wurden angegriffen

Rund um die Sicherheit des Systems und die Applikationen
microhome
Posts: 120
Joined: 2004-04-04 21:24

wurden angegriffen

Post by microhome » 2004-04-10 17:32

Hi ihr,
unser Server ist Opfer eines Hack-Angriffes geworden. r läuft jetzt im Rescue Mode. Es wurde ein Traffic von voraussichtlich über 300 GByte verursacht. Benutzt wurde das backdoor Tool suchkit.
Sobald der Server im Normalen Modus gebootet wird, ist er weder pingbar, noch via SSH erreichbar. Wir wollen die IP des Angreifers herausbekommen. Natürlich sind die Logfiles seit dem Datum gelöscht. Jedoch sollte es ja möglich sein, eine eigene Backdoor zu benutzen, welche und sämtliche IPs, die auf den Server connecten, mitloggt, sodass wir diese dann später im Rescue Mode lesen haben. Was haltet ihr davon? Wäre soetwas sinnvoll?


Bis dann & frohe Ostern,
Micro

chris76
Moderator
Moderator
Posts: 1878
Joined: 2003-06-27 14:37
Location: Germering

Re: wurden angegriffen

Post by chris76 » 2004-04-10 18:05

moinsen,

IMHO hast du keine gute Chancen, selbst falls du die IP des "Angreifers" hast.
Wodurch wurde der Traffic verursacht dDos oder download?

Gruß Christian

microhome
Posts: 120
Joined: 2004-04-04 21:24

Re: wurden angegriffen

Post by microhome » 2004-04-10 18:08

Hi,
gute Frage - eben das wissen wir auch nicht. Nur wenn es Download wär, hätte der Server ja pingbar sein müssen. War er aber nicht! Ich versteh das nicht. Wie kann ein Server soviel Traffic verursachen, wenn er nicht mal pingbar ist?

Da der Angreifer eine Backdoor (wahrscheinlich SucKIT) benutzt hat, werden wir den Server nun wieder im normalen Mode booten und alles mitloggen :roll:

Denn irgendwie muss ja jemand auf diesen Server connecten :wink:

darkspirit
Posts: 553
Joined: 2002-10-05 16:39
Location: D'dorf

Re: wurden angegriffen

Post by darkspirit » 2004-04-10 18:26

microhome wrote:Da der Angreifer eine Backdoor (wahrscheinlich SucKIT) benutzt hat, werden wir den Server nun wieder im normalen Mode booten und alles mitloggen
Das halte ich für fahrlässig! Als erstes würde ich was noch zu retten ist sichern und die Kiste neu initialisieren lassen. Erst dann macht es Sinn eine Pseudo-Backdoor zu installieren, um evtl. den Cracker zu finden. Beim kompromittierten System kannst du zu 0% wissen, was alles verändert wurde!

wgot
Posts: 1675
Joined: 2003-07-06 02:03

Re: wurden angegriffen

Post by wgot » 2004-04-10 18:30

Hallo,
Natürlich sind die Logfiles seit dem Datum gelöscht.
normalen Mode booten und alles mitloggen
Hast die Frage ob's sinnvoll ist doch schon beantwortet.:oops:

Gruß, Wolfgang

microhome
Posts: 120
Joined: 2004-04-04 21:24

Re: wurden angegriffen

Post by microhome » 2004-04-10 18:41

Hä? *räusper* Entschuldige, aber soweit ich weiß, löscht suckIT nicht jede beliebige LogDatei (schon gar nicht von selbstgeschriebenden Scripten), sondern nur die syslogd Files und andere Logs, in denen standardmäßig IPs drinstehen. Die Daten sind schon seit langem gesichert.
Wir haben einen komplett neuen Server bestellt und diesen hier zum Ende nächsten Monats gekündigt. Sodass er lediglich noch als Köder fungieren kann. Ich hoffe das klappt so! :roll:

wgot
Posts: 1675
Joined: 2003-07-06 02:03

Re: wurden angegriffen

Post by wgot » 2004-04-10 18:58

Hallo,

Du gehst also davon aus, daß der Angreifer keinen Rootzugang hatte. Wie hat er dann ein Rootkit installiert? :roll:

