wurden angegriffen
-
- Posts: 120
- Joined: 2004-04-04 21:24
wurden angegriffen
Hi ihr,
unser Server ist Opfer eines Hack-Angriffes geworden. r läuft jetzt im Rescue Mode. Es wurde ein Traffic von voraussichtlich über 300 GByte verursacht. Benutzt wurde das backdoor Tool suchkit.
Sobald der Server im Normalen Modus gebootet wird, ist er weder pingbar, noch via SSH erreichbar. Wir wollen die IP des Angreifers herausbekommen. Natürlich sind die Logfiles seit dem Datum gelöscht. Jedoch sollte es ja möglich sein, eine eigene Backdoor zu benutzen, welche und sämtliche IPs, die auf den Server connecten, mitloggt, sodass wir diese dann später im Rescue Mode lesen haben. Was haltet ihr davon? Wäre soetwas sinnvoll?
Bis dann & frohe Ostern,
Micro
unser Server ist Opfer eines Hack-Angriffes geworden. r läuft jetzt im Rescue Mode. Es wurde ein Traffic von voraussichtlich über 300 GByte verursacht. Benutzt wurde das backdoor Tool suchkit.
Sobald der Server im Normalen Modus gebootet wird, ist er weder pingbar, noch via SSH erreichbar. Wir wollen die IP des Angreifers herausbekommen. Natürlich sind die Logfiles seit dem Datum gelöscht. Jedoch sollte es ja möglich sein, eine eigene Backdoor zu benutzen, welche und sämtliche IPs, die auf den Server connecten, mitloggt, sodass wir diese dann später im Rescue Mode lesen haben. Was haltet ihr davon? Wäre soetwas sinnvoll?
Bis dann & frohe Ostern,
Micro
-
- Moderator
- Posts: 1878
- Joined: 2003-06-27 14:37
- Location: Germering
Re: wurden angegriffen
moinsen,
IMHO hast du keine gute Chancen, selbst falls du die IP des "Angreifers" hast.
Wodurch wurde der Traffic verursacht dDos oder download?
Gruß Christian
IMHO hast du keine gute Chancen, selbst falls du die IP des "Angreifers" hast.
Wodurch wurde der Traffic verursacht dDos oder download?
Gruß Christian
-
- Posts: 120
- Joined: 2004-04-04 21:24
Re: wurden angegriffen
Hi,
gute Frage - eben das wissen wir auch nicht. Nur wenn es Download wär, hätte der Server ja pingbar sein müssen. War er aber nicht! Ich versteh das nicht. Wie kann ein Server soviel Traffic verursachen, wenn er nicht mal pingbar ist?
Da der Angreifer eine Backdoor (wahrscheinlich SucKIT) benutzt hat, werden wir den Server nun wieder im normalen Mode booten und alles mitloggen :roll:
Denn irgendwie muss ja jemand auf diesen Server connecten
gute Frage - eben das wissen wir auch nicht. Nur wenn es Download wär, hätte der Server ja pingbar sein müssen. War er aber nicht! Ich versteh das nicht. Wie kann ein Server soviel Traffic verursachen, wenn er nicht mal pingbar ist?
Da der Angreifer eine Backdoor (wahrscheinlich SucKIT) benutzt hat, werden wir den Server nun wieder im normalen Mode booten und alles mitloggen :roll:
Denn irgendwie muss ja jemand auf diesen Server connecten
-
- Posts: 553
- Joined: 2002-10-05 16:39
- Location: D'dorf
Re: wurden angegriffen
Das halte ich für fahrlässig! Als erstes würde ich was noch zu retten ist sichern und die Kiste neu initialisieren lassen. Erst dann macht es Sinn eine Pseudo-Backdoor zu installieren, um evtl. den Cracker zu finden. Beim kompromittierten System kannst du zu 0% wissen, was alles verändert wurde!microhome wrote:Da der Angreifer eine Backdoor (wahrscheinlich SucKIT) benutzt hat, werden wir den Server nun wieder im normalen Mode booten und alles mitloggen
-
- Posts: 1675
- Joined: 2003-07-06 02:03
Re: wurden angegriffen
Hallo,
Gruß, Wolfgang
Natürlich sind die Logfiles seit dem Datum gelöscht.
Hast die Frage ob's sinnvoll ist doch schon beantwortet.:oops:normalen Mode booten und alles mitloggen
Gruß, Wolfgang
-
- Posts: 120
- Joined: 2004-04-04 21:24
Re: wurden angegriffen
Hä? *räusper* Entschuldige, aber soweit ich weiß, löscht suckIT nicht jede beliebige LogDatei (schon gar nicht von selbstgeschriebenden Scripten), sondern nur die syslogd Files und andere Logs, in denen standardmäßig IPs drinstehen. Die Daten sind schon seit langem gesichert.
Wir haben einen komplett neuen Server bestellt und diesen hier zum Ende nächsten Monats gekündigt. Sodass er lediglich noch als Köder fungieren kann. Ich hoffe das klappt so! :roll:
Wir haben einen komplett neuen Server bestellt und diesen hier zum Ende nächsten Monats gekündigt. Sodass er lediglich noch als Köder fungieren kann. Ich hoffe das klappt so! :roll:
-
- Posts: 1675
- Joined: 2003-07-06 02:03
Re: wurden angegriffen
Hallo,
Du gehst also davon aus, daß der Angreifer keinen Rootzugang hatte. Wie hat er dann ein Rootkit installiert? :roll:
Köder wofür? Für die IP einen anonymen Proxy, eines Internetcafes in Australien oder eines Einwahlproviders in Südafrika?
