Brauche schnelle Hilfe!

Lesenswerte Artikel, Anleitungen und Diskussionen
raid
Posts: 119
Joined: 2003-08-01 09:32

Brauche schnelle Hilfe!

Post by raid » 2003-12-24 06:24

Hallo,

ich bin gerade am verzweifeln und ich wäre dankbar wenn mir jemand einen Tipp gibt wie ich den FTP-Dienst auschalten kann. Und damit meine ich auch nur den FTP.

Ich habe eine Mail von so einem Defacementarchive bekommen das eine Domain welche auf meinem Server liegt gehacked werden soll.

http://www.zone-h.org/en/search/what=Dogm4/

... auf der Liste hier steht die Domain noch nicht drauf, da stehen nur Seiten die schon gehacked wurden heute früh. Die Seite um die es geht steht dort auf gut deutsch "in Bearbeitung" d.h. der Typ versucht momentan wohl den FTP-Account des Besitzers der Domain zu hacken.

Ich hätte jetz ja als Hau-Ruckhandlung den Server einfach runtergefahren, aber das geht nicht da dort noch wichtige Seiten drauf sind.

Gibt es eine Möglichkeit fehlerhafte FTP-Logins in irgend einem Logfile zu sehen?

jtb
Posts: 599
Joined: 2002-08-18 16:41
Location: Darmstadt

Re: Brauche schnelle Hilfe!

Post by jtb » 2003-12-24 08:24

[X] ein Einbruch über FTP ist nicht die einzige Möglichkeit..

btw: bist du p15113675.pureserver.info?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Brauche schnelle Hilfe!

Post by Joe User » 2003-12-24 08:56

Boote die Kiste ins Rescue, mache ein Backup der Nutzdaten und lasse sie reinitiaisieren. Alles Andere ist fahrlässig...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

raid
Posts: 119
Joined: 2003-08-01 09:32

Re: Brauche schnelle Hilfe!

Post by raid » 2003-12-24 10:20

hallo,

also die benannte adresse ist nicht mein server und es ist auch laut logfiles noch nichts weiter passiert. die homepage ist noch voll funktionsfähig und es sind heute erst 3 mb traffic laut vnstat "geflossen". das werde wo ich gewesen sein weil ich jede stunde die homepage angeschaut habe ob sie gehacked wurde.

das mit dem reinitalisieren iss wahr, aber ich bin ehrlich und sag mir mal so das ich keine veranlassung sehe sofern ich nciht eindeutige anzeichen sehe das was gehacked wurde oder ich unregelmäßigkeiten feststelle.

ich hab mindestens 60 stunden da gessen und den server konfiguriert und ich sag ma so angenommen nur mal angenommen ich nehme mir aus dem profil des phpBB von einem von euch die URL der homepage, melde dort auf der Homepage an das ich die Seite hacken werde und dann kriegt der hostmaster des server ne mail das jemand geplant hat die seite zu hacken, lasst ihr dann automatisch euren server reintialisieren obwohl nichts passiert ist.

ich sehe mit einem auge die gefahr, aber wenn ich den jetzt reinitalisieren lasse und dann geht alles wieder und dann hackt der den erst wirklich das wäre dann ärgerlich ...

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Brauche schnelle Hilfe!

Post by captaincrunch » 2003-12-24 11:00

Ich habe eine Mail von so einem Defacementarchive bekommen das eine Domain welche auf meinem Server liegt gehacked werden soll.
Was alleine schon Schwachsinn ist, da diese Jungs selbst nichts mit den Cracks zu tun haben, und auch erst im Nachhinein davon erfahren. Ich persönlich würde das ganze zwar im Auge behalten, mir aber keine Panik deshalb machen.

Btw.: Sachen wie die auf der Seite angesprochenen Mass Defacements kommen in 98% aller Fälle durch eine Lücke im Webserver zustande, von Seiten des ftpd droht dort am wenigsten Gefahr.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

raid
Posts: 119
Joined: 2003-08-01 09:32

Re: Brauche schnelle Hilfe!

