portscann vom Server auf andere Server
-
- Posts: 211
- Joined: 2003-03-11 16:52
portscann vom Server auf andere Server
Hi,
Ein bekannter rief mich verzweifelt an, das Seine 1und1 Root angeblich andere Server per portscann belästigt. lt. schreiben von 1und1.
Meine Frage:
1) wie kann ich es rausfinden ob dem so ist?
2) Wie kann ich unterbinden?
3) Für die Zukunft, wie schütze ich mich am besten?
Den Server neu aufzusetzen ist nur die letzte notbremse ...
lt. den logs scheint nichts aufälliges geschen zu sein ...
was aufällig ist ... im verzeichnis /tmp befand sich ein verzeichnis /.Live
n diesem verzeichnis habe ich seltsamerweise mehr als ein script gefunden was darauf hindeutet das die ersteller aus .ro kommen.
Weiter hin ist aufällig das ein cron job erstellt wurde ... als der user wrun ...
Alles sehr seltsam.
Ich werde heute abend noch mal den Inhalt der scripts posten da ich auf arbeit bin.
Wäre dankbra für jede Hilfe ....
Gruß
Ein bekannter rief mich verzweifelt an, das Seine 1und1 Root angeblich andere Server per portscann belästigt. lt. schreiben von 1und1.
Meine Frage:
1) wie kann ich es rausfinden ob dem so ist?
2) Wie kann ich unterbinden?
3) Für die Zukunft, wie schütze ich mich am besten?
Den Server neu aufzusetzen ist nur die letzte notbremse ...
lt. den logs scheint nichts aufälliges geschen zu sein ...
was aufällig ist ... im verzeichnis /tmp befand sich ein verzeichnis /.Live
n diesem verzeichnis habe ich seltsamerweise mehr als ein script gefunden was darauf hindeutet das die ersteller aus .ro kommen.
Weiter hin ist aufällig das ein cron job erstellt wurde ... als der user wrun ...
Alles sehr seltsam.
Ich werde heute abend noch mal den Inhalt der scripts posten da ich auf arbeit bin.
Wäre dankbra für jede Hilfe ....
Gruß
-
- Posts: 470
- Joined: 2002-05-14 13:02
- Location: Karlsruhe City
Re: portscann vom Server auf andere Server
"Den Server neu aufzusetzen ist nur die letzte notbremse ... "
Nein, es ist deine einzige Möglichkeit jemals wieder sicher zu sein, wenn
du gehackt wurdest.
Ansonsten die Antworten deiner Fragen:
1) Logfiles lesen, bzw. richtige Logifles erstellen und erkennen
2) Wahrscheinlich gar nicht, ausser Server runterfahren
3) Einen fähigen Admin einstellen.
Nein, es ist deine einzige Möglichkeit jemals wieder sicher zu sein, wenn
du gehackt wurdest.
Ansonsten die Antworten deiner Fragen:
1) Logfiles lesen, bzw. richtige Logifles erstellen und erkennen
2) Wahrscheinlich gar nicht, ausser Server runterfahren
3) Einen fähigen Admin einstellen.
-
- Posts: 604
- Joined: 2002-11-20 21:32
- Location: Vaihingen und Karlsruhe
Re: portscann vom Server auf andere Server
Und genau die solltest du hier ziehen. Der Server ist kompromittiert, unerwünschte Gäste haben zumindest Benutzer-, wenn nicht root-Zugriff, und du kannst dir auch bei noch so genauer Entfernung der Hinterlassenschaften nicht sicher sein, dass nicht doch etwas übrig ist.xamibor wrote:Den Server neu aufzusetzen ist nur die letzte notbremse ...
-
- Project Manager
- Posts: 11139
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: portscann vom Server auf andere Server
Nein, es ist die einzige Möglichkeit einen gecrackten Server remote wieder sauber zu bekommen. Und ja, der Server wurde gecrackt und wird zum Cracken anderer Server verwendet! Dass das am Netz belassen eines gecrackten Servers sehr schnell sehr teuer werden kann und in Deinem Fall höchstwahrscheinlich (>80%) auch wird, ist Dir bewusst?xamibor wrote:Den Server neu aufzusetzen ist nur die letzte notbremse ...
