geknackter Rootserver - was nun

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
dingoss
Posts: 23
Joined: 2005-09-12 17:38

geknackter Rootserver - was nun

Post by dingoss »

Hallo,

vor etwa 4 Tagen wurde einer meiner Rootserver geknackt.
Ich weiss nicht wie die jungs dort eingedrungen sind, allerdings
war es ganz einfach so wie es scheint. Das Problem ist dass sie
die Kiste komplett platt gemacht haben, somit kann nicht
nachvollzogen wie das geschah.

2 Tage spaeter (also gestern) hatten die jungs sich per mail
gemeldet und mir mitgeteilt, dass sie sich Root-Zugriff beschafft hatten und dass es ein Kinderspiel gewesen sei.
Das Eindringen sei aufgrund eines Bugs in der Serversoftware
zurueckzufuehren.

Meine Frage nun:
wie ist sowas moeglich bzw. was ist der Verursacher dieser ganzen
Misere? ein Bud in der Serversoftware schrieben sie, und da kommt fuer mich eigentlich nur entweder ein Bug im Kernel oder ein Bug im Apache in Frage. Gibts zu den versionen php, apache, linux kernel, mysql Sicherheitsbedenken und wenn ja, welche? Bzw. welche Verionen
sollte man benutzen um sowas zu vermeiden?
suse linux 9.1
2.6.5-7.151-smp
PHP Version 4.3.4
mysql client api version: 4.0.18
Apache/2.0.49 (Linux/SuSE)
Danke fuer eure Hilfe, ich hoffe ihr koennt mir helfen diese
Thema mit diesem Thread zu eroertern.
theomega
Userprojekt
Userprojekt
Posts: 696
Joined: 2003-01-27 14:36

Re: geknackter Rootserver - was nun

Post by theomega »

was für php-software installiert?
Meine Glaskugel sagt mir: phpbb in alter Version, phpnuke in jeder Version
dingoss
Posts: 23
Joined: 2005-09-12 17:38

Re: geknackter Rootserver - was nun

Post by dingoss »

das war ein Gratishost Server.
meine User hatten php-nuke installiert, phpbb-foren usw.
phpbb in alten versionen ist unsicher, allerdings hab ich noch
nicht gehoert dass man damit wirklich root-zugriff bekommen kann,
das waere mir neu.
felixs
Posts: 119
Joined: 2003-06-01 20:57

Re: geknackter Rootserver - was nun

Post by felixs »

dingoss wrote:das war ein Gratishost Server.
meine User hatten php-nuke installiert, phpbb-foren usw.
phpbb in alten versionen ist unsicher, allerdings hab ich noch
nicht gehoert dass man damit wirklich root-zugriff bekommen kann,
das waere mir neu.
Sobald man auf einem Server erst mal als User mit beliebigen Programmen drauf ist, ist der Rest in 80% der Fälle ein Kinderspiel.

Und auch wenn Suse den 2.6.5 patched: Fedora hat z.B. für den 2.6.13 Ende September und im Oktober neue Versionen rausgebraucht, gut möglich, dass seit Ende August auch wieder Lücken Kernel aufgetraucht sind.

Läuft ein FTP-Server?

fs
Last edited by felixs on 2005-11-04 20:22, edited 1 time in total.
oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim

Re: geknackter Rootserver - was nun

Post by oxygen »

dingoss wrote:das war ein Gratishost Server.
Tja. In dem Fall (Auslierferungszustand + Lokaler Account) rootet dir jeder 14 Jährige so eine Kiste.
dingoss
Posts: 23
Joined: 2005-09-12 17:38

Re: geknackter Rootserver - was nun

Post by dingoss »

@felixs
ja, ftp server laeuft - vftpd

@øxygen
was meinst Du mit "(Auslierferungszustand ...)"?
felixs
Posts: 119
Joined: 2003-06-01 20:57

Re: geknackter Rootserver - was nun

Post by felixs »

dingoss wrote:@felixs
ja, ftp server laeuft - vftpd

@øxygen
was meinst Du mit "(Auslierferungszustand ...)"?
Dein Kernel z.B. ist uralt. Aktuell scheint bei Suse 9.1 2.6.5-7.201 zu sein. Wie regelmäßig hast du Sicherheitsupdates eingespielt?

