RootForum Community

hallo leute,

gleich vorweg, ich weiß das hier eigentlich keine anfängerfragen akzeptiert werden. ich bin auch kein anfänger was rootserver betrifft. im moment fühle ich mir leider aber wie einer und möchte einfach auf nummer sicher gehen das meine vorgehensweise korrekt ist und ich wirklich alles richtig mache.

zu meinem problem
ich habe einen root server mit suse 9.1 apache2 php4.3.3 usw.
nachdem ich von meinem hoster angesprochen wurde das bei ihm meldungen eingehen würden von meinem server aus würde versucht werden andere server zu hacken habe ich mich dran gesetzt und bin die logs durch gegangen um übereinstimmungen zu finden. in den logs war aber zu den besagten zeitpunkten nicht das geringste zu finden. noch nicht mal eine normale aktivität. deshalb dachte ich erst es sei einfach jemand der mir eins auswichen möchte. allerdings hab ich dann erfahren das sich 6 leute gemeldet haben alle unabhängig voneinander und sich beschwert haben. das hat mich natürlich dann alarmiert und ich hab angefangen genauer nachzusehen. vorweg muss ich sagen das ich überzeugt davon war die firewall richtig konfiguriert zu haben und auch die updates alle eingespielt zu haben. außerdem hab ich auch div. andere dinge konfiguriert wie mysql akzeptiert nur localhost usw. ich hab mir dann chkrootkit auf den server gepackt um zu sehen ob ein rootkit auf der kiste ist. und siehe da, es wurden gleich zwei stück gefunden. über einen der beiden konnte ich lesen das er jegliche aktivität von seinem nutzer verschleiert und es nahezu unmöglich macht die aktivitäten des eindringlings zu erkennen. prozesse werden versteckt, funktionen umgeschrieben und all so sachen. wie dem auch sei.

mir geht es jetzt darum keinen fehler mehr zu machen. ich würde folgendermaßen vorgehen.
1. rootkit mit allen zur verfügung stehenden howto's und guides analysieren und entfernen.
2. nachdem sicher gestellt ist das nichts von den rootkits über ist alle passwörter ändern und den server vom netzwerk trennen.
3. via rescue system restlos alle ports sperren bis auf die absolut nötigen (21,22,25,80,110,8080) und nochmal alle sicherheitsupdates prüfen.
4. server ans netz nehmen und via externen möglichkeiten (nessus) prüfen wie sicher die kiste dann ist.
5. irgend ein tool (mir fällt der name grade nicht ein) installieren welches angriffe erkennt und sofort meldet.

das wäre der weg den ich jetzt gehen würde. ich habe zum thema sicherheit bei linux noch nicht so sonderlich viele erfahrungen da ich nie gedacht hätte das jemand mal nen so unbedeutenden server wie meinen hackt. falls jemand vorschläge hat wie ich was besser machen kann wäre ich natürlich immer dankbar!!!

grüße marco

und möchte einfach auf nummer sicher gehen das meine vorgehensweise korrekt ist und ich wirklich alles richtig mache.

Das einzig richtige in diesem Fall ist plattmachen und neu installieren. Und dann bei der Neuinstallation am besten einen Fachmann ranlassen, damit nicht wieder die gleichen Loecher offen sind, durch die der/die Angreifer zuvor in den Rechner eingedrungen sind.

http://www.rootforum.org/faq/index.php? ... artlang=de
http://www.rootforum.org/forum/viewforum.php?f=9
*Auf FAQ und gepinnte Threads dazu noch verweis* :roll:

ok ok ich hab ja schon jede menge gelesen. aber ich lese auch überall "neuaufsetzen" ... es muss doch auch nen anderen weg geben oder nicht? ich hab alleine ca. 8 gb an mysql datenbanken auf der kiste und ich denke jeder hier kann sich ausrechnen wie lange ich da sitze bis ich die erst gesichert hab und dann nach dem neuinstall wieder hoch geladen. ich hab nur ne standard dsl leitung und gesamt sind es ca. 25-30 gb an daten. wie soll ich das machen die zu sichern und wieder hoch zu laden?

Jemanden mit einer schnelleren Leitung nach einem temporären Space fragen...

naja das hab ich schon abgeklärt falls es keine andere lösung gibt. mein hoster bietet mir an meinen server in einem stück zu spiegeln und nach der neuinstallation in ein unterverzeichnis wieder einzuspielen. allerdings wollen die auch sage und schreibe 196,-- teuro für 4 ae's haben. ich meine ich sag ja nicht das die arbeit nicht da ist. aber 196,-- euro in anbetracht das jemand wild fremdes schuld ist sind viel geld!

p.s.: wenn ich den kerl irgendwie ausfindig machen kann ist ihm eine sammelklage von gesamt 8 leuten (6 angegriffene von meinem server aus, ich selber + mein hoster) schon sicher! *kotz*

Du machst zuviel Theater ... dem Backup kannst du eigendlich nicht trauen. Gut den Textfiles schon nur eben allem was binary ist nicht. Das muss sowieso weg. Also trag es mit Fassung, klopp alles in die Tonne und nimm das ganze als Chance es besser zumachen. ( Ist natürlich peinlich wenn sowas mit Kundendaten passiert. )

Zu deiner Sammelklage, daraus wird wohl nix solange du nicht das "Glück" hast einen deutschen "Hacker" gefunden zuhaben. Alles im Ausland ist erstmal unerreichbar. Zumindest mit normalen Mitteln.

