Hilfe, Server gehackt

Lesenswerte Artikel, Anleitungen und Diskussionen
carlos
Posts: 19
Joined: 2002-04-24 22:39

Hilfe, Server gehackt

Post by carlos » 2003-10-03 10:20

Seit heute Morgen geht nichts mehr. Man muss meinen Server gehackt haben, was kann ich tun? Es erschein, was immer ich aufrufe, folgendes Bild: http://www.salom.info

malibuu
Posts: 53
Joined: 2003-06-16 18:41
Location: München

ein wenig

Post by malibuu » 2003-10-03 10:26

ein wenig mehr Details wäre nicht schlecht ! :->

carlos
Posts: 19
Joined: 2002-04-24 22:39

Re: Hilfe, Server gehackt

Post by carlos » 2003-10-03 10:29

Alle Indexdateien scheinen nicht mehr aufrufbar zu sein. Beispiel:

http://www.chatx.salom.info/phpbb/index.php

Wohl aber: http://www.chatx.salom.info/phpbb/login.php

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Hilfe, Server gehackt

Post by captaincrunch » 2003-10-03 10:34

1. Ruhe bewahren

2. Server ins Rescue-System bringen

3. Logs sichern und analysieren, wenn du Glück hast, hast du es "nur" mit einem Defacement zu tun, darauf verlassen würde ich mich allerdings nicht.

4. Daten sichern und je nach Lage die Kiste neu aufsetzen (lassen)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

[nix]pepe
Userprojekt
Userprojekt
Posts: 244
Joined: 2003-04-08 19:36

Re: Hilfe, Server gehackt

Post by [nix]pepe » 2003-10-03 10:37

die schreiben doch sogar drunter, wie de die erreichen kannst, frag doch ma nach wat die gemacht haben....

carlos
Posts: 19
Joined: 2002-04-24 22:39

Re: Hilfe, Server gehackt

Post by carlos » 2003-10-03 10:37

Ich bin nicht sehr bewandert. Kannst du das etwas ausführlicher erklären? Es scheint doch so zu sein, dass der/die Hacker es geschafft haben, alle Index-Dateien auf eine andere Seite zu lenken, oder? Das muss doch irgendwie einstellbar sein.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Hilfe, Server gehackt

Post by captaincrunch » 2003-10-03 10:41

die schreiben doch sogar drunter, wie de die erreichen kannst, frag doch ma nach wat die gemacht haben....
Das ist jetzt nicht wirklich dein Ernst, oder ?
Kannst du das etwas ausführlicher erklären?
(Leider) nein, da man für die Untersuchung eines solchen Vorfalls ziemlich genau auf den Rechner schauen muss, und das ganze komplett ohne Logs ein reines Ratespielchen ist. Du verrätst ja nicht einmal genau, was sonst noch auf dem Server läuft, daher gäbe es zigtausend Möglichkeiten, auf deinen Rechner zu gelangen.
Es scheint doch so zu sein, dass der/die Hacker es geschafft haben, alle Index-Dateien auf eine andere Seite zu lenken, oder?
Komm von den index-Files weg, du hast momentan ganz andere Probleme. So lange du dir nicht sicher sein kannst, dass es wirklich nur ein Defacement ist, und nicht mehr passiert ist (Backdoor, usw.) solltest du schnellstens die Kiste ins Rerscue booten.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Hilfe, Server gehackt

Post by captaincrunch » 2003-10-03 10:53

Nachtrag : da du es anscheinend nicht gerade mit pickligen Scriptkiddies, sondern mit Leuten, die so etwas öfter zu machen scheinen ( http://www.zone-h.org/en/defacements/fi ... acer=kn0w/ ) zu tun hast, würde ich dir in jedem Fall raten, den Server am besten direkt neu aufsetzen zu lassen.

Nur meine 0,02 â?¬
Last edited by captaincrunch on 2003-10-03 10:59, edited 1 time in total.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

carlos
Posts: 19
Joined: 2002-04-24 22:39

Re: Hilfe, Server gehackt

Post by carlos » 2003-10-03 10:58

Furchtbar - dieser Zeitaufwand. Ich habe jetzt ins Rescue gebottet, jetzt geht nichts mehr.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Hilfe, Server gehackt

Post by captaincrunch » 2003-10-03 11:03

Ich habe jetzt ins Rescue gebottet, jetzt geht nichts mehr.
Natürlich geht jetzt (bis auf den sshd) nicht mehr, dafür ist der Server aber auch (erstmal) keine Gefahr mehr für dich und / oder andere.

