SSH Dateien geändert. Server geknackt?

Rund um die Sicherheit des Systems und die Applikationen
proweso
Posts: 14
Joined: 2003-04-11 11:22
Location: bei Hannover

SSH Dateien geändert. Server geknackt?

Post by proweso » 2007-01-22 11:49

In der Nacht vom 18.01 zum 19.01 wurden bei meinen 2 Strato Servern die SSH-Dateien in /usr/local/bin geändert. Seitdem funktioniert das rsync-Backup zwischen den Servern nicht mehr.
Weiterhin wurden Dateien in /etc/ssh2 zur gleichen Zeit geändert bzw. angelegt.
Bisher hatte ich OpenSSH genutzt. Seit der Änderung ist SSH.COM aktiv (oder irgendetwas was sich dafür ausgibt).

Ein Blick in /var/log/messages zeigt unendlich viele Login-Versuche mit diversen Usernamen (bis heute Nacht).

Nun frag ich mich wie ich am besten vorgehe. Soll ich beide Server neu initialisieren lassen oder ist das nicht nötig?
Die Log-Dateien melden bis heute erfolglose Versuche von root-Logins. Wie konnten dann die SSH-Dateien (mit root-Rechten) geändert werden?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: SSH Dateien geändert. Server geknackt?

Post by Joe User » 2007-01-22 11:59

Die Server wurden definitiv ge'root'et: Sichere mindestens einen Server zur späteren Analyse (sicherheitshalber in einer VM (VMWare)) und setze beide Server neu auf. Desweiteren musst Du an Hand Deiner weiteren Analyse Dein Sicherheitskonzept überarbeiten...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.