Code: Select all
shutdown -h now
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
- Posts: 211
- Joined: 2003-03-11 16:52
Re: portscann vom Server auf andere Server
Danke für die Tipps.
Ich werde meinen bekannten raten die Notbremse zu ziehen.
Eine Andere Frage zu diesem Thema.
Hatt mann irgendwie ein checkliste erstellt die nach so einem zwischenfall Helfen kann den Server zu sichern?
Ich meine eine Liste die z.B. ein Pilot vor dem Abflug nutzt. Um sicher zu gehen das alles was in seiner machsteht zu sichern.
Die Frage klingt blöd ich weiß. Nur der Bekannte kann es sich nicht leisten da es sich um ein gemeinützigen verein handelt die für einen echten "Admin" nicht die mittel hat.
Die FAQ in diesem Forum sind super. jedoch Wäre so eine check lste sehr sinnvoll.
Ich werde meinen bekannten raten die Notbremse zu ziehen.
Eine Andere Frage zu diesem Thema.
Hatt mann irgendwie ein checkliste erstellt die nach so einem zwischenfall Helfen kann den Server zu sichern?
Ich meine eine Liste die z.B. ein Pilot vor dem Abflug nutzt. Um sicher zu gehen das alles was in seiner machsteht zu sichern.
Die Frage klingt blöd ich weiß. Nur der Bekannte kann es sich nicht leisten da es sich um ein gemeinützigen verein handelt die für einen echten "Admin" nicht die mittel hat.
Die FAQ in diesem Forum sind super. jedoch Wäre so eine check lste sehr sinnvoll.
-
- Posts: 470
- Joined: 2002-05-14 13:02
- Location: Karlsruhe City
Re: portscann vom Server auf andere Server
Nein, sowas gibt es nicht.
Wenn die Kiste einmal kompromitiert wurde, isses vorbei. Aus, Amen.
Wenn der Verein kein Geld hat und auch noch Gemmeinnützig ist, dann
sollen Sie sich nen Admin mit nem grossen Herz suchen oder ein
Shared Hosting bestellen. Die 20 Euro kann dann der jetztige
Admin spenden, der höchstwahrscheinlich unfähig ist und es deshalb
als Lehrgeld ansehen soll.
Sorry der harten Worte, aber das ist halt nunmal so.
Serveradministration lernt man nicht "einfach so".
[edit]
Und wenn meine Kiste gescannt wird oder ein Angriffsversuch kommt,
dann wird deinen Bekannten was ganz was anderes erwarten als nur
eine Rüge vom Provider, da kannst du dir sicher sein.
[/edit]
Gruss,
Out
Wenn die Kiste einmal kompromitiert wurde, isses vorbei. Aus, Amen.
Wenn der Verein kein Geld hat und auch noch Gemmeinnützig ist, dann
sollen Sie sich nen Admin mit nem grossen Herz suchen oder ein
Shared Hosting bestellen. Die 20 Euro kann dann der jetztige
Admin spenden, der höchstwahrscheinlich unfähig ist und es deshalb
als Lehrgeld ansehen soll.
Sorry der harten Worte, aber das ist halt nunmal so.
Serveradministration lernt man nicht "einfach so".
[edit]
Und wenn meine Kiste gescannt wird oder ein Angriffsversuch kommt,
dann wird deinen Bekannten was ganz was anderes erwarten als nur
eine Rüge vom Provider, da kannst du dir sicher sein.
[/edit]
Gruss,
Out
-
- Posts: 211
- Joined: 2003-03-11 16:52
Re: portscann vom Server auf andere Server
würde es denn nicht mal sinn machen so eine Liste zu erstellen?
Ich selber habe eine root server .... jedoch nur zu testzwecken ... gehöre zu den unwürdigen admins
So eine liste würde solchen leuten Helfen wie meinem bekannten das ganze sicher zu machen ... soweit es möglich ist
Meine verbindung zu dem verein ist das ich deren Webseite gemacht habe.
Und da mein System verschiedene dinge benötigt die kein Shared Hosting bietet ... deswegen muss das system auf einem root Server laufen.