Wenn du das ganze nachvollziehen möchtest, würde ich dir empfehlen, die Logs zu sichern, und irgendwo hinzulegen, wo man sich die anschauen könnte, wobei ich die Chance, dass die Jungs ihre Spuren nicht verwischt haben als sehr gering ansehe.
Desweiteren : Daten sichern. Hier am besten nur die reinen "Nutzdaten", da du dir bei dem jetzigen System nicht sicher sein kannst, was alles geändert wurde.
Dann : neu aufsetzen lassen, restore, danach am besten erstmal richtig einlesen, und wenn du damit fertig bist (was lange dauern könnte ;) ), kannst du dich mal wieder am Serverbetrieb versuchen.

Ich weiß, dass das nicht das ist, was du hören möchtest, aber mit allem anderen bringst du dich selbst und u.U. andere um Kopf und Kragen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

carlos
Posts: 19
Joined: 2002-04-24 22:39

Re: Hilfe, Server gehackt

Post by carlos » 2003-10-03 11:14

Wer würde sich die log-Daten anschauen. Die kann ich ja schlecht hier reinstellen.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Hilfe, Server gehackt

Post by captaincrunch » 2003-10-03 11:17

Poste einfach einen Link dahin, wo du sie abgelegt hast. Wie schon gesagt, halte ich es für äußerst unwahrscheinlich, dass man dort genaue Hinweise finden wird.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

[nix]pepe
Userprojekt
Userprojekt
Posts: 244
Joined: 2003-04-08 19:36

Re: Hilfe, Server gehackt

Post by [nix]pepe » 2003-10-03 11:43

@CC: nein nicht wirklich ;)


aber heftig, haben die eigentlich nichts besseres zu tun als jeden tag drei server zu hacken?

carlos
Posts: 19
Joined: 2002-04-24 22:39

Re: Hilfe, Server gehackt

Post by carlos » 2003-10-03 12:06

Der Server ist im Rescue. Normalerweise müsste mysql unter var/lib liegen. Die finde ich aber dort via Shell nicht. Liegt mysql woanders? Unter var/lib finde ich nur:

atp
deborphan
dhcp3
iptabels
locate
misc
nfs
ntp

etc.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Hilfe, Server gehackt

Post by Joe User » 2003-10-03 15:03

Moin,
CaptainCrunch wrote:Nachtrag : da du es anscheinend nicht gerade mit pickligen Scriptkiddies, sondern mit Leuten, die so etwas öfter zu machen scheinen ( http://www.zone-h.org/en/defacements/fi ... acer=kn0w/ ) zu tun hast,
hmm, seine Domain ist in der Datenbank nicht gelistet, muss wohl ein anderes kn0w gewesen sein.
CaptainCrunch wrote:würde ich dir in jedem Fall raten, den Server am besten direkt neu aufsetzen zu lassen.
ACK.

Gruss,
Markus

carlos
Posts: 19
Joined: 2002-04-24 22:39

Re: Hilfe, Server gehackt

Post by carlos » 2003-10-03 15:09

Nochmals meine Frage: Kann es sein, dass im Rescue-Modus die www-Ordner und mysql-Ordner via Shell nicht zugänglich sind? Entweder ist das so oder sie sind verschwunden. Letzteres glaube ich aber eigentlich nicht, weil sie vor dem Rescue noch da waren.

Und was heißt unter ZONE-H:


Date/time: 2002/11/20 23:10

Defacer: TheBuGz

Domain: http://www.chatx.salom.info/phpbb

Mirror: ./defaced/2002/11/20/www.chatx.salom.info(1)/phpbb/

IP address: 217.160.92.16

System: Linux

darkspirit
RSAC
Posts: 568
Joined: 2002-10-05 16:39
Location: D'dorf

Re: Hilfe, Server gehackt

Post by darkspirit » 2003-10-03 16:05

Du solltest erstmal deine Platte mounten.. dann haste auch deine Ordner wieder.
"man mount"

static
Posts: 437
Joined: 2002-10-27 19:56
Location: Schweiz

Re: Hilfe, Server gehackt

Post by static » 2003-10-03 16:06

Naja, schonmal gehackt worden? Oder bisher nix gemerkt *ohjeohje das wäre hart :roll:*

BTW, gerade jetzt neu in der Liste:

16:49 kn0w H salom.info Unknown view | mirror

Date/time: 2003/10/03 16:49
Defacer: kn0w
Domain: http://salom.info
Mirror: ./defaced/2003/10/03/salom.info/
IP address: 217.160.92.16
System: Unknown
Web server: Unknown
Attack method:

Das heisst, dass sich deine Seite nun zu der glorreichen Liste der Seiten die von "kn0w" geknackt worden sind zählen darf...