Post by raid » 2003-12-24 11:09

Mhh stimmt ich werd das jetz ganz genau im Auge behalten.

Ich poste trotzdem mal die Mail die kam:
This FREE alert has been sent to you by Remote Assessment

The Remote Assessment Defacement Alert Project monitors hacker and hacking related websites and notifies individuals and
organizations when references to their domains/websites appear.
----------

Posted Location: http://www.zone-h.org/en/defacements/view/id=XXXXX/

Why did I receive this alert?
It appears the website http://www.XXXXXXX.de (XXXXXXXX.de) has been posted on a hacker defacement archive. This usually
indicates an attack has already occured or is in progress by malicious computer hackers.

Hackers are well known for 'bragging' and displaying the websites they hack on public web-sites for all to see. The
Defacement Alert Project monitors these websites and alerts appropriate administrative individuals as soon as possible to
ensure damage is contained and remedied quickly and efficiently.

** Note: On occasion domain names are listed to these hacker sites although they have not been defaced. It is possible the
attacker was unsuccessful or the posting was made in an attempt to receive credit for an attack that did not actually take
place.

Remote Assessment is watching:
This information is gathered from publicly available archives which list the systems which are hacked for statistical
purposes. Remote Assessment monitors these hacking lists and alerts administrative personel as soon as possible to limit
damage and exposure. Website defacement hackers often post the systems which they have attacked on public archive websites
to 'brag' and gain _respect_ in the hacking/hacker community. These websites often record the activity as 'snapshots' of
history and rank individual hackers by collected averages and statistics.

Additional information, whitepapers, support and assistance are available 24/7:
http://www.remoteassessment.com/?op=pub_defac&xcc=

IMPORTANT:
Remote Assessment is not affiliated in any way with the listers of hacking activities, electronic criminals or illegal
hacking organizations of any kind. The information detailed in this email is an alert to notify administrative personel of
a security incident involving a system / server / website under their control. *Note: The possibility exists that an
attacker has added your system / site to a defacement list without an actual attack taking place. If this is the case, we
apologize for any inconvenience and assure you that this is the case.

We offer a DO NOT ALERT list; should you wish to be added to this list, please reply to this message with 'REMOVE' in the
subject line. Your email address will no longer be notified in the event it is publicly listed.

---
Remote Assessment
http://www.remoteassessment.com
Chicago, IL - USA
(312) 498.9236

- Online Security Vulnerability and Risk Management Solutions -

oxygen
RSAC
Posts: 2179
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Brauche schnelle Hilfe!

Post by oxygen » 2003-12-24 13:10

Aber ein netter Service, nicht das ich brauchen würde 8) aber gut zu wissen das es sowas gibt.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Brauche schnelle Hilfe!

Post by captaincrunch » 2003-12-24 13:31

Ich weiß nicht, ob ich es als "netten Service" betrachten würde, mit der Panik anderer Geld zu machen ... :?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

t0x1c
Posts: 127
Joined: 2003-10-09 19:59
Location: Nähe Kiel

Re: Brauche schnelle Hilfe!

Post by t0x1c » 2003-12-24 13:51

CaptainCrunch wrote:Ich weiß nicht, ob ich es als "netten Service" betrachten würde, mit der Panik anderer Geld zu machen ... :?
This FREE alert has been sent to you by Remote Assessment
Es gibt noch Menschen, die machen sowas kostenlos, um anderen damit eine Freude zu machen. ;)

Frohe Weihnachten

higgins
Posts: 25
Joined: 2002-05-31 22:29

Re: Brauche schnelle Hilfe!