Sicher nervt es auch Profis wenn solche fragen kommen .... kann ich verstehen. nur mann kann nicht auf allen Hochzeiten tanzen ohne dabei vor die Hunde zu gehen .... und es hat sicherlich nicht jeder von euch eine abgeschlosene Ausbildung / Studium zum Server Administrator gemacht .... und auch mal klein angefangen.
Ich hoffe ihre versteht es nicht falsch sondern als ein apell, wissen weiter zu geben welches ihre in euren anfängen auch von den "alten Profis" erfragt habt. ...
Danke für euere Hilfe.
Gruß
Aus der Stadt des Deutschen Meisters
Ich selber habe eine root server .... jedoch nur zu testzwecken ... gehöre zu den unwürdigen admins
So eine liste würde solchen leuten Helfen wie meinem bekannten das ganze sicher zu machen ... soweit es möglich ist
Meine verbindung zu dem verein ist das ich deren Webseite gemacht habe.
Und da mein System verschiedene dinge benötigt die kein Shared Hosting bietet ... deswegen muss das system auf einem root Server laufen.
Sicher nervt es auch Profis wenn solche fragen kommen .... kann ich verstehen. nur mann kann nicht auf allen Hochzeiten tanzen ohne dabei vor die Hunde zu gehen .... und es hat sicherlich nicht jeder von euch eine abgeschlosene Ausbildung / Studium zum Server Administrator gemacht .... und auch mal klein angefangen.
Ich hoffe ihre versteht es nicht falsch sondern als ein apell, wissen weiter zu geben welches ihre in euren anfängen auch von den "alten Profis" erfragt habt. ...
Danke für euere Hilfe.
Gruß
Aus der Stadt des Deutschen Meisters
-
- Posts: 470
- Joined: 2002-05-14 13:02
- Location: Karlsruhe City
Re: portscann vom Server auf andere Server
Es liegt nicht daran, dass es Leute schon versucht haben, sondern dass man soxamibor wrote:würde es denn nicht mal sinn machen so eine Liste zu erstellen?
eine Liste im Prinzip für jeden Server komplett neu erstellen muss. Wenn man da
dann auf vorhandenes zurückgreift übersieht man zu schnell etwas.
Und warum tuts nicht ein 50 Euro Rechner zu Hause unterm Schreibtisch? KostetIch selber habe eine root server .... jedoch nur zu testzwecken ... gehöre zu den unwürdigen admins![]()
nur einmalig und ist viel lehrreicher.
Stell es dir mal so vor: Würde es dir helfen einen Stuntführerschein zu machen wennSo eine liste würde solchen leuten Helfen wie meinem bekannten das ganze sicher zu machen ... soweit es möglich ist![]()
du nicht mal Autofahren kannst? Nein, eben nicht, weil dir die GRUNDLAGEN fehlen.
Ich kenne nur ganz ganz wenige Dinge die einen Rootzugriff benötigen... was sollMeine verbindung zu dem verein ist das ich deren Webseite gemacht habe.
Und da mein System verschiedene dinge benötigt die kein Shared Hosting bietet ... deswegen muss das system auf einem root Server laufen.
das denn sein?
Es geht nicht darum, dass es nervt, sondern dass du dich und andere in akute finanzielle undSicher nervt es auch Profis wenn solche fragen kommen .... kann ich verstehen. nur mann
auch rechtliche Gefahr bringst.
Kennst du den Spruch "Schuster, bleib bei deinen Leisten?" ... Würdest du dir deinkann nicht auf allen Hochzeiten tanzen ohne dabei vor die Hunde zu gehen .... und es hat sicherlich nicht jeder von euch eine abgeschlosene Ausbildung / Studium zum Server Administrator gemacht .... und auch mal klein angefangen.
Bad komplett bauen oder einen Sanitärler beauftragen weil du es nicht kannst? Wie
siehts mit Architekt aus? Autobauer? Das sind alles komplexe Dinge, für die man
Geld ausgibt, weil ein FACHMANN nötig ist. Serveradministration ist nichts anderes.
