problem mit Hacker

[michael22]

Hallo miteinander,

ich habe ein dringendes Problem mit einem Hacker.. und zwar hoste ich auf meinem Server derzeit ca 10 Domains.. auf einer Domain installiert ein Hacker immer ein Pishing Script. Nun steht der Server kurz vor einer Sperrung. Das Script wird immer im "html" Verzeichnis des web Ordner gespeichert. Davon ist allerdings nur diese eine Domain betroffen. Jetzt weiß ich nicht ist das eine Lücke im Script (Topliste) oder am Server. Ich selber bin kein Linux oder Server Experte, brauche den Server aber wegen anderer Inhalte auf einer anderen Domain. Ich wär schon längst auf einen Managed Server umgestiegen, aber diese sind nicht Kompatibel mit meinem Projekt.. sprich die Systemvorraussetzungen passen nicht. Also bin ich auf einen Root Server angewiesen (Das nur vorab bevor es heißt wer keine Ahnung hat soll die Finger davon lassen.. ich weiß das aber wie gesagt momentan gehts nicht anders).

SERVERDATEN:
Betriebssystem: linux (Kernel: 2.4.25)
SuSE Linux 9.0 (i586)


Wie finde ich am besten raus wo der Fehler liegt?.. Ich hoffe mal es gibt hier leute die sich die Zeit nehmen mir zu helfen, ich denke jeder hat mal klein angefangen.. keiner kommt auf die Welt und weiß alles :-)

Danke im vorraus!

[aubergine]

Boardsuche benutzen und 100 Userposts finden die das gleiche Problem hatten.

Alla

cat /var/log/apache2/access.log | grep wget

oder vielen vielen anderen Log File Auswertungen.
Eins dürfte schonmal klar sein, das unsichere Script liegt auf der Domain, in deren html Ordner die Files sind.

Außer der Hacker hat schon weitere Zugriffen gehabt, kann ich von hier nicht beurteilen...

Wenn du keine Sicherheitstools/Allgemeine Sicherheits Konfigurationen wie mod_security, open_basedir, chroots oder weis der Kuckuck was gehabt hast, hilft alles nix auser das System neu zu installieren und
anstatt einen Managd Server zu mieten z.B. einen fähigen Admin mit der Einrichtung beauftragen.

Das kommt dich wahrscheinlich auf die Dauer auch günstiger wie ein Managed Server.

[os-t]

Grab einfach mal in den Log-Files der entsprechenden Domain ob Du irgendetwas findest, was verdächtig erscheint...

Und auch wenn Du es nicht hören willst: Nur weil Du etwas brauchst, was ein Managed nicht kann, heißt das nicht, dass Du einfach mal so ne potentielle Gefahr hinstellen kannst.
Um den Vergleich mit einem Lastwagenführerschein nochmal hinzuziehen (das hat ein anderer User hier mal gepostet): Nur weil ich jeden Tag etwas transportieren muss, darf ich noch lange nicht ohne Führerschein einen Sattelschlepper fahren!

[juergen]

cat /var/log/apache2/access.log | grep wget

Du bekommst auf jeden Fall den "Useless use of cat" award. Aber Logfiles nach auffälligen Einträgen durchsuchen ist schonmal eine gute Idee, wenn der Server noch nicht komplett gerooted wurde.

[aubergine]

Du bekommst auf jeden Fall den "Useless use of cat" award.

Dankeschön jetzt wo du es sagst :)
Naja ich rauche auch, von daher nit die einzige schlechte Angewohnheit.

:-D

[daemotron]

wenn der Server noch nicht komplett gerooted wurde.

Das würde ich nicht mehr ausschließen wollen:

Betriebssystem: linux (Kernel: 2.4.25)
SuSE Linux 9.0 (i586)

Die letzten Updates für 9.0 gab's AFAIK vor ca. einem Jahr... und seither sind für den 2.4er noch einige "Nettigkeiten" aufgetaucht.

