Server hacked

[heinz]

Hallo!

Ich habe einen root-server bei $Meep

Ich muss zugeben, daß ich das aktuell halten des Systems in letzter Zeit aus persönlichen sowie beruflichen Gründen etwas verachlässigt habe.

Nachdem ich nun 2 Wochen im Urlaub war, stellt sich folgende Situation dar:

Ich finde auf meinem Server offene Ports die dort nicht sein sollten. Einige ganz offensichtlich von einem root-kit stammende und zwei für einen IRC-Daemon (Unrealircd).

Also habe ich mich direkt mal zu dem IRC-Daemon connected und bin auf ein Netzwerk namens flashirc.org gestossen. Weitere Server von denen sind unter irc.flashirc.org sowie irc2.flashirc.org zu erreichen - die Homepgae unter http://www.flashirc.org

Es handelt sich um Italiener und die tauschen Warez, Filme, Pornos und MP3s den Channels nach zu schliessen.

Das ist was ich bis jetzt herausgefunden habe. Traffic wurde nicht viel verursacht (ca 16,5gig in 14 Tagen).

Um weiteren Schaden zu vermeiden habe ich den Server erst einmal heruntergefahren.

Mich interessiert wie ihr weiter vorgehen würdet? Klar, weitere Informationen über den Einbruch sammeln und dkumentieren - nur möchte ich vermeiden, daß genannte Personen direkt wieder Zugriff auf den Server haben wenn ich ihn hochfahre und genügend Zeit haben alles genau durchzusehen ohne daß jemand Spuren verwischen kann - das ist nach einem oberflächlichen Blick bisher nämlich gar nicht bis schlampig geschehen.

Weiterhin kann ich sagen, daß auf genanntem board identische Nicknames existieren, wie ich auch auf dem IRC-Server finden konnte. Machen rechtliche Schritte Sinn, wenn die Täter in Italien sitzen? Welche Vorgehensweise ratet ihr mir?

[fox-t.c]

als erstes würde ich den server neu booten damit man agieren kann :)

dann mach einen ssh auth über public key das ist sicherer als alles andere.

dann einfach die prgs die laufen löschen.

Wenn du das hast dann konfiguriere mal deine iptables!!

und am besten du holst dir mal ein überwachungs tool, damit sieht was auf deinem recher so abgeht.


Was auch gut ist ist ein log-file auswerter. das kannst du mit basis tools wie awk machen oder mach es mt logwatch.

Damit bekommst immer ne mail von deinem logs mit den wichtigsten auszügen.

Also geh und hol dir dein server zurück!!!!

Am besten du loggst die ips die sich connecten und filterst die raus, die "böse" sind.

Wenn du dir hast dann gibs zur anklage oder irgendwas....

Kopf hoch :)

[bungeebug]

Hi,

wie du schon gesagt hast. Erst mal Server -> AUS
Dann den Provider bitten nen "Backup" von der Hdd auf Cd zu brennen. (Damit solltest du alles archiviert haben ... sprich log files usw. gesichert. )
Jetzt bleibt nur noch eins, den Server in den Urzustand zurück setzen, Hdd formatiern neues OS drauf und nächstemal aufpassen ...

Ob ne Anzeige Sinn macht ... ka aber versuchen würd ichs auf jeden Fall, da das ganze offensichtlich sehr organisiert ist was den Hinweis auf eine größere Gruppe gibt.


UND MACH AUF KEINEN FALL DAS WAS MEIN VORREDNER DA ERZÃ?HLT. DAS IST NICHT SICHER UND ERST RECHT NICHT RICHTIG!

[theomega]

Ich kann da BungeeBug nur unterstützen, niemals den gehackten Rechner neu starten, weil dann geht das ganze von neuem los. Genausowenig solltest du meinen nach einer Neuinstalllation einfach ein Backup aller Dateien zurückspielen zu können, weil damit schiebst du ja die evtl infizierten wieder drauf. Ã?berleg dir bei der nächsten Installation gut wo der Fehler gelegen haben könnte.

Und @fox-t.c: Bevor du so einen Stuss behauptest lies bitte hier ein Paar Berichte und Emfpehlungen im Forum durch. Wenn du das so machst ist das eine Sache, aber so einen Mist auch noch anderen zu empfehlen ist wirklich sch*****.

[tcs]

Hervorragendes Buch zum Thema System- und Netzwerksicherheit ist IMHO "Intrusion Detection und Prevention mit Snort 2 & Co." von Ralf Spenneberg.
ISBN 3-8273-2134-4

Cheers

tcs

[heinz]

Ok, vielen Dank. Ich hoffe, die Hampels von $Meep machen das mit dem Backup ohne große Kosten - der Service ist da zwar schnell aber sehr ...eingeschränkt.

