geknackter Rootserver - was nun

[dingoss]

Hallo,

vor etwa 4 Tagen wurde einer meiner Rootserver geknackt.
Ich weiss nicht wie die jungs dort eingedrungen sind, allerdings
war es ganz einfach so wie es scheint. Das Problem ist dass sie
die Kiste komplett platt gemacht haben, somit kann nicht
nachvollzogen wie das geschah.

2 Tage spaeter (also gestern) hatten die jungs sich per mail
gemeldet und mir mitgeteilt, dass sie sich Root-Zugriff beschafft hatten und dass es ein Kinderspiel gewesen sei.
Das Eindringen sei aufgrund eines Bugs in der Serversoftware
zurueckzufuehren.

Meine Frage nun:
wie ist sowas moeglich bzw. was ist der Verursacher dieser ganzen
Misere? ein Bud in der Serversoftware schrieben sie, und da kommt fuer mich eigentlich nur entweder ein Bug im Kernel oder ein Bug im Apache in Frage. Gibts zu den versionen php, apache, linux kernel, mysql Sicherheitsbedenken und wenn ja, welche? Bzw. welche Verionen
sollte man benutzen um sowas zu vermeiden?

suse linux 9.1
2.6.5-7.151-smp
PHP Version 4.3.4
mysql client api version: 4.0.18
Apache/2.0.49 (Linux/SuSE)

Danke fuer eure Hilfe, ich hoffe ihr koennt mir helfen diese
Thema mit diesem Thread zu eroertern.

[theomega]

was für php-software installiert?
Meine Glaskugel sagt mir: phpbb in alter Version, phpnuke in jeder Version

[dingoss]

das war ein Gratishost Server.
meine User hatten php-nuke installiert, phpbb-foren usw.
phpbb in alten versionen ist unsicher, allerdings hab ich noch
nicht gehoert dass man damit wirklich root-zugriff bekommen kann,
das waere mir neu.

[felixs]

das war ein Gratishost Server.
meine User hatten php-nuke installiert, phpbb-foren usw.
phpbb in alten versionen ist unsicher, allerdings hab ich noch
nicht gehoert dass man damit wirklich root-zugriff bekommen kann,
das waere mir neu.

Sobald man auf einem Server erst mal als User mit beliebigen Programmen drauf ist, ist der Rest in 80% der Fälle ein Kinderspiel.

Und auch wenn Suse den 2.6.5 patched: Fedora hat z.B. für den 2.6.13 Ende September und im Oktober neue Versionen rausgebraucht, gut möglich, dass seit Ende August auch wieder Lücken Kernel aufgetraucht sind.

Läuft ein FTP-Server?

fs

[oxygen]

das war ein Gratishost Server.

Tja. In dem Fall (Auslierferungszustand + Lokaler Account) rootet dir jeder 14 Jährige so eine Kiste.

[dingoss]

@felixs
ja, ftp server laeuft - vftpd

@øxygen
was meinst Du mit "(Auslierferungszustand ...)"?

[felixs]

@felixs
ja, ftp server laeuft - vftpd

@øxygen
was meinst Du mit "(Auslierferungszustand ...)"?

Dein Kernel z.B. ist uralt. Aktuell scheint bei Suse 9.1 2.6.5-7.201 zu sein. Wie regelmäßig hast du Sicherheitsupdates eingespielt?

fs

[dingoss]

das ist die Maschine meines Hosters, ich hab daran kein einziges mal was gedreht .. eigentlich sollte der darauf achten, nicht ich, oder?

[Roger Wilco]

das ist die Maschine meines Hosters, ich hab daran kein einziges mal was gedreht .. eigentlich sollte der darauf achten, nicht ich, oder?

Bei einem Root-Server bist einzig und allein du dafür verantwortlich, was mit der Kiste passiert. Sowohl im Positiven, als auch im Negativen. Lies doch einfach mal die AGB deines Providers...

[oxygen]

das ist die Maschine meines Hosters, ich hab daran kein einziges mal was gedreht .. eigentlich sollte der darauf achten, nicht ich, oder?

Das meinte ich. Es ist genau andersrum, nur DU bist dafür verantwortlich. Den Server im Zustand wie er von Hoster "ausgeliefert" wird, zu lassen, ist grob Fahrlässig. Besonders bei solch einer Verwendung.

[lord_pinhead]

http://www.rootforum.org/forum/viewtopic.php?t=5248
Ã?berleg dir nochmal ganz genau ob ein Dedi für dich was ist, ich denke aber eher: Nö

[fhilgers]

Auch auf das Risiko hin das mich nun der dingoss hassen mag so muss ich dann mal dnenoch was dazu sagen

1. Dingoss, bevor du dir nen Dedicated Server (rootserver) zulegst solltest du dir erstmal überlegen was ein Root Server ist. Denkst du allen ernstes das dir ein Anbieter einen ganzen Server für ein paar Euro gibt, dir den wartet, updated und absichert und das permanent und das zu preisen die günstiegr sind als du für nen läppischen Gameserver zahlen musst? Wenn ja dann solltest du da mal ein wenig dazulernen

2.Du hast bei der Bestellugn so ein paar nette AGB´s akzeptiert und diese sollte man mal so zumindest ein wenig genauer überflogen haben, da steht das drinne das du den Server alleine zu betreuen hast, dein Hoster hat da schon alleine rein rechtlich ncihts drauf zu suchen, da auch dem dein Passwort erst gar nicht bekannt ist, soll heissen wenn du keine Ahnung von Servern hast, was ja defintiv der Fall ist, solltest du zusehen das du entweder den Serververtrag irgendwie kündigen kannst udn zwar mit sofortiger Wirkung oder dir jemanden suchen der wirklich Ahnung von Servern hat.