Post by higgins » 2003-12-29 10:57

Na über FTP gehen die mit Sicherheit nicht, wenn dann über einen BUG in irgendeiner Software, damit daraus gleich ein feines "Mass.Defacement" wird und Sie sich wieder daran aufgeilen können :(

Versuch die Kiste sicher zu machen:

Updates aller Software auf dem Server soweit es geht, gibt ja genug Security Seiten

Direkten Root Zugriff auf die Shell unterbinden. Am besten noch eine eigene IP für den Shellzugang, mit einem hohen Port eg. 55600 und den SSH nur auf diese IP "hören" lassen (wird bei Puretec nicht gehen, da nur eine IP)

Logwatch installieren (wenn noch nicht vorhanden)
Tripwire ist sehr hilfreich um geänderte Dateien zu erkennen/finden

/tmp Verzeichniss als "nosuid, noexec" in ein eigenes Virtuelles Laufwerk mounten, da hierrüber fast alle Defacement Attacken laufen. Dort werden die Dateien vom Angreifer kompiliert und ausgeführt. Ist das "Laufwerk" nosuid, noexec kann er chmodden wie er will er kann die Dateien nicht ausführen.

Wenn Du momentan die Compiler (cc, gcc etc.) nicht benötigst setze Sie chmod 000 und wieder 700 wenn Du Sie benötigst.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Brauche schnelle Hilfe!

Post by captaincrunch » 2003-12-29 11:07

Am besten noch eine eigene IP für den Shellzugang, mit einem hohen Port eg. 55600 und den SSH nur auf diese IP "hören" lassen (wird bei Puretec nicht gehen, da nur eine IP)
Und was bringt dir das außer einem wohlig warmen, "sicheren" Gefühl? Security by obcurity funktioniert einfach nicht.
Wenn Du momentan die Compiler (cc, gcc etc.) nicht benötigst setze Sie chmod 000 und wieder 700 wenn Du Sie benötigst.
IMHO hat ein Compiler auf einem Webserver erst gar nichts verloren. ;)

Der Tip mit /tmp ist dafür richtig gut, wäre vielleicht einmal was für die FAQ. Zusätzlich könnte man /usr noch ro mounten, unter Debian kann man apt dann ganz simpel vor einer Aktion automatisiert wieder rw mounten lassen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

mem
Posts: 45
Joined: 2003-12-22 11:09

Re: Brauche schnelle Hilfe!

Post by mem » 2003-12-29 11:07

Higgins wrote:Ist das "Laufwerk" nosuid, noexec kann er chmodden wie er will er kann die Dateien nicht ausführen.
/lib/ld-linux.so.2 /tmp/programm

floschi
Userprojekt
Userprojekt
Posts: 3388
Joined: 2002-07-18 08:13
Location: München

Re: Brauche schnelle Hilfe!

Post by floschi » 2003-12-29 11:28

Wollte auch grad schreiben, dass dieses nosuid und noexec nur ein Hindernis ist, aber letztendlich nix verhindert. Aber Hindernisse sind besser als gar nix ;)

higgins
Posts: 25
Joined: 2002-05-31 22:29

Re: Brauche schnelle Hilfe!

Post by higgins » 2003-12-29 11:37

olfi wrote:Wollte auch grad schreiben, dass dieses nosuid und noexec nur ein Hindernis ist, aber letztendlich nix verhindert. Aber Hindernisse sind besser als gar nix ;)
Aber 80% der sogenannten "Hacker-Groups" sind einfach nur "Script-Kiddies" welche, wie der Names schon sagt, nur ein Script ausführen und wenn das nicht funktioniert dann hat sich die Sache für die ebend erledigt. Ich denke kaum, daß sich ein mehr erfahrener Hacker mit irgendwelchen privaten Rooties abgibt.

floschi
Userprojekt
Userprojekt
Posts: 3388
Joined: 2002-07-18 08:13
Location: München

Re: Brauche schnelle Hilfe!