Naja ich will auch versuchen rechtliche Schritte einzuleiten. Wirklicher Schaden ist ja nicht entstanden. Aber man kann doch Leute nicht einfach so davonkommen lassen, die so stümperhaft arbeiten und deren Board über google zu finden ist. Achja...wie mache ich so eine Art DENIC-Abrfragae für .org-Domains?

Also warte ich mal die Antwort vom Provider ab und danach installiere ich Gentoo - damit kann ich nämlich wesentlich besser umgehen und ich kann es wesentlich besser aktuell halten - das ist die Distri, die ich auch hier auf meinen Home-PCs einsetze.

Halte euch auf dem Laufenden und danke schonmal für die Antworten!

[tcs]

Whois: http://www.geektools.com/whois.php

Distri für Server...
Meiner Meinung nach ist gentoo nicht wirklich für Serverbetrieb geeignet.
Ich hab's selber eine ganze Weile benutzt, dann bin ich mit allen Systemen wieder auf debian umgestiegen. Ich brauche keine Rechner die ich totoptimieren kann und wo ich u.U. 24/7 dran rumfeile, ich will Kisten die ich aufsetze, konfiguriere und mich dann nur noch um updates/patches kümmern muß.

Aber das ist mein persönlicher Geschmack, es kann durchaus sein daß gentoo mittlerweile anders läuft.

Ich genieße halt den zugegebenermaßen langwierigen Bonus der Stabilität von debian.

Cheers

tcs

[duergner]

Wobei man denke ich mittlerweile schon sagen muss, dass Debian langsam aber sicher auf Grund der eigenen Politik total ins Hintertreffen gerät. Ich setze auch noch Debian ein, bin aber mittlerweile auf Sarge gewechselt, weil in Woody einfach zu viele Sachen zu alt sind und dann alles mit Backports zu machen ist auch nicht gerade wirklich gut.

Und eigentlich habe ich ja gehofft, dass Sarge bald Stable wird, aber derzeit sieht es ja eher danach aus, dass es noch eine weitere Woody geben wird, bis denn Sarge irgendwann mal Stable wird. Auch stört manchman IMHO die Ignoranz bestimmter Maintainer bei Debian was das fixen von Bugs angeht, die allerdings dann angeblich doch keine Bugs sind.

[tcs]

Sehr wahr, ich bin auch mit sarge unterwegs. Aber eben die eigentlich nicht so schlechte Philosophie läßt dieses "testing" besser aussehen als fast alles andere was als "release" oder "stable" betitelt ist. Daß die debian Leute etwas übergeschnappt sind steht außer Frage
Muß mich mal wieder mit *BSD auseinandersetzen glaub ich...

Cheers

tcs

[nyxus]

Daß die debian Leute etwas übergeschnappt sind steht außer Frage
Muß mich mal wieder mit *BSD auseinandersetzen glaub ich...

Na, wenn Dir das Uebergeschnappte bei Debian nicht gefaellt, dann nimm OpenBSD ... :twisted:

[heinz]

back to topic:

Jetzt hab ich den Salat. Schaut euch das mal an:

================================================================
Ticketsystem
================================================================

Ticket-ID: 106504274
Status: beantwortet
Datum: 04.04.2005 07:03
Fehlerbeschreibung:
Guten Tag,



Mein Server wurde in den letzten Tagen gehackt und von einer Warez-Gruppe zum illegalen Tausch von Software und Musik verwendet. Da ich es rechtzeitig bemerkt habe, ist zum Glück kein großer Schaden in Form von Traffic entstanden.



Jedoch habe ich den Server erst einmal heruntergefahren um die Verwischung von Spuren und weitere Schäden zu vermeiden. Wäre es möglich, daß ein Backup der HDD erstellt wird und man es mir auf CD- oder DVD-Rohling zukommen lässt? Mir scheint dies der einzige Weg zu sein genügend Zeit zur Sicherung aller Spuren zu haben um rechtliche Schritte einzuleiten. So hat man es mir auch im rootforum empfohlen. Da rootkits installiert wurden befürchte ich eine Verwischung von Spuren, wenn ich den Server wieder online nehme...


Fehlermeldung:
.

=========================== letzte Antwort =========================

Sehr geehrter Kunde,



wir können keine Auslieferung der Daten an Sie unternehmen, da wir uns mit einer derartigen Aktion, abgesehen von der benötigten Zeit, strafbar machen würden. Sie können Anzeige einreichen und die Polizei bitten den Inhalt der Festplatte zu sichern. Nutzen Sie dafür am einfachsten das KK21 in Bergheim mit welchem wir zusammenarbeiten. Wenn Sie sich an die örtliche Polizei wenden, so geben Sie den Hinweis auf das KK21 in Bergheim, damit die Angelegenheit schnellstmöglch bearbeitet werden kann.



Ein erster Kontakt kann über kk21 at polizei-bergheim.de aufgenommen werde. Hinterlassen Sie dort für Rückfragen auf alle Fälle Ihre Telefonnummer.