3. Sicherietsbedenken gibt es immer und bei jeder Software, und das ganz besonders wenn es Serversoftware ist die nicht geupdatet wird. Mit den wneigen Angaben die du gemacht hast ist es sowieso nicht möglich herauszufinden wie der Angreifer auf den Server gekommen ist.

4. Fahre die kiste uaf jeden Fall in den Rescue guck ob du noch an irgendwelche Daten herankommen kannst, z.b Logfiles und dergleichen, die sicherst du dann und dann lässt du die Kiste vom Hoster neu installieren.

5. Da sich die leute ja bei dir gemeldet haben, mach dir nen ausdruck der Mail geh zur Polizei und versuche ne Anzeige hinzukriegen, denn auch wenn du zwar selber grob fahlässig gehandelt hast und das hast du, kannst du sofern die leute ausfindig gemacht werden können, diesen zumindest begrenzt ncoh einen reinwürgen

6. Generell nach dem aufsetzten keine alten Daten des gehackten Systems zurückspielen, da die je nachdem entsprechend modifiziert sein könnten.

7. ok ok jetzt kommt was Fieses. Lies dir mal bitte den Thread durch den der Lord_Pinehead dir gepostet hat dann dürfte es dir selber klar werden das ein Rootserver nichts für dich ist. Weiterhin kannst du froh sein das dein Trhead ncoh existiert da solche normalerweise gelöscht bzw verschoben werden da du keinerlei Ahnung von Linux oder Servern hast, und dieses Forum primär für Leute gedacht ist die wirklich einen Server adminsitrieren und nicht nur sich nen Server zugelegt haben, null Ahnung haben und alleien eigentlich nichts hinkriegen auf dem Server. Sicherlich hat jeder mal kleine angefangen aber nicht jeder hat sich direkt nen Server mit ner 100Mbit Anbindung zugelegt und damit auch noch andere Systeme gefärdet.

8. Bedenke das du für alles was mit deinem Server egal ob gehackt oder nicht angestellt wird entsprechend haftbar gemacht wirst, also von daher ist es im Prinzip egal ob du das nicht verhindern konntest, durch unwissen oder vielleciht auch durch technische Einschränkungen, haftbar wirst du alleine gemacht und da kann je nachdem schonmal ne nette 4 - 5 stellige summe auf einen zukommen.

9. [Unmoralisches Angebot von CC gelöscht]

[caput]

10. Bin ich gerne bereit dir das 10-Finger-Schreibsystem beizubringen, wegne den exterm veilen Buchtsabenderhern und.. :oops: *SCNR*

btw. Ich verstehe überhaupt nicht warum solche Themen überhaupt noch zur Diskussion stehen. Es ist doch immer wieder das selbe und es nervt! Mehr als "Kinderzimmerprovider" fällt mir dazu nicht ein. Sorry. :roll:

[lord_pinhead]

9. [Unmoralisches Angebot von CC gelöscht]

Ich hab da jetzt was echt ekliges im Hinterkopf *schauder*

@caput
Ich kenn das unter Wohnzimmerhoster ;)

Richtig lustig wirds aber erst wenn jetzt noch von Ihm kommt das er eine Strafanzeige bekommen hat von einen anderen Administrator, spätestens dann wird er heulen weil er sich zu einen Rootie durchgerungen hat.

[christian-wf]

Hallo,
ich kann fhilgers hier nur vollkommen Recht geben. Mit dem Server ist es doch genauso wie mit dem PC. Wenn ich z.B. Windows von der CD aus der Packung installiere, keine Sicherheitsupdates und Servicepacks installiere und den PC ohne weiteren Schutz mit dem Internet verbinde, kann man fast darauf warten, bis sich der erste "Wurm" eingenistet hat. Installiere ich aber die nötigen Sicherheitsupdates für das Betriebssystem und die Anwendungen (beim Webserver läuft z.B. WindowsUpdate immer im Hintergrund, so dass von Microsoft veröffentlichte Patches nach spätestens einem Tag automatisch installiert worden sind. Vorher wird natürlich automatisch ein Backup erstellt), haben Würmer und Hacker schon mal sehr schlechte Karten. Bei einem Linux-Server sind regelmäßige Updates genauso Pflicht. Die Softwarehersteller machen sich die Mühe mit den Sicherheitspatches nicht zum Spaß :!:
Ich würde hier einen managed Server empfehlen. Die Kunden können problemlos über die Resellerverwaltung z.B. von Confixx verwaltet werden, um die Sicherheitsupdates und Ã?berwachung des Servers kümmert sich der Provider, und bei den meisten Providern wird auch der Wunsch nach spezieller Software gehört, solange dadurch die Serversicherheit nicht beeinträchtigt wird.
Der managed Server ist zwar teurer als ein Rootserver, dafür aber auch deutlich Stressfreier 8)

Mfg. Christian

[darkman]

Hallo,

vor etwa 4 Tagen wurde einer meiner Rootserver geknackt.

yourwebhost.at? ;>

[lord_pinhead]

Jetzt les ichs erst, das ist ja mehrzahl. Er betreut mehrere Dedis und weiß nicht wie man sich bei einen ernstfall verhalten soll, klasse. Nach wie vor: Forensuche, da wird Ihnen gehelft