Server gehackt, was nun...

[andreas franke]

Hallo,
letzte Nacht wurde mein 1und1 L64 Server (suse 9.3/Plesk 7.54) gehackt. Die bösen Buben haben ebenfalls meine Backups vom ftp.backup server gelöscht (vielen Dank). Konischer Weise haben sie den aktuellen Datenbestand auf der Platte scheibar in Ruhe gelassen. Was ich jetzt machen wollte ist, alle relevanten Daten (Postfächer,Datenbanken und Homeverzeichnisse) zu sichern. Danach eine neue Initialisierung des Ser vers über's Controlpanel. Nun habe ich aber das Problem, das 1und1 kein Image mit Plesk 7.54 mehr anbietet. Weiß jetzt jemand, ob ich die alten Datenbank- und Filestrukturen auf dem neuen Image verwenden kann? Oder wie ich die Daten sonst migrieren kann?

In echter Bedrängnis...

Andreas

[daemotron]

Mit ein bisschen manuellem Aufwand kannst Du auf jeden Fall die Mailboxen zurückspielen, und natürlich die Inhalte der Webpräsenzen. Die Kunden-Datenbanken sollten ansich auch kein Problem sein; kritisch sind nur die Inhalte der Plesk-Datenbank. Weiß nicht, ob sich da Satzstrukturen geändert haben... Das Backup-Tool von Plesk 8.0 ist nicht rückwärtskompatibel zu 7.5.x (warum auch?! :twisted: ), damit kommst Du also nicht allzu weit... Na ja, notfalls /etc/passwd, /etc/shadow und die Aliases-Datei von qmail mitsichern. Die aber vor dem zurückspielen auf jeden Fall prüfen! Nicht, dass die "kreativ erweitert" wurden...

Auf jeden Fall solltest Du Dir noch die Logfiles ziehen, um ein bisschen Spurensuche zu betreiben. Nicht, dass die Jungs über ein unsicheres PHP-Skript ne Backdoor installiert haben, und Du spielst jetzt genau dieses Skript zurück auf den frischen Server...

[andreas franke]

Hallo,

Mit ein bisschen manuellem Aufwand kannst Du auf jeden Fall die Mailboxen zurückspielen, und natürlich die Inhalte der Webpräsenzen. Die Kunden-Datenbanken sollten ansich auch kein Problem sein; kritisch sind nur die Inhalte der Plesk-Datenbank. Weiß nicht, ob sich da Satzstrukturen geändert haben... Das Backup-Tool von Plesk 8.0 ist nicht rückwärtskompatibel zu 7.5.x (warum auch?! :twisted: ), damit kommst Du also nicht allzu weit... Na ja, notfalls /etc/passwd, /etc/shadow und die Aliases-Datei von qmail mitsichern. Die aber vor dem zurückspielen auf jeden Fall prüfen! Nicht, dass die "kreativ erweitert" wurden...

Auf jeden Fall solltest Du Dir noch die Logfiles ziehen, um ein bisschen Spurensuche zu betreiben. Nicht, dass die Jungs über ein unsicheres PHP-Skript ne Backdoor installiert haben, und Du spielst jetzt genau dieses Skript zurück auf den frischen Server...

Ich befürchte das Selbe mit der Plesk-Datenbank. Die freundlichen Hacker haben im übrigen alle Logfiles vorsorglich gelöscht. Da ist nichts mehr von übrig...

Na prost Mahlzeit...

Andreas

[sledge0303]

Schau mal in /tmp nach, evtl. findest du ja noch was. In der Regel sind das Kiddies die nur aus Spaß an der Freude ein Rootkit aus dem Netz ausprobieren wollen... Dann schrecken diese kleinen Pe**er vor nichts zurück.

[elch_mg]

übrigens heissen die werten Jungs "Cracker". Hacker machen so etwas in der Regel nicht.

[andreas franke]

übrigens heissen die werten Jungs "Cracker". Hacker machen so etwas in der Regel nicht.

Für mich heißen die eigentlich nur verf*ckte Schei**er.

Den Apachen habe ich temporär ersteinmal wieder zum Laufen gebracht. So hab' ich erstmal wieder ein paar Stunden Luft um mich um alles Weitere zu kümmern. Werde mir wohl mal ein zweiten Server aus gründen der Redundanz zulegen müßen.