Das hat schon mit "nicht Experte sein" nichts mehr zu tun - das ist grob fahrlässig und grenzt in meinen Augen schon an Beihilfe zum Hack *kopfschüttel*

[timeless2]

SERVERDATEN:
SuSE Linux 9.0 (i586)

Ein Update wäre hier auch angeraten.
Also wenn du nicht sicher bist bzw. nicht herausfinden kannst, ob wirklich jemand auf dein System Zugriff hatte, würde ich neu installieren. Die Zugangsdaten für den Account hast du sicher mal geändert?

[danu]

Wie finde ich am besten raus wo der Fehler liegt?..

vor allem auch ... wie schnell.

(Problem_beseitigen == Server_abschalten);

Im Ernst, wenn dein ISP vor dir rausfindet, wo der Fehler liegt,
ist der Ärger vorprogrammiert.

Sattelschlepper fahren!

...der gleich auseinander fällt

[danu]

Die sicherste Lösung wäre sofort jemand paar tausend Euro zu bezahlen, der das kann.

[fritz]

Da dieser thread vermutlich bald verschoben wird, kann ich ja auch noch meinen Senf dazugeben.

Die sicherste Lösung wäre sofort jemand paar tausend Euro zu bezahlen, der das kann.

Bis kurz vor dieser Aussage, konnte ich ja noch voll hinter den Kommentaren stehen, die hier notwendigerweise, immer wieder den leichtsinnigen, unerfahrenen Rootserverbetreibern um die Ohren gehauen werden.
Aber ihn dermaßen abzuschrecken, daß das ein paar tausend Euro kostet, wird ihn nur dazu verleiten, so weiter zu wurschteln. bis es dann mal richtig kracht.
Michael, wenn Du die Zeit nicht hast, selbst genügend Erfahrung zu sammeln, bevor so'n Server ans Netz geht, solltest Du in anderen, einschlägigen, kommerziellen Webhostingforen (z.B. im WHL-Marktplatz) einen Admin suchen. Dort wirst Du auch preiswertere Hilfe als oben 'angedroht' finden. Laß da einfach diese überflüssige, vorbeugende Ansprache Deiner Unvollkommenheit weg, dann mußt Du eventuell die Gardinenpredigt der Profi-Admins dort nicht noch ein 2. Mal ertragen.
Gruß Fritz

[lucki2]

Fritz, Du sprichst mir aus der Seele.
Aus der Praxis, weiß ich ganz sicher, daß ein guter Hoster oder Consulter Dir zu hören wird und Dir ein Angebot machen kann, mit dem Du glücklich wirst.

jfreud hat recht sich über Dein veraltetes System zu beschweren. Ich weiß aber auch: In der Praxis sind das oft schwere, wirtschaflich geprägte Entscheidungen ...
Ein gutes Argument ist für Dich vielleicht, daß so ein Script auf Deinem System ab nächstem Jahr 50.000€ kosten kann, wenn Dich jemand anzeigt(das wäre unerwünscht kommerzielle Werbung zusenden). Derzeit ist das noch nicht einheitlich geregelt - kommt auf den Richter an. Wenn wirklich Betrug über Deinen Server läuft(Phisching) - hast Du ein größeres Problem. Dein Provider ist das geringste. Da steht das BKA auf der Matte, daß Dir u.U. Mittäterschaft vorwerfen wird. Ist ein Argument - oder?

[michael22]

ich habe jetzt zuerstmal die Rechte des html Ordners so gesetzt das schreiben nicht geht.. wenn ich mekren sollte das dieser jemand nochmal zuschlägt werde ich zuerst mal den web sperren um weiteren Missbrauch zu vermeiden. Die Domain die mir da ausfällt ist zwar die mit der besten Entwicklung dieses Jahr, aber ich habe Projekte auf dem Server die schon mehrere Jahre laufen und die mir um einiges Wichtiger sind. Die Logs werde ich mir mal angucken.. vielleicht hilfts.. vielleicht findet sich auch hier jemand der mir vielleicht helfen könnte den Server etwas zu optimieren.. Ich habe zwar jemanden der mir das Kostenlos macht, aber dieser jemand ist jetzt auf einem längeren Bundeswehr einsatz und hat deswegen keine Zeit..

