portscann vom Server auf andere Server

Rund um die Sicherheit des Systems und die Applikationen
xamibor
Posts: 211
Joined: 2003-03-11 16:52

portscann vom Server auf andere Server

Post by xamibor » 2004-11-25 15:25

Hi,

Ein bekannter rief mich verzweifelt an, das Seine 1und1 Root angeblich andere Server per portscann belästigt. lt. schreiben von 1und1.

Meine Frage:
1) wie kann ich es rausfinden ob dem so ist?
2) Wie kann ich unterbinden?
3) Für die Zukunft, wie schütze ich mich am besten?

Den Server neu aufzusetzen ist nur die letzte notbremse ...

lt. den logs scheint nichts aufälliges geschen zu sein ...

was aufällig ist ... im verzeichnis /tmp befand sich ein verzeichnis /.Live

n diesem verzeichnis habe ich seltsamerweise mehr als ein script gefunden was darauf hindeutet das die ersteller aus .ro kommen.

Weiter hin ist aufällig das ein cron job erstellt wurde ... als der user wrun ...

Alles sehr seltsam.

Ich werde heute abend noch mal den Inhalt der scripts posten da ich auf arbeit bin.

Wäre dankbra für jede Hilfe ....

Gruß

outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City

Re: portscann vom Server auf andere Server

Post by outofbound » 2004-11-25 15:33

"Den Server neu aufzusetzen ist nur die letzte notbremse ... "

Nein, es ist deine einzige Möglichkeit jemals wieder sicher zu sein, wenn
du gehackt wurdest.

Ansonsten die Antworten deiner Fragen:

1) Logfiles lesen, bzw. richtige Logifles erstellen und erkennen
2) Wahrscheinlich gar nicht, ausser Server runterfahren
3) Einen fähigen Admin einstellen.

wirsing
Posts: 604
Joined: 2002-11-20 21:32
Location: Vaihingen und Karlsruhe

Re: portscann vom Server auf andere Server

Post by wirsing » 2004-11-25 15:35

xamibor wrote:Den Server neu aufzusetzen ist nur die letzte notbremse ...
Und genau die solltest du hier ziehen. Der Server ist kompromittiert, unerwünschte Gäste haben zumindest Benutzer-, wenn nicht root-Zugriff, und du kannst dir auch bei noch so genauer Entfernung der Hinterlassenschaften nicht sicher sein, dass nicht doch etwas übrig ist.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: portscann vom Server auf andere Server

Post by Joe User » 2004-11-25 15:35

xamibor wrote:Den Server neu aufzusetzen ist nur die letzte notbremse ...
Nein, es ist die einzige Möglichkeit einen gecrackten Server remote wieder sauber zu bekommen. Und ja, der Server wurde gecrackt und wird zum Cracken anderer Server verwendet! Dass das am Netz belassen eines gecrackten Servers sehr schnell sehr teuer werden kann und in Deinem Fall höchstwahrscheinlich (>80%) auch wird, ist Dir bewusst?

Code: Select all

shutdown -h now
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

xamibor
Posts: 211
Joined: 2003-03-11 16:52

Re: portscann vom Server auf andere Server

Post by xamibor » 2004-11-25 16:27

Danke für die Tipps.

Ich werde meinen bekannten raten die Notbremse zu ziehen.

Eine Andere Frage zu diesem Thema.

Hatt mann irgendwie ein checkliste erstellt die nach so einem zwischenfall Helfen kann den Server zu sichern?

Ich meine eine Liste die z.B. ein Pilot vor dem Abflug nutzt. Um sicher zu gehen das alles was in seiner machsteht zu sichern.

Die Frage klingt blöd ich weiß. Nur der Bekannte kann es sich nicht leisten da es sich um ein gemeinützigen verein handelt die für einen echten "Admin" nicht die mittel hat.