Oder man muss sich halt damit ausseinandersetzen und das ganze lernen. Dafür
braucht man keine Ausbildung, aber 2 oder 3000 Euro wird man schonmal in
die Theorie investieren müssen. (Rechner zu Hause, Literatur, Kurse, etc)
Steht alles in zitausend Büchern, die über das Thema gedruckt wurden, schalt die KisteIch hoffe ihre versteht es nicht falsch sondern als ein apell, wissen weiter zu geben welches ihre in euren anfängen auch von den "alten Profis" erfragt habt. ...![]()
aus, bestell dir die Bücher und übe daheim (Oder halt dein Kumpel, ist ja egal).
Versteh mich nicht falsch, das sind aber einfach Tatsachen, die wir "Profis" jedem
einzelnen "Newbie" vermitteln können und müssen, weil es die einzige (Und wirklich
die einzige) Herangehensweise darstellt.
Gruss,
Out
[edit]
http://www.rootforum.org/faq/index.php ... 04&lang=de
Siehste, ich bin gar kein so böser Mensch. ;)
[edit]
-
- Posts: 211
- Joined: 2003-03-11 16:52
Re: portscann vom Server auf andere Server
Nun, um eine Brücke zu bauen wäre es sicherlich Hilfreich ein paar Buch tipps zu geben.
Ein Punkt den ich in den FAQ noch nicht gefunden habe.
Gruß
Ein Punkt den ich in den FAQ noch nicht gefunden habe.
Gruß
-
- Posts: 470
- Joined: 2002-05-14 13:02
- Location: Karlsruhe City
Re: portscann vom Server auf andere Server
Boardsuche?
-
- Posts: 3840
- Joined: 2003-01-21 01:59
- Location: Sinsheim/Karlsruhe
Re: portscann vom Server auf andere Server
Also Buchtipps gibts und gabs hier im Forum schon unzählige!!
-
- Posts: 82
- Joined: 2002-06-03 21:53
- Location: Brandenburg
Re: portscann vom Server auf andere Server
Angriff OK, aber seit wann ist ein PortScan strafbar?OutOfBound wrote: Und wenn meine Kiste gescannt wird oder ein Angriffsversuch kommt,
dann wird deinen Bekannten was ganz was anderes erwarten als nur
eine Rüge vom Provider, da kannst du dir sicher sein.
Rob
-
- Posts: 470
- Joined: 2002-05-14 13:02
- Location: Karlsruhe City
Re: portscann vom Server auf andere Server
Hi,
Rein juristisch gesehen:
Da kann man darüber spekulieren. Spätestens aber wenn erkennbar wird, dass diese
Portscans das Ziel haben entsprechende Angriffe durchzuführen, (Zum Beispiel wenn andere Rechner geknackt wurden) kann man die als Indiz für einen Angriff werten. Wenn das
dann auch noch im "Grossen Stil" gemacht wird, wird man irgendwann einmal in
Erklärungsnot geraten, warum solche Scans denn ein anderes Ziel haben als einen
Angriff vorzubereiten.
Davon abgesehen, kann man dann auch noch andere Schritte einleiten, auch wenn es
keine Straftat ist, z.B. auf Unterlassung gehen, auch das ist schon ordentlich
Papierkram. ;)
Ich bin kein Anwalt... keine Rechtsberatung, IANAL, IDELLO.
Gruss,
Out
Rein juristisch gesehen:
Da kann man darüber spekulieren. Spätestens aber wenn erkennbar wird, dass diese
Portscans das Ziel haben entsprechende Angriffe durchzuführen, (Zum Beispiel wenn andere Rechner geknackt wurden) kann man die als Indiz für einen Angriff werten. Wenn das
dann auch noch im "Grossen Stil" gemacht wird, wird man irgendwann einmal in
Erklärungsnot geraten, warum solche Scans denn ein anderes Ziel haben als einen
Angriff vorzubereiten.
Davon abgesehen, kann man dann auch noch andere Schritte einleiten, auch wenn es
keine Straftat ist, z.B. auf Unterlassung gehen, auch das ist schon ordentlich
Papierkram. ;)
Ich bin kein Anwalt... keine Rechtsberatung, IANAL, IDELLO.
Gruss,
Out