fs
dingoss
Posts: 23
Joined: 2005-09-12 17:38

Re: geknackter Rootserver - was nun

Post by dingoss »

das ist die Maschine meines Hosters, ich hab daran kein einziges mal was gedreht .. eigentlich sollte der darauf achten, nicht ich, oder?
Roger Wilco
Posts: 5923
Joined: 2004-05-23 12:53

Re: geknackter Rootserver - was nun

Post by Roger Wilco »

dingoss wrote:das ist die Maschine meines Hosters, ich hab daran kein einziges mal was gedreht .. eigentlich sollte der darauf achten, nicht ich, oder?
Bei einem Root-Server bist einzig und allein du dafür verantwortlich, was mit der Kiste passiert. Sowohl im Positiven, als auch im Negativen. Lies doch einfach mal die AGB deines Providers...
oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim

Re: geknackter Rootserver - was nun

Post by oxygen »

dingoss wrote:das ist die Maschine meines Hosters, ich hab daran kein einziges mal was gedreht .. eigentlich sollte der darauf achten, nicht ich, oder?
Das meinte ich. Es ist genau andersrum, nur DU bist dafür verantwortlich. Den Server im Zustand wie er von Hoster "ausgeliefert" wird, zu lassen, ist grob Fahrlässig. Besonders bei solch einer Verwendung.
lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: geknackter Rootserver - was nun

Post by lord_pinhead »

http://www.rootforum.org/forum/viewtopic.php?t=5248
Ã?berleg dir nochmal ganz genau ob ein Dedi für dich was ist, ich denke aber eher: Nö
fhilgers
Posts: 30
Joined: 2003-07-07 20:16

Re: geknackter Rootserver - was nun

Post by fhilgers »

Auch auf das Risiko hin das mich nun der dingoss hassen mag so muss ich dann mal dnenoch was dazu sagen

1. Dingoss, bevor du dir nen Dedicated Server (rootserver) zulegst solltest du dir erstmal überlegen was ein Root Server ist. Denkst du allen ernstes das dir ein Anbieter einen ganzen Server für ein paar Euro gibt, dir den wartet, updated und absichert und das permanent und das zu preisen die günstiegr sind als du für nen läppischen Gameserver zahlen musst? Wenn ja dann solltest du da mal ein wenig dazulernen

2.Du hast bei der Bestellugn so ein paar nette AGB´s akzeptiert und diese sollte man mal so zumindest ein wenig genauer überflogen haben, da steht das drinne das du den Server alleine zu betreuen hast, dein Hoster hat da schon alleine rein rechtlich ncihts drauf zu suchen, da auch dem dein Passwort erst gar nicht bekannt ist, soll heissen wenn du keine Ahnung von Servern hast, was ja defintiv der Fall ist, solltest du zusehen das du entweder den Serververtrag irgendwie kündigen kannst udn zwar mit sofortiger Wirkung oder dir jemanden suchen der wirklich Ahnung von Servern hat.

3. Sicherietsbedenken gibt es immer und bei jeder Software, und das ganz besonders wenn es Serversoftware ist die nicht geupdatet wird. Mit den wneigen Angaben die du gemacht hast ist es sowieso nicht möglich herauszufinden wie der Angreifer auf den Server gekommen ist.

4. Fahre die kiste uaf jeden Fall in den Rescue guck ob du noch an irgendwelche Daten herankommen kannst, z.b Logfiles und dergleichen, die sicherst du dann und dann lässt du die Kiste vom Hoster neu installieren.

5. Da sich die leute ja bei dir gemeldet haben, mach dir nen ausdruck der Mail geh zur Polizei und versuche ne Anzeige hinzukriegen, denn auch wenn du zwar selber grob fahlässig gehandelt hast und das hast du, kannst du sofern die leute ausfindig gemacht werden können, diesen zumindest begrenzt ncoh einen reinwürgen

6. Generell nach dem aufsetzten keine alten Daten des gehackten Systems zurückspielen, da die je nachdem entsprechend modifiziert sein könnten.