Post by floschi » 2003-12-29 11:51

Richtig, da stimme ich dir vollkommen zu ;)

olaf.dietsche
RSAC
Posts: 409
Joined: 2002-12-19 02:06
Location: Siegburg

Re: Brauche schnelle Hilfe!

Post by olaf.dietsche » 2003-12-29 16:37

t0x1c wrote:
CaptainCrunch wrote:Ich weiß nicht, ob ich es als "netten Service" betrachten würde, mit der Panik anderer Geld zu machen ... :?
This FREE alert has been sent to you by Remote Assessment
Es gibt noch Menschen, die machen sowas kostenlos, um anderen damit eine Freude zu machen. ;)
Das einzige was hier kostenlos (umsonst?) ist, ist die Warnung. Auf der Webseite werden durchaus kostenpflichtige Dienste bzw. Produkte angeboten.

cschwede
Posts: 28
Joined: 2003-07-14 12:51
Location: Hamburg

Re: Brauche schnelle Hilfe!

Post by cschwede » 2003-12-30 21:38

CaptainCrunch wrote:IMHO hat ein Compiler auf einem Webserver erst gar nichts verloren. ;)
Hmm. Wenn Du das aus Sicherheitsbedenken meinst, dann sehe ich das eher so: wer einen Compiler als Gefahr sieht, hat ganz andere (Sicherheits-)Probleme ;-)

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Brauche schnelle Hilfe!

Post by captaincrunch » 2003-12-30 22:36

Ja, meine "Bedenken" bezüglich Compilern auf Webservern beziehen sich zum allergrößten Teil auf Sicherheitsfragen. Vielleicht kannst du mir ja aber noch mehr über meine sonstigen "Sicherheitsprobleme" erzählen?!?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Brauche schnelle Hilfe!

Post by dodolin » 2003-12-31 00:49

Ja, meine "Bedenken" bezüglich Compilern auf Webservern beziehen sich zum allergrößten Teil auf Sicherheitsfragen.
Nun, ich bekenne mich auch öffentlich schuldig, auf meinem Rootserver nen gcc zu haben. ;)
Ich sehe das so: Wenn ich entweder keine lokalen User außer mir selbst habe oder diesen genug vertraue, dass sie keine Sch.eiße bauen, dann gibt es da nicht so wirklich viele Probleme. Zum Thema Cracker: Wer soviele Rechte hat, dass er einen vorhandenen Compiler nutzen könnte, der hat auch soviele Rechte, dass er sich im Falle, dass dieser nicht vorhanden ist, mal eben schnell nen Compiler auf den Rechner draufschiebt, sofern er nicht eh schon mit vorgefertigten Binaries ankommt. Und vor den T00ls der Kiddies, die eventuell automatisiert einen vorhandenen Compiler benötigen... da sind wir wieder an dem Punkt, ob man bei "geeigneter" Konfiguration Angst vor Scriptkids zu haben braucht. ;)

Wie siehst du das? Und wo konkret sind deine Sicherheitsbedenken bei nem Compiler auf nem Webserver? - Mal abgesehen davon, dass man immer nur "das nötigste" installieren sollte. Wobei für mich halt der Bequemlichkeit halber ein Compiler zum "nötigsten" dazugehört... :)

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Brauche schnelle Hilfe!

