wurde Server gehackt ?? kein Zugriff auf Webseiten mehr...

[nordisch25]

Hallo Leute

- diesmal hat es mich wohl schwer erwischt. Ich habe heute per ftp ein neues Verzeichniss angelegt (im Document root) - plötzlich kann ich nicht mehr per ftp durch den Verzeichnissbaum wechseln. Ich versuche also mich neu einzuloggen, was auf einmal nicht mehr möglich ist. (Login failure, so quitting) Weiterhin erhalte ich plötzlich beim Aufruf von http://www.meine-domain.com die Meldung Forbidden - die Datei index.html existiert - die Rechte haben sich nicht geändert, allerdings erhalte ich diese Meldung auch wenn ich eine Datei angebe, die garnicht existiert. Kann man den Apache total nach aussen abschotten ?? Was ist pasiert - reicht es wenn ich das rootpaswort auf der shh -shell ändere oder muss ich das auch im Confixx machen ?? Viele Fragen - wäre sehr glücklich wenn mir einer bei den Widerbelebungsversuchen hilft.. Danke Euch Gruss Niels

[jamesb]

Du solltest dich auf alle fälle mal als root per ssh einloggen und überprüfen, ob sich etwas an deiner System-Config geändert hat, also ob z.B. die Platte mehr belegt ist als vorher, ob weitere User angelegt wurden o.ä.
Auch ganz wichtig ist, dass du deinen Traffic überprüfst...
Und im Notfall dann den Server im Rescue-System starten.

Wenn du dann ausschließen kannst, dass du gehackt wurdest, stimmt was anderes nicht, ist allerdings trozdem komisch, was du da beschreibst.

JamesB

[nordisch25]

So Sicher bin ich mir auch nicht, aber es ist kein Traffic entstanden und neue Nutzer wurden auch nicht angelegt. Merkwürdigerweise kann ich mich aber nicht per FTP einloggen und die Startseite des Webservers ist weiterhin nicht zu erreichen (Forbidden) - Wer weiss welche Gründe (ausser Rechtervergabe der Dateien) der Apache noch haben kann die Seite nicht auszuliefern ??

[[tom]]

Was sagen die Error Logs?

Ist es wirklich Dein Rechner? Wenn ein 2. Rechner mit Deiner IP im gleichen Subnet existiert und schneller antwortet, hast Du u. U. das von Dir beschrieben Phänomän.

[TOM]

[nordisch25]

Hi Tom - der Server steht bei puretec und ich kann mir nicht vorstellen, dass die dort die IP doppelt vergeben. (Geht ja auch garnich) Ich würde nur gerne wissen WARUM der Apache Forbidden meldet - welche anderen Gründe als die Zugriffsrechte der Verzeichnisse und Dateien kann es denn noch geben ?? Warum tut es FTP auch nicht mehr ?? Wo kann ich den reboot (secure) strarten ??

Danke euch

[scythe42]

Du solltest dich auf alle fälle mal als root per ssh einloggen und überprüfen, ob sich etwas an deiner System-Config
JamesB

Niemals root login via ssh erlauben! Immer schön brav mit nem User und dann su machen! Nur als kleiner Reminder an den Rest....

[nordisch25]

In /var/log/kttpd/error_log steht geschrieben :
[notice] suEXEC mechanism enabled
[error] Directory index forbidden by rule /home/www/web2/html

--> Den Nutzer web2 hab ich gestern angelegt aber jetzt wieder gelöscht...
was für eine rule kann das sein ??

Danke

[oxygen]

Du kannst du in confixx einstellen, ob der Verzeichnisinhalt angezeigt wird. In diesem Fall ist es wohl abgeschaltet.

[[tom]]

Hi Tom - der Server steht bei puretec und ich kann mir nicht vorstellen, dass die dort die IP doppelt vergeben.

So lange da Menschen arbeiten, kann ich mir das sehr gut vorstellen. Auch Puretec ist nicht fehlerfrei. Sowas kann auch durch ein Restore passieren, bei dem eine andere IP gesichert wurde.

(Geht ja auch garnich)

Und warum geht das nicht?

[TOM]

[nordisch25]

He Tom - wenn ich den Server resette ist er nicht mehr zu erreichen, dh. Die Webseite wird nicht gefunnden und ein ssh.login ist auch nicht möglich also gehe ich davon aus, dass es sich um den richtigen Server handelt. Was ich immer noch nicht verstehe - warum bekomme ich einen Fehler 403, wenn ich keine .htaccess verwende ??