7. ok ok jetzt kommt was Fieses. Lies dir mal bitte den Thread durch den der Lord_Pinehead dir gepostet hat dann dürfte es dir selber klar werden das ein Rootserver nichts für dich ist. Weiterhin kannst du froh sein das dein Trhead ncoh existiert da solche normalerweise gelöscht bzw verschoben werden da du keinerlei Ahnung von Linux oder Servern hast, und dieses Forum primär für Leute gedacht ist die wirklich einen Server adminsitrieren und nicht nur sich nen Server zugelegt haben, null Ahnung haben und alleien eigentlich nichts hinkriegen auf dem Server. Sicherlich hat jeder mal kleine angefangen aber nicht jeder hat sich direkt nen Server mit ner 100Mbit Anbindung zugelegt und damit auch noch andere Systeme gefärdet.

8. Bedenke das du für alles was mit deinem Server egal ob gehackt oder nicht angestellt wird entsprechend haftbar gemacht wirst, also von daher ist es im Prinzip egal ob du das nicht verhindern konntest, durch unwissen oder vielleciht auch durch technische Einschränkungen, haftbar wirst du alleine gemacht und da kann je nachdem schonmal ne nette 4 - 5 stellige summe auf einen zukommen.

9. [Unmoralisches Angebot von CC gelöscht]
caput
Posts: 48
Joined: 2005-06-08 02:06

Re: geknackter Rootserver - was nun

Post by caput »

10. Bin ich gerne bereit dir das 10-Finger-Schreibsystem beizubringen, wegne den exterm veilen Buchtsabenderhern und.. :oops: *SCNR*

btw. Ich verstehe überhaupt nicht warum solche Themen überhaupt noch zur Diskussion stehen. Es ist doch immer wieder das selbe und es nervt! Mehr als "Kinderzimmerprovider" fällt mir dazu nicht ein. Sorry. :roll:
lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: geknackter Rootserver - was nun

Post by lord_pinhead »

fhilgers wrote: 9. [Unmoralisches Angebot von CC gelöscht]
Ich hab da jetzt was echt ekliges im Hinterkopf *schauder*

@caput
Ich kenn das unter Wohnzimmerhoster ;)

Richtig lustig wirds aber erst wenn jetzt noch von Ihm kommt das er eine Strafanzeige bekommen hat von einen anderen Administrator, spätestens dann wird er heulen weil er sich zu einen Rootie durchgerungen hat.
christian-wf
Posts: 14
Joined: 2004-07-03 20:31
Location: Wolfenbüttel

Re: geknackter Rootserver - was nun

Post by christian-wf »

Hallo,
ich kann fhilgers hier nur vollkommen Recht geben. Mit dem Server ist es doch genauso wie mit dem PC. Wenn ich z.B. Windows von der CD aus der Packung installiere, keine Sicherheitsupdates und Servicepacks installiere und den PC ohne weiteren Schutz mit dem Internet verbinde, kann man fast darauf warten, bis sich der erste "Wurm" eingenistet hat. Installiere ich aber die nötigen Sicherheitsupdates für das Betriebssystem und die Anwendungen (beim Webserver läuft z.B. WindowsUpdate immer im Hintergrund, so dass von Microsoft veröffentlichte Patches nach spätestens einem Tag automatisch installiert worden sind. Vorher wird natürlich automatisch ein Backup erstellt), haben Würmer und Hacker schon mal sehr schlechte Karten. Bei einem Linux-Server sind regelmäßige Updates genauso Pflicht. Die Softwarehersteller machen sich die Mühe mit den Sicherheitspatches nicht zum Spaß :!:
Ich würde hier einen managed Server empfehlen. Die Kunden können problemlos über die Resellerverwaltung z.B. von Confixx verwaltet werden, um die Sicherheitsupdates und Ã?berwachung des Servers kümmert sich der Provider, und bei den meisten Providern wird auch der Wunsch nach spezieller Software gehört, solange dadurch die Serversicherheit nicht beeinträchtigt wird.
Der managed Server ist zwar teurer als ein Rootserver, dafür aber auch deutlich Stressfreier 8)

Mfg. Christian
darkman
Posts: 104
Joined: 2004-03-24 14:09

Re: geknackter Rootserver - was nun

Post by darkman »

dingoss wrote:Hallo,

vor etwa 4 Tagen wurde einer meiner Rootserver geknackt.
yourwebhost.at? ;>
lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: geknackter Rootserver - was nun

Post by lord_pinhead »

Jetzt les ichs erst, das ist ja mehrzahl. Er betreut mehrere Dedis und weiß nicht wie man sich bei einen ernstfall verhalten soll, klasse. Nach wie vor: Forensuche, da wird Ihnen gehelft