Frag mich nicht welche der beiden dich nun eigentlich geknackt haben...

Wegen dem Rescue System, hast du denn die Platten überhaupt gemountet?

so long
static

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Hilfe, Server gehackt

Post by Joe User » 2003-10-03 22:56

Carlos wrote:Nochmals meine Frage: Kann es sein, dass im Rescue-Modus die www-Ordner und mysql-Ordner via Shell nicht zugänglich sind?
Nein.
Carlos wrote:Und was heißt unter ZONE-H:
Date/time: 2002/11/20 23:10
Defacer: TheBuGz
Domain: http://www.chatx.salom.info/phpbb
Mirror: ./defaced/2002/11/20/www.chatx.salom.info(1)/phpbb/
IP address: 217.160.92.16
System: Linux
Das heisst, dass Dein Server in den letzten 12 Monaten mindestens zwei mal erfolgreich übernommen wurde und Du scheinbar nicht(s) daraus gelernt hast. GameServer?

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Hilfe, Server gehackt

Post by captaincrunch » 2003-10-03 23:27

GameServer?
Wenn du mich fragst : nö, sondern entweder eine massive Fehlkonfiguration oder extrem buggy Software. ;) Da der gute Carlos aber bisher nicht eine Angabe gemacht hat, aus der sich nähere Informationen ziehen ließen, ist ihm hierbei wohl kaum zu helfen.

Der einzige Tip, den ich dir (ein weiteres, und diesmal letztes Mal) geben würde : lass den Server am besten jetzt komplett neu aufsetzen, und noch besser : lies dich erstmal in wenigstens grundlegende Dinge ein, die es dir wenigstens annährend ermöglichen, deine Kiste halbwegs sicher zu halten.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

crasline
Posts: 121
Joined: 2002-05-11 18:39

Re: Hilfe, Server gehackt

Post by crasline » 2003-10-03 23:32

naja, seine seiten sind ja wieder on .. also ist wohl mal wieder nichts mit den Ratschlägen ala "lass ihn im rescue System" .. den ich glaub nicht das 1&1 den Server am Feiertag neu aufsetzt ..

carlos
Posts: 19
Joined: 2002-04-24 22:39

Re: Hilfe, Server gehackt

Post by carlos » 2003-10-03 23:39

Das Problem war tatsächlich: Alle Index-Dateien wurden umgeleitet. Das wurde bereinigt.

Ich gebe euch recht, man sollte sich etwas mehr in die Materie einarbeiten - ich hätte Lust dazu, aber die Zeit nicht. Das macht aber jemand für mich. Nicht die beste Lösung, aber die zweitbeste. Heute hatte ich mich schon fast für einen Managed Server entschieden, die Idee gerade aber wieder (fast) verworfen.

Danke für eure Hilfe.

static
Posts: 437
Joined: 2002-10-27 19:56
Location: Schweiz

Re: Hilfe, Server gehackt

Post by static » 2003-10-03 23:43

du kannst keinem kompromittierten system mehr vertrauen, wenn du nicht genau weisst, was der Angreifer gemacht hat (und ich bezweifle das du das weisst) -> neu initialisieren

just my 2 cents

crasline
Posts: 121
Joined: 2002-05-11 18:39

Re: Hilfe, Server gehackt

Post by crasline » 2003-10-03 23:48

vorallem, selbst wenn der eine außer den Index Dateien nichts verändert hat, irgendwie ist er jawohl in dein System gekommen .. und das kann der nächst beste dann auch ..

carlos
Posts: 19
Joined: 2002-04-24 22:39

Re: Hilfe, Server gehackt

Post by carlos » 2003-10-03 23:50

Wie kann man das verhindern?