Hilfe, Server gehackt

[carlos]

Seit heute Morgen geht nichts mehr. Man muss meinen Server gehackt haben, was kann ich tun? Es erschein, was immer ich aufrufe, folgendes Bild: http://www.salom.info

[malibuu]

ein wenig mehr Details wäre nicht schlecht ! :->

[carlos]

Alle Indexdateien scheinen nicht mehr aufrufbar zu sein. Beispiel:

http://www.chatx.salom.info/phpbb/index.php

Wohl aber: http://www.chatx.salom.info/phpbb/login.php

[captaincrunch]

1. Ruhe bewahren

2. Server ins Rescue-System bringen

3. Logs sichern und analysieren, wenn du Glück hast, hast du es "nur" mit einem Defacement zu tun, darauf verlassen würde ich mich allerdings nicht.

4. Daten sichern und je nach Lage die Kiste neu aufsetzen (lassen)

[[nix]pepe]

die schreiben doch sogar drunter, wie de die erreichen kannst, frag doch ma nach wat die gemacht haben....

[carlos]

Ich bin nicht sehr bewandert. Kannst du das etwas ausführlicher erklären? Es scheint doch so zu sein, dass der/die Hacker es geschafft haben, alle Index-Dateien auf eine andere Seite zu lenken, oder? Das muss doch irgendwie einstellbar sein.

[captaincrunch]

die schreiben doch sogar drunter, wie de die erreichen kannst, frag doch ma nach wat die gemacht haben....

Das ist jetzt nicht wirklich dein Ernst, oder ?

Kannst du das etwas ausführlicher erklären?

(Leider) nein, da man für die Untersuchung eines solchen Vorfalls ziemlich genau auf den Rechner schauen muss, und das ganze komplett ohne Logs ein reines Ratespielchen ist. Du verrätst ja nicht einmal genau, was sonst noch auf dem Server läuft, daher gäbe es zigtausend Möglichkeiten, auf deinen Rechner zu gelangen.

Es scheint doch so zu sein, dass der/die Hacker es geschafft haben, alle Index-Dateien auf eine andere Seite zu lenken, oder?

Komm von den index-Files weg, du hast momentan ganz andere Probleme. So lange du dir nicht sicher sein kannst, dass es wirklich nur ein Defacement ist, und nicht mehr passiert ist (Backdoor, usw.) solltest du schnellstens die Kiste ins Rerscue booten.

[captaincrunch]

Nachtrag : da du es anscheinend nicht gerade mit pickligen Scriptkiddies, sondern mit Leuten, die so etwas öfter zu machen scheinen ( http://www.zone-h.org/en/defacements/fi ... acer=kn0w/ ) zu tun hast, würde ich dir in jedem Fall raten, den Server am besten direkt neu aufsetzen zu lassen.

Nur meine 0,02 â?¬

[carlos]

Furchtbar - dieser Zeitaufwand. Ich habe jetzt ins Rescue gebottet, jetzt geht nichts mehr.

[captaincrunch]

Ich habe jetzt ins Rescue gebottet, jetzt geht nichts mehr.

Natürlich geht jetzt (bis auf den sshd) nicht mehr, dafür ist der Server aber auch (erstmal) keine Gefahr mehr für dich und / oder andere.

Wenn du das ganze nachvollziehen möchtest, würde ich dir empfehlen, die Logs zu sichern, und irgendwo hinzulegen, wo man sich die anschauen könnte, wobei ich die Chance, dass die Jungs ihre Spuren nicht verwischt haben als sehr gering ansehe.
Desweiteren : Daten sichern. Hier am besten nur die reinen "Nutzdaten", da du dir bei dem jetzigen System nicht sicher sein kannst, was alles geändert wurde.
Dann : neu aufsetzen lassen, restore, danach am besten erstmal richtig einlesen, und wenn du damit fertig bist (was lange dauern könnte ;) ), kannst du dich mal wieder am Serverbetrieb versuchen.

Ich weiß, dass das nicht das ist, was du hören möchtest, aber mit allem anderen bringst du dich selbst und u.U. andere um Kopf und Kragen.

[carlos]

Wer würde sich die log-Daten anschauen. Die kann ich ja schlecht hier reinstellen.

[captaincrunch]

Poste einfach einen Link dahin, wo du sie abgelegt hast. Wie schon gesagt, halte ich es für äußerst unwahrscheinlich, dass man dort genaue Hinweise finden wird.

[[nix]pepe]

@CC: nein nicht wirklich ;)


aber heftig, haben die eigentlich nichts besseres zu tun als jeden tag drei server zu hacken?

[carlos]

Der Server ist im Rescue. Normalerweise müsste mysql unter var/lib liegen. Die finde ich aber dort via Shell nicht. Liegt mysql woanders? Unter var/lib finde ich nur:

atp
deborphan
dhcp3
iptabels
locate
misc
nfs
ntp

etc.

