Server wurde gehackt - bitte um Hilfe

[stain]

hallo allerseits.
mein server (centOS, WHM, Cpanel) wurde gestern gehackt. das schlimme ist, dass irgendwie alle public_html ordner (in denen die websites liegen) gelöscht oder verschoben wurden. ausserdem wurden alle logfiles gelöscht.
nun meine frage: ca. 20 gb sind immernoch auf dem server belegt, was mich vermuten lässt, dass die dateien noch irgendwo sein könnten.

da ich mich mit ssh nicht sehr gross auskenne, würde ich gerne wissen, wie ich danach suchen könnte.

ich wäre für eure hilfe sehr dankbar.

[mattiass]

mein server (centOS, WHM, Cpanel) wurde gestern gehackt. das schlimme ist, dass irgendwie alle public_html ordner (in denen die websites liegen) gelöscht oder verschoben wurden. ausserdem wurden alle logfiles gelöscht.
nun meine frage: ca. 20 gb sind immernoch auf dem server belegt, was mich vermuten lässt, dass die dateien noch irgendwo sein könnten.

da ich mich mit ssh nicht sehr gross auskenne, würde ich gerne wissen, wie ich danach suchen könnte.

Erstmal Rettungssystem aktivieren und schleunigst rebooten! An das Rettungssystem kommt der Hacker nicht ran und Du kannst in Ruhe Daten sichern.

[stain]

ist aktiviert. jetzt muss ich nur die dateien finden die ggf zu sichern sind.

[mattiass]

ist aktiviert. jetzt muss ich nur die dateien finden die ggf zu sichern sind.

Wie ist die Festplatte partitioniert?

Code: Select all

df -h
fdisk -l

[stain]

df -h:
-----------------------------------------------------
Filesystem Size Used Avail Use% Mounted on
/dev/hda3 229G 21G 196G 10% /
/dev/hda1 99M 11M 83M 12% /boot
none 506M 0 506M 0% /dev/shm
/usr/tmpDSK 485M 11M 449M 3% /tmp
/tmp 485M 11M 449M 3% /var/tmp


fdisk -l
------------------------------------------------------
Disk /dev/hda: 251.0 GB, 251000193024 bytes
255 heads, 63 sectors/track, 30515 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

Device Boot Start End Blocks Id System
/dev/hda1 * 1 13 104391 83 Linux
/dev/hda2 14 268 2048287+ 82 Linux swap
/dev/hda3 269 30515 242959027+ 83 Linux

[mattiass]

df -h:
-----------------------------------------------------
Filesystem Size Used Avail Use% Mounted on
/dev/hda3 229G 21G 196G 10% /
/dev/hda1 99M 11M 83M 12% /boot
none 506M 0 506M 0% /dev/shm
/usr/tmpDSK 485M 11M 449M 3% /tmp
/tmp 485M 11M 449M 3% /var/tmp

Das Rettungssystem bitte nicht nur aktivieren, sondern auch booten!

Bei welchem Provider steht der Server?

[stain]

der server steht in amiland bei tailormadeservers.com.

wie boote ich per ssh im rettungssystem?

[thorsten]

Ohjee...
Meistens gibt es dafür ein Webinterface beim Hoster. Danach gibst du reboot ein und die Maschine holt sich per PXE ein kleines Rettungssystem übers Netzwerk. Darauf kannst du dich dann einloggen und die Datensicherung machen.

[stain]

habe gerade die domlogs gefunden, die haben ne grösse von alleine 18 gigs, also werden alle anderen dateien wohl gelöscht worden sein...
das wars dann also, werde wohl alles neu aufspielen lassen...

als letzte frage:
welches OS würdet ihr laufen lassen (mit cpanel) ?

centOS oder fedora core?

[mattiass]

als letzte frage:
welches OS würdet ihr laufen lassen (mit cpanel) ?

centOS oder fedora core?

Ernsthafte Antwort: Du solltest jemanden hinzuziehen, der Dir den Server absichert, regelmäßig Sicherheitsupdates einspielt, etc. und auch im Notfall Feuerwehr spielen kann. Das heisst nicht, alles aus den Hand zu geben, ist aber gut investiertes Geld.