[timeless2]

ich habe jetzt zuerstmal die Rechte des html Ordners so gesetzt das schreiben nicht geht.. wenn ich mekren sollte das dieser jemand nochmal zuschlägt werde ich zuerst mal den web sperren um weiteren Missbrauch zu vermeiden. Die Domain die mir da ausfällt ist zwar die mit der besten Entwicklung dieses Jahr, aber ich habe Projekte auf dem Server die schon mehrere Jahre laufen und die mir um einiges Wichtiger sind. Die Logs werde ich mir mal angucken.. vielleicht hilfts.. vielleicht findet sich auch hier jemand der mir vielleicht helfen könnte den Server etwas zu optimieren.. Ich habe zwar jemanden der mir das Kostenlos macht, aber dieser jemand ist jetzt auf einem längeren Bundeswehr einsatz und hat deswegen keine Zeit..

Entweder du findest einen anderen jemand, oder du musst da selbst ran. Aber an deiner Stelle würde mich der Zustand deines Systems sehr beunruhigen. Da lädt jemand irgendwelche Skripte auf meinen Server (für den es nebenbei keine Sicherheitsupdates mehr gibt) und ich weiß nicht woher und wie er das macht. Also Daten sichern und neuinstallieren :!:

[wgot]

Hallo,

Das Script wird immer im "html" Verzeichnis des web Ordner gespeichert.

und von Dir gelöscht - Du hast also den Dateinamen des Hackerscripts. Öffne das Apchelog und suche nach diesem Dateinamen. In der gleichen Zeile (es kann sich auch um eine umgebrochene Zeile handeln, also mehrere die zusammengehören) wirst Du etwas weiter vorne den Namen des unsicheren Scripts finden.

Poste mal die Zeile(n) mit dem Namen des Hackerscripts drin.

Um den Fehler im unsicheren Script zu finden, müßtest Du dieses Script im Forum zeigen.

Jetzt weiß ich nicht ist das eine Lücke im Script (Topliste) oder am Server.

Vermutlich im Script.

SERVERDATEN:
Betriebssystem: linux (Kernel: 2.4.25)
SuSE Linux 9.0 (i586)

Auf die dringend erforderliche Neueinrichtung hat man Dich schon hingewiesen. Natürlich ist es sinnvoll, vorher das Loch zu finden.

Ich hoffe mal es gibt hier leute die sich die Zeit nehmen mir zu helfen

Bei was? Bei einer Quick&Dirty-Lösung damit dieser Hacker auf diesem Weg nicht mehr reinkommt - das würde Dir die Motivation zu einer Neueinrichtung nur noch mehr nehmen.

Gruß, Wolfgang

[lucki2]

Michael, verstehe es:

Wenn es wirklich um Phishing geht(Also Betrug), gehst Du in Deinem Interesse schnellst möglich zur nächsten Polizeidienstelle und meldest das. Die nehmen zwar auch Deine Seite vom Netz - aber Du kannst wenigstens eine Anzeige vermeiden.

Zur Beruhigung: Die machen ein Bak von Deiner Platte, wenn Du das willst und dann kannst Du wieder Online gehen - aber ohne Script. Mach besser vorher ein Bakup, weil Die Polizei oft Platten geschrottet zurück gibt: Sorry, ist zumindest beim LKA so und Du hast keine Handhabe dagegen.

Schlimmer für Dich ist es, wenn die die Platte per Durchsuchungsbefehl holen. Dann darfst Du suchen, wo die Platte ist, weil die Beschlagnameliste(wenn Dein Provider Fit ist) Dein Provider bekommt. Dann bist Du erst mal Woche am telefonieren, wo die Platte ist. Glaubs mir.

[danu]

Ich habe zwar jemanden der mir das Kostenlos macht, aber dieser jemand ist jetzt auf einem längeren Bundeswehr einsatz und hat deswegen keine Zeit..

Wäre noch interessant zu wissen, ob dieser Jemand weiss, was für einen Pfusch er hinterlassen hat. Du kannst diesen Thread kopieren und diesem Jemand zum lesen geben. Wenn sich diese Arbeitsweise durchsetzen würde, sähe ich für den Bundeswehreinsatz schwarz.