Ich finde 200 EUR eigentlich ein sehr billiges Lehrgeld dafuer, dass du unwillig bist zu lernen und den einzig richtigen Weg zu gehen. Sorry, aber ich wuensche dir, dass du in Zukunft noch mehr Lehrgeld zahlen musst, vielleicht bist du ja dann bereit, Ratschlaege anzunehmen.

1) Gegen wenn willst du überhaupt eine Sammelklage einreichen? Gegen unbekannt? Keiner vom BKA wird dir dein Server bewachen und den Typen ausfindig machen. Das musst du komplett alleine. man tcpdump ist angesagt.

2) Welche Rootkits laufen auf dem Sys? Wenn es nicht gerade Suse wäre (hatte ab und an ärger mit Kernel backen), würde ich sagen einfach neuen Kernel backen, Initscripte prüfen und schon kann man einigermassen davon ausgehen das nach dem Boot nichts gestartet wird. Ausser er ist schlau gewesen (was ich denke) und hat eine Binary ersetzt, also alles Binarys runter und komplett neu installieren, sammt Librarys etc. Dumme Idee, weiter.

3) Welcher Hoster bietet keinen FTP Space an zum Backup erstellen? Kann nur ein Billighoster sein. Aber selbst da kann man anfragen wegen Backupspace. Also rüber mit deinen Daten und dann erstmal anfangen das Sys abzusuchen nach den Eindringling, vielleicht hat er ja doch Spuren hinterlassen. Ich denke wenn du find neu installierst, sollte es wenigstens ein bischen was ausgeben. Die kompletten Gnu Tools mal runterwerfen und neu installieren.

4) Wenn du so große Datenbanken hast, hast du sichen aus PHP laufen. Hast du das abgesichert? Mal drüber nachdenken, ist oft ein beliebtes Einstiegstor ;) Stichworte: safe_mode, furl_open, disable_functions, open_basedir, upload_tmp_dir, session.save_path mal im Forum suchen.

5) Such mal in /tmp, /var/tmp, /etc, /var nach verdächtigen Sachen, vielleicht mal "find / | grep .*" , netstat -tupa etc. Denke es sind genug Sachen mittlerweile im Forum drin :)

6) Was willst du in Zukunft unternehmen dass das nicht noch einmal passiert? Snort bzw. Prelude musst du immer up-to-date halten (Regelwerke findest du wie Sand am Meer), der "Firewall" von Suse würd ich auch nimmer so trauen, kenn zwar nur noch die von Version 8.2, aber da mach ich doch lieber was eigenes. Trafficüberwachung fällt denk ich flach, zu unauffällig.

Aber: ntop sollte dein Freund sein (zeigt dir auf welchen Port was rausging), Samhain ist dein Freund (jedenfalls wenn du daheim den Samhain Server laufen hast), Loginghost sollte auch mal ein Begriff werden, dann hättest du jetzt jedenfalls noch logfiles dich konsistent sind. Sicher wurde Syslog mit -d0 gestartet, also nix mit Logs ;) GRSec Kernel wäre auch ratsam, dann wäre das mit den Rootkits ein bisschen schwieriger zu verstecken gewesen schätz ich. Chkrootkit ist gut das du das kennst, aber warum lässt du es nicht via Cron einmal am Tag laufen? (ein eigenes Script in /etc/cron.daily/ verstecken, mit chattrib +ia schützen und nur root lesbar machen :D )

Also, so würde ich vorgehen (noch Theorie bisher zum Glück):

1) Erstmal alle Dienste stoppen, und zwar rein alles. Danach sehen auf welchen Port versucht etwas rein zu kommen, das mit IPTables explizit sperren. Backup meiner Daten machen damit der Angreifer nicht mehr ein beherztes rm -rf / eingeben kann.

2) Die veränderten Binarys ausfindig machen. Die Programme find, ls, netstat, ifconfig, lsmod, who, lsattr, chattr und last neu installieren. Mit ein Backupkernel booten.

3) Syslog erstmal wieder Regulär starten. Das sollte dann komplett ohne Optionen sein.

4) Die besagten Ordner schonmal inspizieren (/tmp z.b.)