[Joe User]

Moin,

Nachtrag : da du es anscheinend nicht gerade mit pickligen Scriptkiddies, sondern mit Leuten, die so etwas öfter zu machen scheinen ( http://www.zone-h.org/en/defacements/fi ... acer=kn0w/ ) zu tun hast,

hmm, seine Domain ist in der Datenbank nicht gelistet, muss wohl ein anderes kn0w gewesen sein.

würde ich dir in jedem Fall raten, den Server am besten direkt neu aufsetzen zu lassen.

ACK.

Gruss,
Markus

[carlos]

Nochmals meine Frage: Kann es sein, dass im Rescue-Modus die www-Ordner und mysql-Ordner via Shell nicht zugänglich sind? Entweder ist das so oder sie sind verschwunden. Letzteres glaube ich aber eigentlich nicht, weil sie vor dem Rescue noch da waren.

Und was heißt unter ZONE-H:


Date/time: 2002/11/20 23:10

Defacer: TheBuGz

Domain: http://www.chatx.salom.info/phpbb

Mirror: ./defaced/2002/11/20/www.chatx.salom.info(1)/phpbb/

IP address: 217.160.92.16

System: Linux

[darkspirit]

Du solltest erstmal deine Platte mounten.. dann haste auch deine Ordner wieder.
"man mount"

[static]

Naja, schonmal gehackt worden? Oder bisher nix gemerkt *ohjeohje das wäre hart :roll:*

BTW, gerade jetzt neu in der Liste:

16:49 kn0w H salom.info Unknown view | mirror

Date/time: 2003/10/03 16:49
Defacer: kn0w
Domain: http://salom.info
Mirror: ./defaced/2003/10/03/salom.info/
IP address: 217.160.92.16
System: Unknown
Web server: Unknown
Attack method:

Das heisst, dass sich deine Seite nun zu der glorreichen Liste der Seiten die von "kn0w" geknackt worden sind zählen darf...

Frag mich nicht welche der beiden dich nun eigentlich geknackt haben...

Wegen dem Rescue System, hast du denn die Platten überhaupt gemountet?

so long
static

[Joe User]

Nochmals meine Frage: Kann es sein, dass im Rescue-Modus die www-Ordner und mysql-Ordner via Shell nicht zugänglich sind?

Nein.

Und was heißt unter ZONE-H:
Date/time: 2002/11/20 23:10
Defacer: TheBuGz
Domain: http://www.chatx.salom.info/phpbb
Mirror: ./defaced/2002/11/20/www.chatx.salom.info(1)/phpbb/
IP address: 217.160.92.16
System: Linux

Das heisst, dass Dein Server in den letzten 12 Monaten mindestens zwei mal erfolgreich übernommen wurde und Du scheinbar nicht(s) daraus gelernt hast. GameServer?

[captaincrunch]

GameServer?

Wenn du mich fragst : nö, sondern entweder eine massive Fehlkonfiguration oder extrem buggy Software. ;) Da der gute Carlos aber bisher nicht eine Angabe gemacht hat, aus der sich nähere Informationen ziehen ließen, ist ihm hierbei wohl kaum zu helfen.

Der einzige Tip, den ich dir (ein weiteres, und diesmal letztes Mal) geben würde : lass den Server am besten jetzt komplett neu aufsetzen, und noch besser : lies dich erstmal in wenigstens grundlegende Dinge ein, die es dir wenigstens annährend ermöglichen, deine Kiste halbwegs sicher zu halten.

[crasline]

naja, seine seiten sind ja wieder on .. also ist wohl mal wieder nichts mit den Ratschlägen ala "lass ihn im rescue System" .. den ich glaub nicht das 1&1 den Server am Feiertag neu aufsetzt ..

[carlos]

Das Problem war tatsächlich: Alle Index-Dateien wurden umgeleitet. Das wurde bereinigt.

Ich gebe euch recht, man sollte sich etwas mehr in die Materie einarbeiten - ich hätte Lust dazu, aber die Zeit nicht. Das macht aber jemand für mich. Nicht die beste Lösung, aber die zweitbeste. Heute hatte ich mich schon fast für einen Managed Server entschieden, die Idee gerade aber wieder (fast) verworfen.

Danke für eure Hilfe.

[static]

du kannst keinem kompromittierten system mehr vertrauen, wenn du nicht genau weisst, was der Angreifer gemacht hat (und ich bezweifle das du das weisst) -> neu initialisieren

just my 2 cents

[crasline]

vorallem, selbst wenn der eine außer den Index Dateien nichts verändert hat, irgendwie ist er jawohl in dein System gekommen .. und das kann der nächst beste dann auch ..

[carlos]

Wie kann man das verhindern?