Köder wofür? Für die IP einen anonymen Proxy, eines Internetcafes in Australien oder eines Einwahlproviders in Südafrika?
Oder Köder für die nächsten 300GB? :oops:

Gruß, Wolfgang

microhome
Posts: 120
Joined: 2004-04-04 21:24

Re: wurden angegriffen

Post by microhome » 2004-04-10 19:20

Hi wgot,
naja, so ein Rootkit kann man ja wohl auch durch z.B. nen Apache Exploit o.Ã?. installieren. Dafür brauchst du als keinen DIREKTEN Root-Zugriff.
Was den anonymen Proxy angeht, so ist das auch Quatsch, da gesetzlich all diese Anbieter ihre Logs für 80 Tage mitlaufen (bzw. speichern) müssen.

Naja wir werden sehen. Ich werde dir Kiste ja auch nicht die ganze Zeit am Laufen haben sondern vielliecht eine halbe Stunde oder so..


Cu & Danke,
Micro

oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim

Re: wurden angegriffen

Post by oxygen » 2004-04-10 19:28

Ich lach mich schlapp, YMMD.

wgot
Posts: 1675
Joined: 2003-07-06 02:03

Re: wurden angegriffen

Post by wgot » 2004-04-10 19:34

@microhome

[ ] die Gesetze sind in allen Ländern dieser Welt identisch.
[ ] Du weißt, was ein Rootkit ist.
[x] Ich geb's auf.

Outlaw
Posts: 1500
Joined: 2002-12-04 10:22
Location: 4. Server von rechts, 2. Reihe von oben

Re: wurden angegriffen

Post by Outlaw » 2004-04-10 19:52

Was den anonymen Proxy angeht, so ist das auch Quatsch, da gesetzlich all diese Anbieter ihre Logs für 80 Tage mitlaufen (bzw. speichern) müssen.
Das kenne ich aber anders rum ....

Gruß Outi

microhome
Posts: 120
Joined: 2004-04-04 21:24

Re: wurden angegriffen

Post by microhome » 2004-04-10 20:52

Schön, dass eure Antworten so unheimlich viel Inhalt haben. Damit kann ich jetzt so richtig viel Anfangen *rofl*

oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim

Re: wurden angegriffen

Post by oxygen » 2004-04-10 20:56

Wurde doch schon alles gesagt.
Was du vor hast, ist grober Unsinn und indiskutabel. Nebenbei ist dein Halbwissen sehr amüsant (und gefährlich, nicht nur für dich, auch für andere).

microhome
Posts: 120
Joined: 2004-04-04 21:24

Re: wurden angegriffen

Post by microhome » 2004-04-10 22:26

Alles klar, Halbwissen :? :roll:

darkspirit
Posts: 553
Joined: 2002-10-05 16:39
Location: D'dorf

Re: wurden angegriffen

Post by darkspirit » 2004-04-10 23:22

microhome wrote:Alles klar, Halbwissen
Du solltest nicht jede Kritik einfach so abblocken, du kannst davon ausgeben, dass wir dir hier (im Großteil der Fälle) keinen Mist erzählen. Beschäftige dich bitte grundsätzlich mit den Themen, über die du hier zu referieren gedenkst..

sunrabbit
Posts: 13
Joined: 2002-10-10 11:54
Location: Dortmund

Re: wurden angegriffen

Post by sunrabbit » 2004-04-11 14:12

microhome wrote: Was den anonymen Proxy angeht, so ist das auch Quatsch, da gesetzlich all diese Anbieter ihre Logs für 80 Tage mitlaufen (bzw. speichern) müssen.
Ist das so ?

Nun stell ich mir gerade vor das der Typ, der deinen Server unter seiner Kontrolle hatte, bei dir einen Proxy installiert hat und vielleicht irgend jemand über deinen Server einen anderen Server angegriffen hast.
In diesem Fall müßtes du ja bald bescheid bekommen und das Log vorlegen das den Zugriff belegt... ups... ich habs vergessen... du hast ja gar keine Logs.... dumme Sache.... Dabei bist du doch anscheinend verpflichtet 80 Tage Logs mitlaufen zu lassen wenn du einen Proxy angeboten hast.... hmmmm....

Just my 2 cents :)