Mit freundlichen Grüßen

$Name
[Name und Mailadresse von Moderator anonymisiert bzw. verfälscht]


==================== komplettes Ticket ==============================

04.04.2005 07:03 - $Name
Sehr geehrter Kunde,



wir können keine Auslieferung der Daten an Sie unternehmen, da wir
uns mit einer derartigen Aktion, abgesehen von der benötigten Zeit,
strafbar machen würden. Sie können Anzeige einreichen und die Polizei
bitten den Inhalt der Festplatte zu sichern. Nutzen Sie dafür am
einfachsten das KK21 in Bergheim mit welchem wir zusammenarbeiten.
Wenn Sie sich an die örtliche Polizei wenden, so geben Sie den
Hinweis auf das KK21 in Bergheim, damit die Angelegenheit
schnellstmöglch bearbeitet werden kann.



Ein erster Kontakt kann über kk21 at polizei-bergheim.de aufgenommen
werde. Hinterlassen Sie dort für Rückfragen auf alle Fälle Ihre
Telefonnummer.



Mit freundlichen Grüßen

$Name


---------------------------------------------------------------------




Ident-ID: [106504274_653066876e763586f7c6ea911b879de3]

Um zu antworten klicken Sie bitte hier:

https://member.server4you.de/ticket.php ... =106504274

Ich sollte nicht vergessen zu sagen, daß die Sperrung sich auch derart auswirkt, daß ich das Ticketsystem nicht mehr benutzen kann. Ich wette die an der 0180-Hotline sagen mir ich soll die 0190-Kundenbetreuung anrufen .... mal sehen.

Ist das rechtens? Dürfen die mir einfach den Server sperren? Kennt sich da jemand aus? Ich meine, wenn ich das ausschließlich über die Polizei abwickle, kann das ja Monate dauern, bis ich ihn wieder nutzen kann.

[duergner]

Ist das komplett dein Server? Wenn ja dann denke ich erzählen sie hier totalen Unsinn. Aber IANAL.

[sir tom]

ROFL, das ist frech.

Kündigen und "sterben lassen" das Thema. Kostet zwar Zeit und "Stolz", aber das ist die günstigste und gesundeste Methode... :D

[outofbound]

Tja, die Ã?berlegung ist einfach:

Du hast eine Kiste mit 40 Gig an Warez drauf und willst die auf CD gebrannt haben,
angeblich um "Beweissicherung" zu betreiben.
Da würde der "Provider" dir ja Raubkopien anfertigen, geht also schonmal net, die
haben da schon recht. Und wieder einschalten dürfen Sie die Kiste auch nicht, weil
sie ja wissen, dass da illegale Sachen drauf laufen, da müssen Sie reagieren um nicht
in Mitverantwortung gezogen zu werden.

Aaaaber: Frag doch, ob Sie dir die Platte austauschen gegen eine neue und die
alte in ihrer Rechtsabteilung aufbewahren. Dann kannst du Anzeige erstatten
und der Staatsanwalt kann die Platte abholen als Beweis. Danach kannst du
die neue Platte reinitialisieren lassen und wieder von vorne anfangen.
Eine Kopie der Bestätigung der Anzeige einzuschicken hilft evtl. auch.

Ich bezweifle allerdings, dass du jemals wieder an die Daten auf der Platte kommst,
weil DU könntest ja auch Spuren verwischen, somit vergiss es.

Wie immer: IANAL, IDELLO

Gruss,

Out

[heinz]

Ja es ist mein Server.

Nein es sind keine Warez drauf. Das ganze wurde über IRC getauscht also direkt und nicht auf dem Server gelagert. Weiterhin wurden insgesamt nur 20gig Traffic verursacht.

Einfach kündigen ist schwierig, da ich einen Jahresvertrag habe. Sonst wäre das schon geschehen - ganz sicher.

Mit Festplatte tauschen: Ich hatte jetzt schon öfter so Reaktionen von denen, die machen einfach nichts. Ich habe aber ganz sicher keine Lust, monatelang zu warten, bis sowas über die polizei geregelt ist. Ich denke, ich werde morgen zu einem Anwalt gehen.

Die Daten auf dem Server - wäre zwar sehr schade wenn alle konfigurationen der CS(S)-Server, Forendatenbanken etc weg sind ein Weltuntergang wäre es aber nicht wirklich. Dennoch es geht ja (auch) ums Prinzip.

btw...WTF heisst IANAL und IDELLO

[chris76]

btw...WTF heisst IANAL und IDELLO

http://einklich.net/usenet/begriffe.htm#i

[dodolin]

Ich wäre sehr dankbar, wenn ich in Zukunft hier nicht so viel ändern müsste. Bitte nochmals die Boardregeln durchlesen, wer diese nicht intus hat. Providernamen zu nennen ist hier IMHO überflüssig, und komplette Supporttickets mit Namen des Bearbeiters etc. zu zitieren ist auch nicht die feine Art.