CaptainCrunch wrote:Lord_Pinhead: Deine Mühen bzgl. Tips zum "bereinigen" von geknackten Systemen in allen Ehren, nur finde ich es besonders in diesem Fall grob fahrlässig, die Kiste nicht komplett neu aufzusetzen...was in den allermeisten Fällen auch von der Gerichtsbarkeit so gesehen werden wird.
Btw.: Schau dir vielleicht mal die aktuelle Beta vom SuckIT an, das ist mittlerweile (leider) als schon mehr als Scriptkiddie-tauglich anzusehen. :(
Sory, aber auch wenn ich mich mittlerweile seit ein paar Jahren mit ebensolchen Dingen auseinandersetze, würde ich eine solche Aktion ("alles neu dank erfolgreichem Angriff") als Lehrgeld sehen, und mit einem vollkommen frischen System anfangen. Umso mehr Zeit ist dann auch, das Sicherheitskonzept noch mal genau zu überdenken...sofern es in diesem Fall überhaupt vorhanden ist/war. :roll:
Lord_Pinhead wrote:
Sichere deine Daten (auch alle logs) und veranlassen eine neuinstallation
Die anderen Sachen sind nur ein Weg die veränderten Daten zu sichern als Beweise und sich etwas Luft zu schaffen um das Backup und Ruhe zu machen. Soll natürlich nicht so im Netz bleiben, sowas grob fahrlässiges wäre wahnsinn, da geb ich die 100% recht. Da bei Ihm die Standardinstallation von Strato wahrscheinlich geblieben ist, wird da auch kein Sicherheitskonzept dagewesen sein. Wenn er dann die gesicherten Daten durchsieht, wird er vielleicht lernen wie sowas von statten geht und entsprechend reagieren, das is aber nur eine hoffnung muss ich sagen. Glaub du hast in dein Leben auch genug solcher Kisten vor Auge gehabt um noch dazuzulernen, und in seinen Fall soll er das auch. Aber das nächste mal heb ich das neuaufsetzen mal Fett raus damit es net überlesen wird ;)
SuckIT ist schon lange leider Scriptkiddie mässig, auch an jeder Ecke bekommst du mittlerweile herrvoragende Kernel Rootkits die du nie mehr finden wirst wenn du nicht der Hacker warst. Aber muss ja nicht mal der Kernel sein, kann ja auch nur einfach der FTP ersetzt worden sein und stellt eine SSH zur verfügung etc., alles schon gesehen beim durchsehen von solchen Kisten, daher soll er alle Dienste herrunterfahren und beten das der SSHd nicht ausgetauscht wurde.
Also nicht denken das ich jetzt sage du kannst eine Kiste wieder säubern, das sind immer nur Temporäre Aktionen mit der du dir etwas Luft zum Datensichern verschaffst.
@fun4teen
Kannst du das Passwort vom Backupserver mit abändern, hab ich ganz vergessen hinzuschreiben.
@Manarak
notierte Passwörter:
das Tutorial sagt, es in seinen Notizen zu notieren. Ich habe ein Buch zu hause mit meinen Serverpasswörtern. Ich könnte mir sonst die 15 Spezialzeichen und Zahlen nicht merken. Wie machst Du das?
Sorry das ich das so sage, aber ich finde das notieren von Passwörter schlichtweg für fahrlässig. Klar ist die Chance klein das du daheim jemanden hast der sie dir klaut, aber das merken eines Passwortes bzw. gleich die erstellung mache ich immer mit Sätzen die mir einfach hängenbleiben.
Beispiel:
Mein neues Passwort soll min. 15 Zeichen haben und schwer zu knacken sein! -> MnPsm15Zhuszks!
So hab ichs eigentlich immer jemanden beigebracht und das "vergessen" ist nicht so leicht. Natürlich ist es einfacher aus seinen Privaten Umfeld etwas zu generieren. Um die jetzt noch zu speichern, nehme ich ein entsprechendes Programm das sicher ist, speichere es dort ab und verschlüssel es mit einen einzigen Passwort das ich mir merken muss, geht auch. Aber Notizen finde ich persöhnlich fahrlässig. Am besten noch danebengeschrieben wo sie reingehören, und man hat verloren. Genauso ein Passwort nehmen wie Geburtstag, Namen der Freundin etc., ich find das durchschaubar. Hoffe du bist nicht in einer Firma Admin und machst es dort genauso, da würde das fatal sein mit den Notizen.
Zu der Firewall. Es ist klar das die meisten Scriptkiddes via XSS eine Backdoorshell aufmachen (ein einfaches 20 Zeiler Perlscript macht das) und dann auf einen Port verbinden können. Ist IPTables nur noch für root ausführbar, dürfte die Chance relativ gering sein das er dir einfach deine Regelwerke löscht (iptables -F). Andererseits kann das Perlscript aber auch erweitert werden und ein Exploit runterladen der dann dem Perlscript rootzugang beschert, dann ist diese Lösung erstmal obsolet. Regelwerke werden gelöscht, er loggt sich ein, findet das Firewallscript und ändert es für sich ab, startet es und der Admin merkt nichtmal was. Zweite möglichkeit ist Netcat. Fast auf jedem Server per Default installiert und ein echt schönes Tool für den Hacker. Er setzt einfach einen kurzen befehl mit seinen Perlscript ab und bei sich daheim popt dann eine Shell auf weil er seine Netcat Instanz im listenmode Betreibt und genau das erwartet. also müsstest du so ziemlich jeden Outgoing Port sperren, wie betreibst du dann deinen Server wenn nichts mehr läuft? Du kannst auch via ICMP solche Spässe treiben, jeder möchtegern Hacker kennt die "T00ls" die eine ICMP Backdoorshell aufmachen, da kannste ebenfalls mit deinen Wissen nur sehr wenig machen. Ergo: Eine Firewall ist im regelfall nur eine kleine Hilfe für den Admin seinen Server ein kleines bischen sicherer zu machen. Natürlich muss man sich damit auskennen und iptables wenigstens verstehen (man iptables und lesen lesen lesen), aber die Firewall ist oft nur gegen automatische Bots wirksam die darauf nicht "trainiert" sind.
Ein andere Lösung wäre freilich aus dem öffentlichem Netz ein Privates zu machen.
Aus einen öffentlichen Netz ein privates machen ist einfach:
Code: Select all
ifconfig eth0 192.168.1.1 && route add default gw 127.0.0.1
[ ] Du kennst den unterschied zwischen öffentlichen und privaten Netzen
[ X ] Es fehlen noch einige Basics ;)