Oder Köder für die nächsten 300GB? :oops:
Gruß, Wolfgang
Du gehst also davon aus, daß der Angreifer keinen Rootzugang hatte. Wie hat er dann ein Rootkit installiert? :roll:
Köder wofür? Für die IP einen anonymen Proxy, eines Internetcafes in Australien oder eines Einwahlproviders in Südafrika?
Oder Köder für die nächsten 300GB? :oops:
Gruß, Wolfgang
-
- Posts: 120
- Joined: 2004-04-04 21:24
Re: wurden angegriffen
Hi wgot,
naja, so ein Rootkit kann man ja wohl auch durch z.B. nen Apache Exploit o.Ã?. installieren. Dafür brauchst du als keinen DIREKTEN Root-Zugriff.
Was den anonymen Proxy angeht, so ist das auch Quatsch, da gesetzlich all diese Anbieter ihre Logs für 80 Tage mitlaufen (bzw. speichern) müssen.
Naja wir werden sehen. Ich werde dir Kiste ja auch nicht die ganze Zeit am Laufen haben sondern vielliecht eine halbe Stunde oder so..
Cu & Danke,
Micro
naja, so ein Rootkit kann man ja wohl auch durch z.B. nen Apache Exploit o.Ã?. installieren. Dafür brauchst du als keinen DIREKTEN Root-Zugriff.
Was den anonymen Proxy angeht, so ist das auch Quatsch, da gesetzlich all diese Anbieter ihre Logs für 80 Tage mitlaufen (bzw. speichern) müssen.
Naja wir werden sehen. Ich werde dir Kiste ja auch nicht die ganze Zeit am Laufen haben sondern vielliecht eine halbe Stunde oder so..
Cu & Danke,
Micro
-
- Posts: 2138
- Joined: 2002-12-15 00:10
- Location: Bergheim
Re: wurden angegriffen
Ich lach mich schlapp, YMMD.
-
- Posts: 1675
- Joined: 2003-07-06 02:03
Re: wurden angegriffen
@microhome
[ ] die Gesetze sind in allen Ländern dieser Welt identisch.
[ ] Du weißt, was ein Rootkit ist.
[x] Ich geb's auf.
[ ] die Gesetze sind in allen Ländern dieser Welt identisch.
[ ] Du weißt, was ein Rootkit ist.
[x] Ich geb's auf.
-
- Posts: 1500
- Joined: 2002-12-04 10:22
- Location: 4. Server von rechts, 2. Reihe von oben
Re: wurden angegriffen
Das kenne ich aber anders rum ....Was den anonymen Proxy angeht, so ist das auch Quatsch, da gesetzlich all diese Anbieter ihre Logs für 80 Tage mitlaufen (bzw. speichern) müssen.
Gruß Outi
-
- Posts: 120
- Joined: 2004-04-04 21:24
Re: wurden angegriffen
Schön, dass eure Antworten so unheimlich viel Inhalt haben. Damit kann ich jetzt so richtig viel Anfangen *rofl*
-
- Posts: 2138
- Joined: 2002-12-15 00:10
- Location: Bergheim
Re: wurden angegriffen
Wurde doch schon alles gesagt.
Was du vor hast, ist grober Unsinn und indiskutabel. Nebenbei ist dein Halbwissen sehr amüsant (und gefährlich, nicht nur für dich, auch für andere).
Was du vor hast, ist grober Unsinn und indiskutabel. Nebenbei ist dein Halbwissen sehr amüsant (und gefährlich, nicht nur für dich, auch für andere).
-
- Posts: 120
- Joined: 2004-04-04 21:24
Re: wurden angegriffen
Alles klar, Halbwissen :? :roll:
-
- Posts: 553
- Joined: 2002-10-05 16:39
- Location: D'dorf
Re: wurden angegriffen
Du solltest nicht jede Kritik einfach so abblocken, du kannst davon ausgeben, dass wir dir hier (im Großteil der Fälle) keinen Mist erzählen. Beschäftige dich bitte grundsätzlich mit den Themen, über die du hier zu referieren gedenkst..microhome wrote:Alles klar, Halbwissen
-
- Posts: 13
- Joined: 2002-10-10 11:54
- Location: Dortmund
Re: wurden angegriffen
Ist das so ?microhome wrote: Was den anonymen Proxy angeht, so ist das auch Quatsch, da gesetzlich all diese Anbieter ihre Logs für 80 Tage mitlaufen (bzw. speichern) müssen.
Nun stell ich mir gerade vor das der Typ, der deinen Server unter seiner Kontrolle hatte, bei dir einen Proxy installiert hat und vielleicht irgend jemand über deinen Server einen anderen Server angegriffen hast.
In diesem Fall müßtes du ja bald bescheid bekommen und das Log vorlegen das den Zugriff belegt... ups... ich habs vergessen... du hast ja gar keine Logs.... dumme Sache.... Dabei bist du doch anscheinend verpflichtet 80 Tage Logs mitlaufen zu lassen wenn du einen Proxy angeboten hast.... hmmmm....
Just my 2 cents