Post by captaincrunch » 2003-12-31 10:03

Nun, ich bekenne mich auch öffentlich schuldig, auf meinem Rootserver nen gcc zu haben.
Ich hab auch nie gesagt, dass ich keinen auf meiner Kiste hätte. ;)
Zum Thema Cracker: Wer soviele Rechte hat, dass er einen vorhandenen Compiler nutzen könnte, der hat auch soviele Rechte, dass er sich im Falle, dass dieser nicht vorhanden ist, mal eben schnell nen Compiler auf den Rechner draufschiebt
... und genau diesen Punkt bestreite ich, da bei jeder Distribution, die ich kenne jeder Popeluser den gcc nutzen kann. Mir ist schon bewusst, dass die meisten Scriptkiddies ohnehin zu blöd sind, einen Compiler zu bedienen, und sich ihre "Hacker-Tools" sonstwoher ziehen.
"Erfahrenere" Leute benötigen einen Compiler viel mehr, um sich erweiterten Zugang zu verschaffen, eben weil so noch nicht genug Rechte haben, einfach mal einen Compiler auf die Kiste zu ziehen.
Und wo konkret sind deine Sicherheitsbedenken bei nem Compiler auf nem Webserver?
Darf ich dazu einfach mal an den vor gar nicht allzu langer Zeit aufgetretenen Wurm, der sich eine Sicherheitslücke in OpenSSL zunutze gemacht erinnern? Sämtliche Angriffe dabei basierten darauf, dass ein C-Compiler auf dem Rechner vorhanden war.
Zum nachlesen: http://www.counterpane.com/alert-i20020915-001.html
Wobei für mich halt der Bequemlichkeit halber ein Compiler zum "nötigsten" dazugehört...
Dir traue ich aber auch mehr als tausenden anderen zu, die Kiste sonst vernünftig abgesichert zu haben, so dass das wenig Gefahr bedeutet. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

higgins
Posts: 25
Joined: 2002-05-31 22:29

Re: Brauche schnelle Hilfe!

Post by higgins » 2003-12-31 10:22

CaptainCrunch wrote:
Nun, ich bekenne mich auch öffentlich schuldig, auf meinem Rootserver nen gcc zu haben.
Ich hab auch nie gesagt, dass ich keinen auf meiner Kiste hätte. ;)
Zum Thema Cracker: Wer soviele Rechte hat, dass er einen vorhandenen Compiler nutzen könnte, der hat auch soviele Rechte, dass er sich im Falle, dass dieser nicht vorhanden ist, mal eben schnell nen Compiler auf den Rechner draufschiebt
... und genau diesen Punkt bestreite ich, da bei jeder Distribution, die ich kenne jeder Popeluser den gcc nutzen kann. Mir ist schon bewusst, dass die meisten Scriptkiddies ohnehin zu blöd sind, einen Compiler zu bedienen, und sich ihre "Hacker-Tools" sonstwoher ziehen.
"Erfahrenere" Leute benötigen einen Compiler viel mehr, um sich erweiterten Zugang zu verschaffen, eben weil so noch nicht genug Rechte haben, einfach mal einen Compiler auf die Kiste zu ziehen.
Und wo konkret sind deine Sicherheitsbedenken bei nem Compiler auf nem Webserver?
Darf ich dazu einfach mal an den vor gar nicht allzu langer Zeit aufgetretenen Wurm, der sich eine Sicherheitslücke in OpenSSL zunutze gemacht erinnern? Sämtliche Angriffe dabei basierten darauf, dass ein C-Compiler auf dem Rechner vorhanden war.
Zum nachlesen: http://www.counterpane.com/alert-i20020915-001.html
Wobei für mich halt der Bequemlichkeit halber ein Compiler zum "nötigsten" dazugehört...
Dir traue ich aber auch mehr als tausenden anderen zu, die Kiste sonst vernünftig abgesichert zu haben, so dass das wenig Gefahr bedeutet. ;)
100% ACK

leider ist es momentan zu einfach solche "Script-Hacktools" zu bekommen.
Wir hatten selber mal eine Version von "Core-Im****" (ich schreib den Namen absichtlich nicht aus) in den Händen um damit unsere Server zu testen. Ein kleiner BUG in irendeiner Software genügte um einen "Agenten" zu installieren über den man dann die lokalen Exploits ausführen zu können Auf einem ungepatchten System hat es exakt 2 minuten gedauert bis man Rootrechte hatte (!!!)

Nur gut, daß das programm nicht für 99,-â?¬ sondern für ca. 10000,-$ zu bekommen ist, sonst würden noch mehr Möchtegern Hacker damit rumspielen.