Hallo Leute,
ich brauche dringend eure Tipps. Nach 3 Jahren stabilem und sicheren Laufen wurde mein Server am Samstag gehackt und hat massiv DDoS-Attacken ins Netz rausgeschickt. Das RZ hat jetzt erstmal den Port am Router geschlossen. Morgen früh bekomm ich zwischen 8 und 9 Uhr mit einem Rescue-System zugriff drauf und kann per Chroot ins System rein und es reparieren. In dieser Zeit muss ich den Server wieder zum laufen bekommen und sicher machen.
Jetzt ist blos die Frage: Wie geh ich da am besten ran?
Welche Logs sind wichtig um herauszufinden was vorgefallen ist [IP-Addy des Hackers bekommen, Herausfinden wo die Schwachstelle war, ...]? Wie warscheinlich ist es dass der Hacker wieder den selben Server benutzt? Um 9 Uhr soll das normale System wieder hochfahren. Hab ich dann noch ein paar Stunden Zeit Firewall entsprechend anzupassen oder ist es sehr wahrscheinlich dass der Hacker gleich wieder da ist, sobald der Server da ist. Haltet ihr es für sinnvoll eine neue IP-Adresse zu beantragen und die alte lahm zu legen?
Ich hoffe auf eure hilfreichen Tipps/Links und bedank mich im Voraus!
Mit besten Grüßen und Dank, Thomas
P.S.: Beim Serversystem handelt es sich um ein SuSE 10.0.
Brauche dringend Tipps: Server wurde gehackt
Re: Brauche dringend Tipps: Server wurde gehackt
Komplettes Backup zur Beweissicherung und dann Neuinstallieren. Reparieren kann man ein kompromittiertes System nicht.thomas-worm wrote:Jetzt ist blos die Frage: Wie geh ich da am besten ran?
Re: Brauche dringend Tipps: Server wurde gehackt
Ich hoffe mal du hast den Server nicht wieder ans Netz angeschlossen bevor du eine Neuinstallation vorgenommen hast.
Ansonsten halt die ueblichen Verdaechtigen: ich wuerde bei den Apache Logs anfangen. Wahrscheinlich wurde eine Schwachstelle in einer der (PHP) Anwendungen ausgenutzt.
Ansonsten halt die ueblichen Verdaechtigen: ich wuerde bei den Apache Logs anfangen. Wahrscheinlich wurde eine Schwachstelle in einer der (PHP) Anwendungen ausgenutzt.