Die FAQ in diesem Forum sind super. jedoch Wäre so eine check lste sehr sinnvoll.

outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City

Re: portscann vom Server auf andere Server

Post by outofbound » 2004-11-25 16:35

Nein, sowas gibt es nicht.
Wenn die Kiste einmal kompromitiert wurde, isses vorbei. Aus, Amen.

Wenn der Verein kein Geld hat und auch noch Gemmeinnützig ist, dann
sollen Sie sich nen Admin mit nem grossen Herz suchen oder ein
Shared Hosting bestellen. Die 20 Euro kann dann der jetztige
Admin spenden, der höchstwahrscheinlich unfähig ist und es deshalb
als Lehrgeld ansehen soll.

Sorry der harten Worte, aber das ist halt nunmal so.
Serveradministration lernt man nicht "einfach so".

[edit]
Und wenn meine Kiste gescannt wird oder ein Angriffsversuch kommt,
dann wird deinen Bekannten was ganz was anderes erwarten als nur
eine Rüge vom Provider, da kannst du dir sicher sein.
[/edit]
Gruss,

Out

xamibor
Posts: 211
Joined: 2003-03-11 16:52

Re: portscann vom Server auf andere Server

Post by xamibor » 2004-11-25 16:59

würde es denn nicht mal sinn machen so eine Liste zu erstellen?

Ich selber habe eine root server .... jedoch nur zu testzwecken ... gehöre zu den unwürdigen admins :wink:

So eine liste würde solchen leuten Helfen wie meinem bekannten das ganze sicher zu machen ... soweit es möglich ist :-)

Meine verbindung zu dem verein ist das ich deren Webseite gemacht habe.
Und da mein System verschiedene dinge benötigt die kein Shared Hosting bietet ... deswegen muss das system auf einem root Server laufen.

Sicher nervt es auch Profis wenn solche fragen kommen .... kann ich verstehen. nur mann kann nicht auf allen Hochzeiten tanzen ohne dabei vor die Hunde zu gehen .... und es hat sicherlich nicht jeder von euch eine abgeschlosene Ausbildung / Studium zum Server Administrator gemacht .... und auch mal klein angefangen.

Ich hoffe ihre versteht es nicht falsch sondern als ein apell, wissen weiter zu geben welches ihre in euren anfängen auch von den "alten Profis" erfragt habt. ... 8)

Danke für euere Hilfe.

Gruß
Aus der Stadt des Deutschen Meisters :-)

outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City

Re: portscann vom Server auf andere Server

Post by outofbound » 2004-11-25 17:12

xamibor wrote:würde es denn nicht mal sinn machen so eine Liste zu erstellen?
Es liegt nicht daran, dass es Leute schon versucht haben, sondern dass man so
eine Liste im Prinzip für jeden Server komplett neu erstellen muss. Wenn man da
dann auf vorhandenes zurückgreift übersieht man zu schnell etwas.
Ich selber habe eine root server .... jedoch nur zu testzwecken ... gehöre zu den unwürdigen admins :wink:
Und warum tuts nicht ein 50 Euro Rechner zu Hause unterm Schreibtisch? Kostet
nur einmalig und ist viel lehrreicher.
So eine liste würde solchen leuten Helfen wie meinem bekannten das ganze sicher zu machen ... soweit es möglich ist :-)
Stell es dir mal so vor: Würde es dir helfen einen Stuntführerschein zu machen wenn
du nicht mal Autofahren kannst? Nein, eben nicht, weil dir die GRUNDLAGEN fehlen.
Meine verbindung zu dem verein ist das ich deren Webseite gemacht habe.
Und da mein System verschiedene dinge benötigt die kein Shared Hosting bietet ... deswegen muss das system auf einem root Server laufen.
Ich kenne nur ganz ganz wenige Dinge die einen Rootzugriff benötigen... was soll
das denn sein?
Sicher nervt es auch Profis wenn solche fragen kommen .... kann ich verstehen. nur mann
Es geht nicht darum, dass es nervt, sondern dass du dich und andere in akute finanzielle und
auch rechtliche Gefahr bringst.
kann nicht auf allen Hochzeiten tanzen ohne dabei vor die Hunde zu gehen .... und es hat sicherlich nicht jeder von euch eine abgeschlosene Ausbildung / Studium zum Server Administrator gemacht .... und auch mal klein angefangen.
Kennst du den Spruch "Schuster, bleib bei deinen Leisten?" ... Würdest du dir dein
Bad komplett bauen oder einen Sanitärler beauftragen weil du es nicht kannst? Wie
siehts mit Architekt aus? Autobauer? Das sind alles komplexe Dinge, für die man
Geld ausgibt, weil ein FACHMANN nötig ist. Serveradministration ist nichts anderes.
Oder man muss sich halt damit ausseinandersetzen und das ganze lernen. Dafür
braucht man keine Ausbildung, aber 2 oder 3000 Euro wird man schonmal in
die Theorie investieren müssen. (Rechner zu Hause, Literatur, Kurse, etc)
Ich hoffe ihre versteht es nicht falsch sondern als ein apell, wissen weiter zu geben welches ihre in euren anfängen auch von den "alten Profis" erfragt habt. ... 8)
Steht alles in zitausend Büchern, die über das Thema gedruckt wurden, schalt die Kiste
aus, bestell dir die Bücher und übe daheim (Oder halt dein Kumpel, ist ja egal).