Es ist recht gefährlich, mit geringen Linux-Kenntnissen einen Rootserver betreiben zu wollen. Es ist kein Problem, wenn an einzelnen Ecken und Enden die Erfahrung fehlt, aber mit der Möglichkeit, ein Rettungssystem zu booten, mit der Funktion des Befehls "chroot" etc. sollte man sich mal auseinandergesetzt haben.

[thorsten]

welches OS würdet ihr laufen lassen (mit cpanel) ?

einen managed server - egal welche Distri drunter steckt - da gebe ich Mattias absolut recht

[stain]

ja da habt ihr wohl recht. nur ist das leider immer eine kostenfrage...
aber ich werd mal überlegen, was sich da machen lässt.

danke für eure hilfe.

[rootsvr]

Jop.. irgendwann kommst Du zu dem Punkt wo
"Hilfe meine ganzen Daten sind weg, weil ich gehackt wurde" teurer ist als ein Managed Server.

Vielleicht aber auch zu dem Punkt
"Hilfe die Polizei hat auf meinem Server Warez gefunden, weil die jemand da hin kopiert hat und will mir ans Leder", wo Du denkst: hätte ich mal ein bischen was investiert.

[khark]

da ich mich mit ssh nicht sehr gross auskenne, würde ich gerne wissen, wie ich danach suchen könnte.

SSH ist nur ein Programm das den Remote Login auf den Server ermöglich. Das, was du an Befehlen eingibst passiert in der Shell. Unter Linux ist dies meistens die Bash. Es gibt aber auch noch die sh-/csh-/zsh-Shell usw.

Ich kann mich den Ratschlägen hier nur anschließen. Nimm dir einen managed Server und lern Linux.

[-ec-]

ja da habt ihr wohl recht. nur ist das leider immer eine kostenfrage...
aber ich werd mal überlegen, was sich da machen lässt.

danke für eure hilfe.

da gibts nichts zu überlegen, mach es einfach, scheinabr bist du nicht in der lage, selber einen server zu administrieren.

wegen dem os, falls du dich doch weigern solltest jmd. zu bezahlen:
ich würde nix davon nehmen, auf servern würde ich NUR FreeBSD nehmen (das liegt daran, dass ich mich nicht so eindrignlkich mit lnx beschäftigt habe, gentoo soll auch toll sein...).

MfG

[elch_mg]

Debian ist auch toll. Jedes System setzt voraus, dass man sich mit ihm eingehend beschäftigt.

[danu]

Oder meine SuSE, schickt mir immer Emails, wenn etwas nicht mehr geht.

[thorsten]

Oder meine SuSE, schickt mir immer Emails, wenn etwas nicht mehr geht.

Außer wenn der Mailserver streikt :lol:

[-ec-]

Jedes System setzt voraus, dass man sich mit ihm eingehend beschäftigt.

bei manchen distributionen habe ich den eindruck, dass das nicht mehr nötig ist, oder zumindest das das system dem user alles abnehmen will...

[elch_mg]

Doch, es ist immer nötig. Leider gibt es Leute, die meinen man könne einen Server - auch mithilfe einer passenden Distri - möglichst vollständig automatisieren. Plesk oder Confixx oben auf, und fertig ist die Laube.

Denkste...

[blnsnoopy26]

Jupp... Confixx oder Plesk ist nur eine grafische GUI die drum rum ist. Aber der Kern der dinge liegt woanders.

[-ec-]

eigentlich richtete sich meine aussage gegen distributionen wie suse, weil das ja dieses yast klicki-bunti ding mitbringt... mit confixx und plesk habe ich nie gearbeitet, und das wird auch in zukunft so bleiben.

Jupp... Confixx oder Plesk ist nur eine grafische GUI die drum rum ist. Aber der Kern der dinge liegt woanders.

lol? wie meinst du dass den nun? man kann mit plesk und co. doch so ziemlich alles administrieren? es ist klar, dass es besser ist dass von hand zu machen, aber bei manchen leuten ist es vllt. besser wenn sie son programm benutzen...


