wurden angegriffen

[microhome]

Hi ihr,
unser Server ist Opfer eines Hack-Angriffes geworden. r läuft jetzt im Rescue Mode. Es wurde ein Traffic von voraussichtlich über 300 GByte verursacht. Benutzt wurde das backdoor Tool suchkit.
Sobald der Server im Normalen Modus gebootet wird, ist er weder pingbar, noch via SSH erreichbar. Wir wollen die IP des Angreifers herausbekommen. Natürlich sind die Logfiles seit dem Datum gelöscht. Jedoch sollte es ja möglich sein, eine eigene Backdoor zu benutzen, welche und sämtliche IPs, die auf den Server connecten, mitloggt, sodass wir diese dann später im Rescue Mode lesen haben. Was haltet ihr davon? Wäre soetwas sinnvoll?


Bis dann & frohe Ostern,
Micro

[chris76]

moinsen,

IMHO hast du keine gute Chancen, selbst falls du die IP des "Angreifers" hast.
Wodurch wurde der Traffic verursacht dDos oder download?

Gruß Christian

[microhome]

Hi,
gute Frage - eben das wissen wir auch nicht. Nur wenn es Download wär, hätte der Server ja pingbar sein müssen. War er aber nicht! Ich versteh das nicht. Wie kann ein Server soviel Traffic verursachen, wenn er nicht mal pingbar ist?

Da der Angreifer eine Backdoor (wahrscheinlich SucKIT) benutzt hat, werden wir den Server nun wieder im normalen Mode booten und alles mitloggen :roll:

Denn irgendwie muss ja jemand auf diesen Server connecten

[darkspirit]

Da der Angreifer eine Backdoor (wahrscheinlich SucKIT) benutzt hat, werden wir den Server nun wieder im normalen Mode booten und alles mitloggen

Das halte ich für fahrlässig! Als erstes würde ich was noch zu retten ist sichern und die Kiste neu initialisieren lassen. Erst dann macht es Sinn eine Pseudo-Backdoor zu installieren, um evtl. den Cracker zu finden. Beim kompromittierten System kannst du zu 0% wissen, was alles verändert wurde!

[wgot]

Hallo,

Natürlich sind die Logfiles seit dem Datum gelöscht.

normalen Mode booten und alles mitloggen

Hast die Frage ob's sinnvoll ist doch schon beantwortet.:oops:

Gruß, Wolfgang

[microhome]

Hä? *räusper* Entschuldige, aber soweit ich weiß, löscht suckIT nicht jede beliebige LogDatei (schon gar nicht von selbstgeschriebenden Scripten), sondern nur die syslogd Files und andere Logs, in denen standardmäßig IPs drinstehen. Die Daten sind schon seit langem gesichert.
Wir haben einen komplett neuen Server bestellt und diesen hier zum Ende nächsten Monats gekündigt. Sodass er lediglich noch als Köder fungieren kann. Ich hoffe das klappt so! :roll:

[wgot]

Hallo,

Du gehst also davon aus, daß der Angreifer keinen Rootzugang hatte. Wie hat er dann ein Rootkit installiert? :roll:

Köder wofür? Für die IP einen anonymen Proxy, eines Internetcafes in Australien oder eines Einwahlproviders in Südafrika?
Oder Köder für die nächsten 300GB? :oops:

Gruß, Wolfgang

[microhome]

Hi wgot,
naja, so ein Rootkit kann man ja wohl auch durch z.B. nen Apache Exploit o.Ã?. installieren. Dafür brauchst du als keinen DIREKTEN Root-Zugriff.
Was den anonymen Proxy angeht, so ist das auch Quatsch, da gesetzlich all diese Anbieter ihre Logs für 80 Tage mitlaufen (bzw. speichern) müssen.

Naja wir werden sehen. Ich werde dir Kiste ja auch nicht die ganze Zeit am Laufen haben sondern vielliecht eine halbe Stunde oder so..


Cu & Danke,
Micro

[oxygen]

Ich lach mich schlapp, YMMD.

[wgot]

@microhome

[ ] die Gesetze sind in allen Ländern dieser Welt identisch.
[ ] Du weißt, was ein Rootkit ist.
[x] Ich geb's auf.

[Outlaw]

Was den anonymen Proxy angeht, so ist das auch Quatsch, da gesetzlich all diese Anbieter ihre Logs für 80 Tage mitlaufen (bzw. speichern) müssen.

Das kenne ich aber anders rum ....

Gruß Outi

[microhome]

Schön, dass eure Antworten so unheimlich viel Inhalt haben. Damit kann ich jetzt so richtig viel Anfangen *rofl*

[oxygen]

Wurde doch schon alles gesagt.
Was du vor hast, ist grober Unsinn und indiskutabel. Nebenbei ist dein Halbwissen sehr amüsant (und gefährlich, nicht nur für dich, auch für andere).

[microhome]

Alles klar, Halbwissen :? :roll:

[darkspirit]

Alles klar, Halbwissen

Du solltest nicht jede Kritik einfach so abblocken, du kannst davon ausgeben, dass wir dir hier (im Großteil der Fälle) keinen Mist erzählen. Beschäftige dich bitte grundsätzlich mit den Themen, über die du hier zu referieren gedenkst..

[sunrabbit]

Was den anonymen Proxy angeht, so ist das auch Quatsch, da gesetzlich all diese Anbieter ihre Logs für 80 Tage mitlaufen (bzw. speichern) müssen.

Ist das so ?

Nun stell ich mir gerade vor das der Typ, der deinen Server unter seiner Kontrolle hatte, bei dir einen Proxy installiert hat und vielleicht irgend jemand über deinen Server einen anderen Server angegriffen hast.
In diesem Fall müßtes du ja bald bescheid bekommen und das Log vorlegen das den Zugriff belegt... ups... ich habs vergessen... du hast ja gar keine Logs.... dumme Sache.... Dabei bist du doch anscheinend verpflichtet 80 Tage Logs mitlaufen zu lassen wenn du einen Proxy angeboten hast.... hmmmm....

Just my 2 cents