Versteh mich nicht falsch, das sind aber einfach Tatsachen, die wir "Profis" jedem
einzelnen "Newbie" vermitteln können und müssen, weil es die einzige (Und wirklich
die einzige) Herangehensweise darstellt.

Gruss,

Out

[edit]
http://www.rootforum.org/faq/index.php ... 04&lang=de

Siehste, ich bin gar kein so böser Mensch. ;)
[edit]

xamibor
Posts: 211
Joined: 2003-03-11 16:52

Re: portscann vom Server auf andere Server

Post by xamibor » 2004-11-25 17:59

Nun, um eine Brücke zu bauen wäre es sicherlich Hilfreich ein paar Buch tipps zu geben.

Ein Punkt den ich in den FAQ noch nicht gefunden habe.

Gruß

outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City

Re: portscann vom Server auf andere Server

Post by outofbound » 2004-11-25 18:17

Boardsuche?

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: portscann vom Server auf andere Server

Post by dodolin » 2004-11-26 14:25

Also Buchtipps gibts und gabs hier im Forum schon unzählige!!

rob
Posts: 82
Joined: 2002-06-03 21:53
Location: Brandenburg

Re: portscann vom Server auf andere Server

Post by rob » 2004-11-26 14:55

OutOfBound wrote: Und wenn meine Kiste gescannt wird oder ein Angriffsversuch kommt,
dann wird deinen Bekannten was ganz was anderes erwarten als nur
eine Rüge vom Provider, da kannst du dir sicher sein.
Angriff OK, aber seit wann ist ein PortScan strafbar?

Rob

outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City

Re: portscann vom Server auf andere Server

Post by outofbound » 2004-11-26 15:12

Hi,

Rein juristisch gesehen:

Da kann man darüber spekulieren. Spätestens aber wenn erkennbar wird, dass diese
Portscans das Ziel haben entsprechende Angriffe durchzuführen, (Zum Beispiel wenn andere Rechner geknackt wurden) kann man die als Indiz für einen Angriff werten. Wenn das
dann auch noch im "Grossen Stil" gemacht wird, wird man irgendwann einmal in
Erklärungsnot geraten, warum solche Scans denn ein anderes Ziel haben als einen
Angriff vorzubereiten.

Davon abgesehen, kann man dann auch noch andere Schritte einleiten, auch wenn es
keine Straftat ist, z.B. auf Unterlassung gehen, auch das ist schon ordentlich
Papierkram. ;)

Ich bin kein Anwalt... keine Rechtsberatung, IANAL, IDELLO.

Gruss,

Out