[[tom]]

warum bekomme ich einen Fehler 403, wenn ich keine .htaccess verwende ??

Weil 403 nichts mit der .htaccess zu tun haben muß. Wenn Du kein DirectoryIndex und kein "Optiosn +Indexes" angegeben hast, kommt die Fehlermeldung auch. Oder wenn Du eins angegeben hast, aber keins der gelisteten Files existiert.

[TOM]

[[monk]]

... dass die dort die IP doppelt vergeben. (Geht ja auch garnich) ...

Na ja da würde es im Netzwerk einen Konflikt geben das stimmt schon. Letztendlich darf nur einer dieselbe IP haben.

Aber ein nettes Beispiel dazu, was man heutzutage alles machen kann:
gegeben sind 3 Server.

Server 2. bekommt die IP von Server 1.
Server 3 schickt server 1. Müll-Daten so dass Server 1. ausgelastet ist.

Es kommt eine Anfrage von einem 4. Server oder einem Client. Server 2 antwortet schneller als Server 1, da Server 1 mit Server 3 beschäftigt ist.

Und schon bekommt Server 2 die tollen (evtl. streng geheime ? ) Daten.

[nordisch25]

He Monk - sicher auch mal interressant drüber nachzudenken :-D

Allerdings muss ich mich bei euch entschuldigen - ich weiss nicht warum aber beim Verzeichniss web1 fehlte plötzlich das x zum Ã?ffnen - es ist schon erstaunlich wie lange einen sowas beschäftigen kann ...

Trotzden danke ich euch allen für eure Hilfe ..

[msgbeep]

Niemals root login via ssh erlauben! Immer schön brav mit nem User und dann su machen! Nur als kleiner Reminder an den Rest....

Hmm warum denn nicht ?
Wenn man an dem Remote Host einen Sniffer ansetzt, bekommt man auch das Root Passwort, weil alles was über ssh geht auch per Sniffer erfassbar ist. Jaja, ssh ist sicher. Wer glaubt das DES oder 3DES oder RSA oder sonstige alte Verfahren sicher sind, der irrt garantiert nich ...

msgbeep

[[monk]]

Niemals root login via ssh erlauben! Immer schön brav mit nem User und dann su machen! Nur als kleiner Reminder an den Rest....

Hmm warum denn nicht ?
Wenn man an dem Remote Host einen Sniffer ansetzt, bekommt man auch das Root Passwort, weil alles was über ssh geht auch per Sniffer erfassbar ist. Jaja, ssh ist sicher. Wer glaubt das DES oder 3DES oder RSA oder sonstige alte Verfahren sicher sind, der irrt garantiert nich ...

Nichts ist heutzutage sicher. Aber auf diesem Weg muss man schon zwei Passworter eingeben, um root-rechte zu erlangen. Und letztendlich kann man sein system nicht sicher machen, man kann es jemanden der ins system will nur schwerer machen

[[tom]]

Hmm warum denn nicht ?
Wenn man an dem Remote Host einen Sniffer ansetzt, bekommt man auch das Root Passwort,

Es geht dabei nicht um Sniffen. Bei SSH werden Passwörter ja uch nicht per DES vershlüsselt übertragen.

Wenn Du root Login verhinderst, muß ein Angreifer erstmal einen existierenden User kennen/finden. Dieser muß dann auch noch Shell Zugang haben und von dem muß dann zuerst das Passwort geknackt werden.

[TOM]

[distanzcheck]

wie legt man den nen user an mit root rechten ?

Dirk

[captaincrunch]

Wer glaubt das DES oder 3DES oder RSA oder sonstige alte Verfahren sicher sind, der irrt garantiert nich ...

Sicher snd diese Verfahren bestimmt nicht. Du kannst aber davon ausgehen, dass der heutige "Standard-Cracker" immer noch nicht die nötige Rechenleistung hat, das zu knacken. Die Sicherheitslücken, die es in letzter Zeit bei SSH gab bezogen sich jedenfalls nicht auf unsichere Algorithmen, sondern auf die Implementierung dieser ...
Btw. : SSH 2 verschlüsselt normalerweise AES ...

wie legt man den nen user an mit root rechten ?

Mit useradd. Du verpasst dem User nur eine User-ID 0