Plötzlich Verzeichnisse weg

[real.pacman]

habe man ne Frage,

habe einen root-server auf dem suse 8.2 läuft

heute log ich mich auf dem server ein uns siehe da, der benutzer root hat ein home mehr
um ein wenig nachzuforschen wollte ich in /var/log mal die logs durchsehen und siehe da
auch das verzeichnis gibt es nicht mehr

hat jemand ne ahnung wie sowas kommt ??
ist der server gehackt worden ??? wenn ja gibt es noch eine möglichkeit das nachzuvollziehen ???

grüße
real.pacman

[Joe User]

ist der server gehackt worden ???

Ja.

wenn ja gibt es noch eine möglichkeit das nachzuvollziehen ???

Nein.

Lass die Kiste neu aufsetzen und suche Dir jemanden, der das System ordnungsgemäss administrieren kann...

[real.pacman]

danke für die schnelle antwort
werde ihn morgen neu installieren lassen

ich würde gerne trotzdem bis morgen nach neuen dateien suchen
hast du ne ahnung wie das geht ??
in "man ls" finde ich nix dazu

es muss in den letzten 3 tagen passiert sein - hoffe nur, dass da nicht irgend eine scheisse mit dem server verzapft wurde

[captaincrunch]

Joe hat schon recht: die Kiste ist mit ziemlicher Sicherheit geknackt worden.

Möglichkeiten, den Vorgang nachzuvollziehen gäbe es, aufgrund der Tatsache, dass du keinen physikalischen Zugang zum System hast, und die Hardware nur gemietet ist, wird es ziemlich schwer, das ganze zu prüfen.
Ich würde zuerst einmal Anzeige gegen Unbekannt erstellen, und mit dem Hinweis darauf Puretec darum bitten (bzw. sie auffordern, wenn's nicht auf die nette Tour klappt), ein Image der Platte (WICHTIG: das durch forensische Maßnahmen wiederhergestellt werden kann) zu ziehen, und das System neu aufsetzen zu lassen.

So bist du auf der halbwegs sicheren Seite, wenn diese Sache noch ein Nachspiel haben sollte (z.B. weißt du nicht, was die Cracker auf/mit deiner Kiste so alles angestellt haben).

Ich hoffe, das hilft dir etwas weiter.

[real.pacman]

danke für die tips
habe den provider schon angeschrieben und werde auch anzeige erstatten

:-)

dachte eigentlich ich hätte den server einigermassen sicher gemacht
hab immer aktuellste patches drauf usw.

naja, man lernt nie aus

[real.pacman]

der hacker war schlampig
habe seine ip aus dem httpd-log ( liegt beim jeweiligen web-user im home)
er hat die mir seit 30 minuten bekannte lücke in My_eGallery ausgenutzt um einen trojaner zu installieren

habe das log mal gesichert - meint ihr, dass das als "forensische massnahme" reicht ??
also falls er was illegales mit dem server gemacht hat, reicht das dann als beweis, dass es kein kunde oder admin von uns war?

ich hatte schon mal einen kleinen angriff auf den mailserver - damals war es ein amerikaner
es ist traurig, dass die provider der hacker da nichts machen
habe damals AT&T wegen dem vorfall angeschrieben - leider kam nie eine antwort

[majortermi]

der hacker war schlampig
habe seine ip aus dem httpd-log ( liegt beim jeweiligen web-user im home)
er hat die mir seit 30 minuten bekannte lücke in My_eGallery ausgenutzt um einen trojaner zu installieren

Dann muss er aber immernoch einen Local-Root-Exploit verwendet haben. Hattest du vielleicht einen ungepatchten Kernel auf der Kiste?

[real.pacman]

den hier habe ich drauf
k_athlon-2.4.20-101

der ist vom 4.12 - der sollte die lücke nicht mehr haben

[oxygen]

Da war die do_brk() Lücke noch gar nicht bekannt.
EDIT: argl, mir war sie an dem Tag noch nicht bekannt... aber Google datiert die ersten Erwähungen der Lücke auf den Tag. Trotzdem zweifelhaft ob der Kernel schon so schnell gepatch wurde.

[captaincrunch]

Da war die do_brk() Lücke noch gar nicht bekannt.

Bekannt war sie lange vorher, nur hat noch niemand geahnt, dass das Ding mal so große Wellen schlagen würde. ;)