Hallo,
hatte heute Nacht unerwünschten Besuch. Dieser hat unter einem bestimmten webx Daten transferiert, was genau weiß ich nicht, habe das webx gelöscht, die entsprechenden Prozesse und den Server neu gestartet. Der hat mehr als 90 GB heute verschoben.
Nun will ich nach Dateien suchen, die dem webx gehören. Gibt es da über die Shell einen Suchbefehl?
Danke, Gruss Enrico
Server gehackt
-
duergner
- Posts: 923
- Joined: 2003-08-20 11:30
- Location: Pittsburgh, PA, USA
Re: Server gehackt
Einzige sauber Lösung: Daten!!! sichern und Server neu aufsetzen. Alles andere ist und bleibt Unfug.
-
eunio
- Posts: 25
- Joined: 2003-12-11 16:22
Re: Server gehackt
Denke ich auch, der Server wird eh bald für einen anderen Zweck verwendet, und müsste dann sowieso neu installiert werden. Ich riskiere mal die drei Tage noch.
Danke, Gruss Enrico
Danke, Gruss Enrico
-
chris76
- Posts: 1878
- Joined: 2003-06-27 14:37
- Location: Germering
Re: Server gehackt
Unverantwortlich *kopfschüttel*.eunio wrote: Ich riskiere mal die drei Tage noch.
Tu uns allen den gefallen und nimm den Server bitte vom Netz !!!!
Gruß Christian
BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error
BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Server gehackt
man findeunio wrote:Nun will ich nach Dateien suchen, die dem webx gehören. Gibt es da über die Shell einen Suchbefehl?
...und wenn möglich sofort den Server neu aufsetzen ;)
Ansonsten alle Dienste ausser SSH beenden und ggf eine IPTables-Regel einrichten, die jeglichen ein- und ausgehenden Transfer (ausser SSH) blockiert...und danach möglichst schnell den Server neu aufsetzen.
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
Re: Server gehackt
Sofern derjenige bereits auf der Kiste drauf ist (und gewisse Nebenbedingungen erfüllt sind, wovon ich in diese Fall ausgehe) dürfte es wohl auch dafür bereits zu spät sein. :roll:Ansonsten alle Dienste ausser SSH beenden und ggf eine IPTables-Regel einrichten, die jeglichen ein- und ausgehenden Transfer (ausser SSH) blockiert
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
-
outofbound
- Posts: 470
- Joined: 2002-05-14 13:02
- Location: Karlsruhe City
Re: Server gehackt
Ich weiss nicht, was in deinem Kopf los ist, aber vielleicht sollte ich folgendes Zitat in den Raum stellen: (Ja, auch ich war mal Anfänger und hatte Mist gebaut, mein Kollege damals meinte untiges zu mir..wobei das allerdings schon ein paar... *g* Jährechen her ist. ;) )
"Wenn ich auch nur einen Loginversuch von deiner Kiste kriege, hagelts ne Anzeige, das ist dir klar, oder?"
Deshalb: Runter mit der Kiste, neu aufsetzen...
Gruss,
Out
"Wenn ich auch nur einen Loginversuch von deiner Kiste kriege, hagelts ne Anzeige, das ist dir klar, oder?"
Deshalb: Runter mit der Kiste, neu aufsetzen...
Gruss,
Out