RootForum Community

Ich hatte eine Laufende TYPO3 auf mein root-server. Heute habe ich bemerkt ganze .../www verzeichis gelöscht. Apache und ftp dienste laufen auch nicht. Root zugriff habe ich. Aber bestimmte befehle wie zB. apt-get install, apt-get remove geht nicht. Fragt der Server ob ich Root bin.

Was könte das sein

Hat jemand ein Idee.

Die Kiste ist offensichtlich ge'root'et worden:
1) Reinitialisieren
2) Alle verfügbaren Updates einspielen
3) Nutzdatenbackup einspielen
4) System und Webapps up2date halten

http://www.rootforum.org/faq/14_183_de.html

Ich verstehe nicht ganz.

Was meinst Du mit dem
"Die Kiste ist offensichtlich ge'root'et worden:"

Danke für deine schnelle reaktion?

In Mediendeutsch: Dein Server wurde gehackt.

Die Kiste komplett neu installieren, wie Joe geschrieben hat alle updates einspielen, absichern und danach erst wieder online gehen.
Kommst wenigstens an die logfiles ran, dann kannst wenigstens sehen wie und wo jemand eingedrungen ist.

Wer wäre verdammt blöd wenn er die Logfiles auf der Kiste belässt ;) Ein einfaches halt und danach das Kündigen vom Server erspart viel arbeit, such dir ein managed Server.

Lord_Pinhead wrote:Wer wäre verdammt blöd wenn er die Logfiles auf der Kiste belässt ;)

Ein Kunde hat mir seinen gehackten Server übergeben vor ein paar Monaten und die logs waren alle noch drauf. Entweder ein Anfänger oder Kiddie war am Werk. Der Server erfreut sich noch heute besonderer "Beliebtheit" wenn ich mir tagtäglich die Apachelogs anschaue ;)

Das ist mehr als Blöd, sowas gehört in das Guiness Buch der Dau-Rekorde.

Bei dem einen oder anderen Versuch den Server zu hacken würde ich gerne mal wissen ob die auch so dähmlich aussehen wie die sich anstellen...

*hochhol*

der absolute Welt-DAU-Rekord war immernoch das was ich gesehen hab:

einem Bekannten von mir wurde mal der Server gehackt - Irgendein PHP-SU-Hack wars wohl, und mein Bekannter hat sich um Security nicht sooo die Gedanken gemacht. Nur das Logging war sehr gut ... Vorher hat besagter User nämlich versucht Schwachstellen herauszufinden - Fand sich natürlich super in den Apache-Logs wieder die NICHT gelöscht waren ...

Jetzt kommts:
Der werte Herr war über einen Proxy online, den er auf seinem privaten Webserver installiert hatte (ja es war wirklich so) ... Wenn das nicht genug sei - im HTTP-Header stand ein X-HTTP-FORWARDED-FOR was der Proxy angehängt hatte. Der Proxy hatte sich mit einer .info-Domain zu erkennen gegeben - Whois-Abfrage - und der Kerl war das wirklich ...

Ist jetzt echt nicht ausgedacht !

Na hast du keinen Anony-proxy daheim stehen :lol: :roll:

Nene das is ja nich das dingen - der Server stand wohl in nem Rechenzentrum und war auf seinem Namen angemeldet, der Squid hat halt nur ein Forwarded-For angefügt worin dann drinnesteht für welchen Rechner der Squid Proxy gespielt hat. Muss man im Squid aktivieren sowas ...

Manche Leute sind nicht nur blöd sondern saublöd. Hat sich der werte Herr Staatsanwalt der Sache angenommen oder gar dessen Provider?

*LOL*