5) /etc/passwd ankucken, nach einer .rhost suchen, SSH runterfahren (die aktuelle wird ja nicht beendet)

6) Mittels find / -ctime und mtime die letzten Wochen durchgehen was verändert wurde.

7) Mit TCPDump mal ein bischen im Hintergrund lauschen ob da jemand versucht was zu "drehen" Das greppen ist meist das schlimmste.

8 ) Ein Logginghost einrichten, Dienste wieder hochfahren, Iptables Droppen und danach kann derjenige Versuchen nochmal zu kommen. Rootkits sind hoffentlich mal wieder falsch Konfiguriert und unterbinden das Logging nicht. Nachdem ich 100% den Typen habe der daran schuld ist, dann erstmal mit whois nachsehen woher er kommt. Alles aus Deutschland sollte easy werden, andere Länder wird schwierig, aber manchmal möglich sollange er sich in Europa aufhält.

9) Jetzt alle Beweise sichern, MD5 Hash drüber, gepackt und Anzeige vorbereitet. Server derweil neu aufsetzen lassen und Daten wieder rüberspiegeln. Apache/PHP abdichten wenn er darüber rein kam (Schuss ins blaue, ich denk mal ja) und erstmal wenig Dienste fahren. Vielleicht mal nen Tag Probelaufen lassen ob er nochmal reinkommt, aber dann hat er es schon geschnallt denk ich.

10) Alle Dienste wieder Konfigurieren, hier im Forum vorher Tips suchen wie man am besten alles einstellt und dann jeden Tag in der Kommandozeile sein und nebenbei mit nachsehen ob etwas passiert. Logginghost erstmal lassen, IDS und Samhain zusätzlich zu mir nachhause Loggen lassen und daran nach und nach die Regelwerke des IDS ausbauen.

So, ich denke jetzt müsste ich mein Backupplan durchhaben. Wenn einen noch was einfällt, ich nehm es gerne in meine Liste mit auf :)

5. irgend ein tool (mir fällt der name grade nicht ein) installieren welches angriffe erkennt und sofort meldet.

Langläufiger Begriff ;) Aber ich denke du meinst ein IDS (Snort, Prelude, Tripwire etc.). Bist du dir aber sicher die zu beherrschen?

Erstmal Pause machen, denke du hast jetzt genug zu tun das Scriptkiddie ausn System zu werfen. Hoffe du hast jetzt im Text ein paar Anhaltspunkte wie du jetzt vorzugehen hast. Jedenfalls ist das einfachste das neuaufsetzen und abdichten, das Hackerfangen ist ein Gedultsspiel und wird dir denk ich mal nichts bringen.

So Long
Lord Pinhead

Davon abgesehen dass der OP offensichtlich keine Ahnung von der rechtlichen Seite hat.
(In DE gibt es keine Sammelklagen und ohne abgeschlossenes Strafverfahren jemanden zu verklagen stell ich mir schwierig vor in so einem Fall), er wahrscheinlich nicht die Fachkompetenz besitzt die Beweise zu sichern, (Stichwort "Anerkannte Regeln der Technik"), er nicht bereit ist den einzig richtigen Weg zu gehen (Neuinstall), und er nichtmal 200 Euro für ein Backup ausgeben will, an dem er selber Schuldi ist,, glaube ich ernsthaft, sollte der OP ein "Hoster" sein, dass das ein Fall für den Verbraucherschutz ist.

Und man vielleicht am besten solchen Leuten kein Tipps gibt, so hart das klingen mag.

IANAL ,IDELLO,

Out

war ja klar das irgendwelche dummen sprüche bei sowas kommen. wen juckts. problem ist erledigt. könnt das thema schließen wenn ihr wollt. hab genug gelesen.

wenn du die 8 gb mysql daten gesichert haben willst dann sicher sie doch auf dem server selbst.
schieb die daten auf eine eigene partition und mach die hauptpartition platt.
neues system installieren (is bei einem rootkit wirklich das einzig vernüftigte) und dann die mysql daten wieder rüberkopieren.
eingiste vorraussetzung is halt dass du 8 gb an plattenplatz frei hast.

Prometheus wrote: wen juckts. problem ist erledigt.

naja, bis zum nächsten mal dann ja ;)

Hallo,

könnte vielleicht einer von den Mods das Thema sticky machen? Ich denke dass jede Menge wertvolle Information in Lord_Pinheads Post steckt.

mfg k

Sorry, aber Lord_Pinheads Posting fand ich eher gefährlich...jedenfalls für 99,5% der hier mitlesenden User. Ich würde eher auf http://www.rootforum.org/faq/index.php? ... artlang=de verweisen.

Hallo,

das ist schon klar, dennoch wäre es schade das in dem Post mit Urgewalt herausgesprudelte Wissen in den ewigen Tiefen des Forums zu vergessen ;)

mfg k