Einer unserer Server wurde gehackt

Rund um die Sicherheit des Systems und die Applikationen
jkreutz
Posts: 27
Joined: 2002-09-09 10:37

Einer unserer Server wurde gehackt

Post by jkreutz » 2004-02-01 20:37

Hilfe,

alle index-Dateien sind durch index-Dateien eine IR4DEx-Crew oder ähnlich ausgetauscht worden. Hat jemand erfahrung damit. Server ist zur im Rescuemode und wir sichern. Haben aber das Problem das unser Fachmann im Urlaub ist. Ich selbst habe nur mittelmässige Kenntnisse in diesem Bereich. Wer kann mir Tipps bzw. Hilfestellung geben.

Gruß
Jens

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Einer unserer Server wurde gehackt

Post by captaincrunch » 2004-02-01 20:41

Was an Hilfestellung hättest du denn gerne? Keine Binaries, sondern nur die wichtigen Dinge sichern, neu installieren (lassen), und Backup einspielen, dana ASAP suchen, durch welches Loch die Kiddies reingekommen sind (den Schritt am besten noch im Vorfeld).
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

jkreutz
Posts: 27
Joined: 2002-09-09 10:37

Re: Einer unserer Server wurde gehackt

Post by jkreutz » 2004-02-01 20:54

wichtige Dinge sind meiner Meinung nach :

die home-Verzeichnisse der confixx-User
die sql-Datenbanken
die cronjobs
die mailboxen

oder ??

darkspirit
Posts: 553
Joined: 2002-10-05 16:39
Location: D'dorf

Re: Einer unserer Server wurde gehackt

Post by darkspirit » 2004-02-01 20:59

Das wird dir niemand sagen können, da es völlig davon abhängt, was für Dienste du nutzt.. Bei einem Webserver solltest du alle statischen Daten im Document-Root sichern, bei einem Datenbankserver die DB's dumpen, bei einem Mailserver die Mailboxen speichern und bei einem Nameserver die Zonefiles usw. usf... dazu evtl. die Konfigurationen der Dienste und Wartungsscripts, sofern vorhanden.

jkreutz
Posts: 27
Joined: 2002-09-09 10:37

Re: Einer unserer Server wurde gehackt

Post by jkreutz » 2004-02-01 21:00

wir nutzen diesen Server nur als www Server für kleine Ortsgemeinden.
Dort sind Email-Adresse angelegt und 3 Benutzer nutzen Datenbanken

das wars

kruegerj
Posts: 18
Joined: 2003-01-20 22:30

Re: Einer unserer Server wurde gehackt

Post by kruegerj » 2004-02-02 00:04

Dann sicherst du am besten die Dateien:

also mysql Daten such mal mit:

Code: Select all

locate mysql
Normalerweise liegen die in: /var/lib/mysql

dann machst du:

Code: Select all

tar -cvzf /pfad/zu/einem/ftp/ordner/mysql.tar.gz /var/lib/mysql
Dannach machst du:

Code: Select all

tar -cvzf /pfad/zu/einem/ftp/ordner/home.tar.gz /home
je nach größe wird er etwas brauchen....
Mit "/pfad/zu/einem/ftp/ordner" ist ein Ordner gemeint, den du via FTP erreichen kannst um die teile zu saugen...

Danach das Reinitialisierungs Fax raus jagen und gut ist....

Zur Sicherheit solltest du den kompletten /etc Ordner sichern.

Code: Select all

tar -cvzf /pfad/zu/einem/ftp/ordner/etc.tar.gz /etc

rootmaster
Posts: 483
Joined: 2002-04-28 13:30
Location: Hannover

Re: Einer unserer Server wurde gehackt

Post by rootmaster » 2004-02-02 00:55

.... logfiles sichern nicht vergessen ;)

ps: besser wäre ein (zusätzliches) totalbackup, das man offline inspizieren sollte

"back to the roots"

kruegerj
Posts: 18
Joined: 2003-01-20 22:30

Re: Einer unserer Server wurde gehackt

Post by kruegerj » 2004-02-02 15:11

Das kann man aber net erwarten @totalbackup wenn man nicht mindestens DSL hat, denn ich könnte mir vorstellen, das die da ein wenig mehr daten drauf haben ;)


Zum Logs sichern:

Code: Select all


tar -cvzf /pfad/zu/einem/ftp/ordner/logs.tar.gz /var/log
Na dann mal viel spass beim sichern...

andreask2
Posts: 696
Joined: 2004-01-27 14:16
Location: Aachen

Re: Einer unserer Server wurde gehackt

Post by andreask2 » 2004-02-02 17:04

CaptainCrunch wrote:Was an Hilfestellung hättest du denn gerne? Keine Binaries, sondern nur die wichtigen Dinge sichern, neu installieren (lassen), und Backup einspielen, dana ASAP suchen, durch welches Loch die Kiddies reingekommen sind (den Schritt am besten noch im Vorfeld).
Aber wie findet man das raus wenn man Logs nicht mehr trauen kann? Was meinst Du mit "ASAP"?

Ich überlege schon ob ich evtl. über das Netzwerk loggen soll, mit syslog-ng geht das ja AFAIK auch über verschlüsselte Kanäle, oder zumindest bestimmte Dinge auf diese Weise loggen, was wäre denn da sicherheitstechnisch besonders interessant?

Tripwire sollte man vielleicht auch installieren, und Veränderunegn darüber überwachen, muss nur sichergstellt sein dass Meldungen/Logs das System auf jeden Fall unverändert verlassen können.

Kann man geschriebene Logs nicht irgendwie automatisch verschlüsseln oder signieren, z.B. mit gpg?

Wobei das System dann dafür ja den privaten Schlüssel braucht, und wenn der sich auf dem System befindet kann den ja ein Angreifer ebenfalls benutzen, oder?

Grüße
Andreas

t-son
Posts: 18
Joined: 2002-10-18 09:22
Location: Stuttgart

Re: Einer unserer Server wurde gehackt

Post by t-son » 2004-02-02 18:09

asap = as soon as possible = so schnell wie möglich

hugh! :-)

andreask2
Posts: 696
Joined: 2004-01-27 14:16
Location: Aachen

Re: Einer unserer Server wurde gehackt

Post by andreask2 » 2004-02-02 18:21

ups... OK ;-)

kevin_poulsen
Posts: 43
Joined: 2003-09-24 14:53

Re: Einer unserer Server wurde gehackt

Post by kevin_poulsen » 2004-02-04 11:59

sieht mir irgendwie sehr aehnlich aus...
http://www.rootforum.org/forum/viewtopic.php?t=22612