Server gehackt / Datapool 3.3

Post by **menzechristian** » 2006-10-05 14:19

Hallo mein Server ist leider von jemandem in beschlag genommen worden . Wie kann ich rausfinden wie er reingekommen ist ? Ich habe einige Verzeichnisse gefunden und brauche mal hilfe wie ich die Progs wieder deinstallieren kann.

Gefunden :
Datapool V 3.3
SSHD

Wie lautet der Befehl um alle Dateien von einem Benutzer anzeigen zu lassen ? Danke für eure Hilfe.

Post by **cat** » 2006-10-05 14:29

menzechristian wrote:Hallo mein Server ist leider von jemandem in beschlag genommen worden . Wie kann ich rausfinden wie er reingekommen ist ?

Server im Rescue Mode starten und Logfiles sichern und auswerten

menzechristian wrote:Ich habe einige Verzeichnisse gefunden und brauche mal hilfe wie ich die Progs wieder deinstallieren kann.

Gefunden :
Datapool V 3.3
SSHD

Server am besten neuinstallieren, wenn die Cracker bereits so weit gekommen sind, bekommst Du das System nie mehr sicher ...

menzechristian wrote: Wie lautet der Befehl um alle Dateien von einem Benutzer anzeigen zu lassen ? Danke für eure Hilfe.

Code: Select all

man find

.. aber ich will mal net so sein

Code: Select all

find -user [u]uname[/u]

wobei uname die UID ist ;)

ansonsten ist das ein sinnloses unterfangen, wer sagt Dir, dass der Cracker das alles unter _einem_ Usernamen abgelegt hat?

regards
Cat

Post by **menzechristian** » 2006-10-05 14:42

thx ,
werde neu installieren, mal schaun was log files so bringen.

Post by **bad_brain** » 2006-10-05 15:25

...und bei der neuen installation am besten gleich Snort und Tripwire mit draufpacken, dann hast du beim nächsten mal (nicht dass ichs dir wünsche) bessere karten weil du dann die kompromittierung eventuell schon im frühstadium abfangen kannst..

Post by **Joe User** » 2006-10-05 15:35

Das Komprimmitieren eines 08/15-Servers dauert nur wenige Sekunden, da helfen eventuelle Warnmeldungen von Snort, Tripwire und Co herzlich wenig. Solche Tools können höchstens bei der nachträglichen Analyse helfen, sofern deren Logs auf einem externen und sauberen Server geschrieben werden...

Post by **bad_brain** » 2006-10-05 16:15

hehe...stimmt schon, allerdings bringt dann in so einem fall das neu installieren auch nix da der server dann wieder mit runtergelassenen hosen dasteht, ne gute grundkonfiguration ist also auf jeden fall mal voraussetzung..

nachträgliche analyse (welche snort und tripwire ja zweifellos sehr vereinfachen) ist ja wohl unverzichtbar, ansonsten besteht ja die gefahr dass die lücke welche genutzt wurde beim nächsten setup wieder offen ist...ohne diese infos kann das ganze zum ratespiel werden.

Post by **captaincrunch** » 2006-10-05 18:02

welche snort und tripwire ja zweifellos sehr vereinfachen

...sofern man die Tool richtig nutzen, und deren Ausgabe auch wirklich deuten kann: Ja.

Post by **lord_pinhead** » 2006-10-05 18:07

Für solche Fälle sollte man wenigstens eine MD5 oder SHA1 Summe zur Hand haben wenn man wissen will was verändert wurde. Bringt allerdings nix wenn man das einfach auf der Kiste ablagert, und auch nur im Rescuemode etwas, da ja md5sum/sha1sum verändert werden konnte, oder gar mit Rootkit der Systemaufruf umgelenkt. Tripwire und Co. kann man ja auch erblinden lassen mit einem guten Rootkit ;)

An sich ist es mir relativ egal was der Cracker aufgespielt hat, ich würde eher gern wissen worüber er ins System kam, Stichwort Syslog Server ;) Sofern der Cracker nicht sowas wie shred für die Logfiles verwendet hat, kannst du vielleicht mit The Coroners Toolkit ein Abbild der Partition erstellen wo deine Logfiles liegen und dann versuchen die Daten wiederherzustellen.

RootForum Community

Server gehackt / Datapool 3.3

Server gehackt / Datapool 3.3

Re: Server gehackt / Datapool 3.3

Re: Server gehackt / Datapool 3.3

Re: Server gehackt / Datapool 3.3

Re: Server gehackt / Datapool 3.3

Re: Server gehackt / Datapool 3.3

Re: Server gehackt / Datapool 3.3

Re: Server gehackt / Datapool 3.3