MfG

[blnsnoopy26]

eigentlich richtete sich meine aussage gegen distributionen wie suse, weil das ja dieses yast klicki-bunti ding mitbringt... mit confixx und plesk habe ich nie gearbeitet, und das wird auch in zukunft so bleiben.

Jupp... Confixx oder Plesk ist nur eine grafische GUI die drum rum ist. Aber der Kern der dinge liegt woanders.

lol? wie meinst du dass den nun? man kann mit plesk und co. doch so ziemlich alles administrieren? es ist klar, dass es besser ist dass von hand zu machen, aber bei manchen leuten ist es vllt. besser wenn sie son programm benutzen...


MfG

OMG...da sieht man es mal wieder...
Damit kannste nicht alles machen....klar kannst postfächer,ftp accounts oder so verwalten, aber damit kannste du keine Security updates machen.....

Kernel update,php update, mysql update... ohne regelmässige updates siehste ja was bei rauskommt. Das würde nicht pasieren, wenn man sein system aktuell halten würde.

Ich habe jetzt seit 5-6 jahren ein rootserver und ich wurde noch nie gehackt und warum? Weil ich alles mögliche tue, um es dem angreifer so schwer wie möglich zu machen.

100% sicherheit gibt es nicht - das weiss jeder, aber so 80-90% sicherheit sollte man schon erreichen.

z.b php als CGI/FASTCGI laufen lassen, suexec einsetzen usw. Diverse Dienste deinstallieren, die man eh nicht benötigt. direkten rootzugriff verweigern ... ssh login nur per pblic key ... ssh standard port ändern...usw.

das Confixx oder Plesk ist wie bei windows nur eine grafische GUI (Hilfestellung) - nicht mehr und nicht weniger.

[elch_mg]

Confixx und Plesk verführen dazu, einen Server nur damit zu "administrieren".
Das heisst: Es gibt keine Leute, bei denen es besser ist, wenn sie Confixx oder Plesk benutzen. Es gibt nur Leute, bei denen es besser ist, wenn sie den Server kündigen oder einem fähigen Admin überlassen. Schluss aus.

[-ec-]

OMG...da sieht man es mal wieder...
Damit kannste nicht alles machen....klar kannst postfächer,ftp accounts oder so verwalten, aber damit kannste du keine Security updates machen.....

Kernel update,php update, mysql update... ohne regelmässige updates siehste ja was bei rauskommt. Das würde nicht pasieren, wenn man sein system aktuell halten würde.

Ich habe jetzt seit 5-6 jahren ein rootserver und ich wurde noch nie gehackt und warum? Weil ich alles mögliche tue, um es dem angreifer so schwer wie möglich zu machen.

100% sicherheit gibt es nicht - das weiss jeder, aber so 80-90% sicherheit sollte man schon erreichen.

z.b php als CGI/FASTCGI laufen lassen, suexec einsetzen usw. Diverse Dienste deinstallieren, die man eh nicht benötigt. direkten rootzugriff verweigern ... ssh login nur per pblic key ... ssh standard port ändern...usw.

das Confixx oder Plesk ist wie bei windows nur eine grafische GUI (Hilfestellung) - nicht mehr und nicht weniger.

bevor du mich kritisierst, solltest du mal lesen lernen. ich sagte, dass ich sowas NIE benutzt habe und es auch nicht tun werde. aber für manche leute ist es hilfreich, es ist besser nen server mit sowas zu sichern (falls es da solche optionen gibt, habs mir nicht angeguckt), als das ding so ans netz zu hängen(einfach server drauf und los gehts..), ODER?

außerdem interessiert es mich, warum du glaubst, dass du NIE gehackt wurdest, schonmal auf die idee gekommen, dass es leute gibt, die vllt. mehr drauf haben als du, und die es unentdeckt geschafft haben? (das richtet sich jetzt nicht speziell gegen dich, sondern ist allgemein, du kannst machen was du willst, 100% sicherheit wirst du nie erreichen..). was meinst du mit 80% bis 90% sicherheit?
wie willst du dass messen? woher hast du die zahlen?


MfG