperson suchen!

[outofbound]

Ich würde vor allem nachsehen, ob noch ein anderer User mit Rootrechten eingerichtet wurde. Diesen dann asap entfernen und, wie Wolfgang schon schrieb, eine neue Vertrauensperson suchen!

Was einem Angreifer oder "Besetzer" gleich sagt da er erwischt wurde und er die anderen Massnahmen die er besser versteckt hat aktivieren kann?

Erstmal Füsse still halten, und sich jemanden holen der sich damit auskennt. Dann kann man schauen was es ist. Sollte der Verdacht begründet sein kann dieser dann die Kiste dicht machen und neu aufsetzen.

Gruss,

Out

[lennie]

Danke für eure Antworten. Ich habe nochmal den Traffic mit meinen Counter verglichen und es deckt sich eigentlich. D.h. ich habe wirklich im 2 Uhr nachts mehr Traffic (botnet).

Mir ist jetzt aber klar geworden das ich mich damit beschäftigen muss wenn ich weiterhin mit meinen Seiten Erfolg haben will.

Kann mir einer Tipps geben wie ich das am besten lernen kann? Wie fange ich am besten an?

lg lennie

[miker]

Kann mir einer Tipps geben wie ich das am besten lernen kann? Wie fange ich am besten an?

Stell dir zuhause einen alten Rechner hin und spiel das Betriebsystem deiner Wahl auf (Alternativ benutze VMWare).
An dem System kannst du dann üben, ohne das Risiko zu haben über eine 100MBit-Leitung Spam in die Welt zu blasen etc.
Dann schaust du dir am Besten mal diesen Thread an, du wurden einige interessante Bücher für den Einstieg genannt.

[lennie]

Hi, danke für den Tip. Habe mir heute das buch bestellt.

Ich habe noch ein kleines Problem. Der apache geht ab und zu aus. Daraufhin habe ich mal bei Webmin in die Cornjobs geschaut.

/etc/cron.daily/find
/etc/cron.daily/modutils
/etc/cron.daily/standard
/etc/cron.daily/netkit-inetd
/etc/cron.daily/man-db
/etc/cron.daily/sysklogd
/etc/cron.daily/exim4-base
/etc/cron.daily/logrotate
/etc/cron.daily/bsdmainutils
/etc/cron.daily/mysql-server-41
/etc/cron.weekly/man-db
/etc/cron.weekly/sysklogd
/etc/cron.monthly/standard
/etc/cron.monthly/proftpd

[ -d /var/lib/php4 ] && find /var/lib/php4/ -type f -cmin +$(/usr/lib/php4/maxli ...

/etc/init.d/apache2 restart

Kann mir einer kurz erklären was die letzten zwei bedeuten?
lg
lennie

[duergner]

Besorg dir endlich einen Admin fuer die Kiste der weiss was er tut. Ein Server der mit 100MBit ans Internet angeschlossen ist, ist nicht dazu geeignet zu lernen und auszuprobieren. Und Webmin ist auch nicht dazu geeignet einen solchen Server zu administrieren!