Andreas

[rootsvr]

Wichtiger ist das Loch zu finden.. ein Zweiter Server mit der gleichen Lücke lebt im schlechtesten Fall 0.1 Sekunde länger.

[andreas franke]

Wichtiger ist das Loch zu finden.. ein Zweiter Server mit der gleichen Lücke lebt im schlechtesten Fall 0.1 Sekunde länger.

Da hast Du natürlich recht. Mit dem 2. Server könnte man sich dann aber die benötige Zeit zum Suchen komfortabler beschaffen.

Gruß
Andreas

[andreas franke]

Hallo sledge0303,

Schau mal in /tmp nach, evtl. findest du ja noch was. In der Regel sind das Kiddies die nur aus Spaß an der Freude ein Rootkit aus dem Netz ausprobieren wollen... Dann schrecken diese kleinen Pe**er vor nichts zurück.

Genau im /tmp bin ich fündig geworden. Ich habe dort vier Files gefunden:

1. 5
2. back
3. index.htm
4. MSRml.txt

Das Teil nennt sich "Morocco.Security.Rulz mass defacer and log eraser".

Vielleicht möchte der Eine oder Andere ja mal nachschauen, wie's in seinem /tmp aussieht.

mfg

Andreas

[nyxus]

übrigens heissen die werten Jungs "Cracker". Hacker machen so etwas in der Regel nicht.

Diese Unterscheidung wird übrigens selbst von etlichen anerkannten Security-Leuten nicht (mehr) gemacht ...

[sledge0303]

Genau im /tmp bin ich fündig geworden. Ich habe dort vier Files gefunden:

Das Teil ist mir noch nicht unter gekommen. Hatte schon einige dieser Versuche hinter mir, mod_security hat bis jetzt diese immer unterbunden.

[elch_mg]

übrigens heissen die werten Jungs "Cracker". Hacker machen so etwas in der Regel nicht.

Diese Unterscheidung wird übrigens selbst von etlichen anerkannten Security-Leuten nicht (mehr) gemacht ...

Schade drum.. erinnert mich ans Deppen-Apostroph.
Definiere mal "anerkannte Security-Leute". Die Vorstands-Etage von Securitas?

[andreas franke]

übrigens heissen die werten Jungs "Cracker". Hacker machen so etwas in der Regel nicht.

Diese Unterscheidung wird übrigens selbst von etlichen anerkannten Security-Leuten nicht (mehr) gemacht ...

Schade drum.. erinnert mich ans Deppen-Apostroph.
Definiere mal "anerkannte Security-Leute". Die Vorstands-Etage von Securitas?

Haarspalterei und bringt einem zum Thema echt weiter...

[shapeshifta]

Auch wenn ich nicht helfen kann, mein Mitleid sei Dir gewiss.

[nyxus]

Schade drum.. erinnert mich ans Deppen-Apostroph.

Diese's häufig anzutreffende Abtrennen eine's "s" i'st aber einfach nur fal'sch. Sprache hingegen lebt und es gibt immer wieder Begriffe, die mehrere Bedeutungen haben.

Definiere mal "anerkannte Security-Leute". Die Vorstands-Etage von Securitas?

Bruce Schneier z.B.

[danu]

Hast Du den ISP - Support schon angefragt, dass sie Dir ein suse 9.3/Plesk 7.54 Image auf den Server beamen ? Das tun die auf Wunsch. Im Kundenmenu sind nur die neuesten Versionen aufgeführt.

[cat]

Definiere mal "anerkannte Security-Leute". Die Vorstands-Etage von Securitas?

Bruce Schneier z.B.

und ich dachte schon, Ihr redet von Peter Huth *hust*

best regards
Cat

[andreas franke]

Hi,

Hast Du den ISP - Support schon angefragt, dass sie Dir ein suse 9.3/Plesk 7.54 Image auf den Server beamen ? Das tun die auf Wunsch. Im Kundenmenu sind nur die neuesten Versionen aufgeführt.

ich habe das Problem lösen können, indem mir ein bekannter einen gerade neu erstandenen Rooti mit Plesk 8.x für ein paar Stunden zur Verfügung gestellt hat. Auf den habe ich dann, die Webs migriert, dann meinen Rootie initialisiert und dann von dem geliehenen Server zurück migriert.

Gruß
Andreas