Brauche dringend Tipps: Server wurde gehackt
Posted: 2007-03-12 15:22
Hallo Leute,
ich brauche dringend eure Tipps. Nach 3 Jahren stabilem und sicheren Laufen wurde mein Server am Samstag gehackt und hat massiv DDoS-Attacken ins Netz rausgeschickt. Das RZ hat jetzt erstmal den Port am Router geschlossen. Morgen früh bekomm ich zwischen 8 und 9 Uhr mit einem Rescue-System zugriff drauf und kann per Chroot ins System rein und es reparieren. In dieser Zeit muss ich den Server wieder zum laufen bekommen und sicher machen.
Jetzt ist blos die Frage: Wie geh ich da am besten ran?
Welche Logs sind wichtig um herauszufinden was vorgefallen ist [IP-Addy des Hackers bekommen, Herausfinden wo die Schwachstelle war, ...]? Wie warscheinlich ist es dass der Hacker wieder den selben Server benutzt? Um 9 Uhr soll das normale System wieder hochfahren. Hab ich dann noch ein paar Stunden Zeit Firewall entsprechend anzupassen oder ist es sehr wahrscheinlich dass der Hacker gleich wieder da ist, sobald der Server da ist. Haltet ihr es für sinnvoll eine neue IP-Adresse zu beantragen und die alte lahm zu legen?
Ich hoffe auf eure hilfreichen Tipps/Links und bedank mich im Voraus!
Mit besten Grüßen und Dank, Thomas
P.S.: Beim Serversystem handelt es sich um ein SuSE 10.0.
ich brauche dringend eure Tipps. Nach 3 Jahren stabilem und sicheren Laufen wurde mein Server am Samstag gehackt und hat massiv DDoS-Attacken ins Netz rausgeschickt. Das RZ hat jetzt erstmal den Port am Router geschlossen. Morgen früh bekomm ich zwischen 8 und 9 Uhr mit einem Rescue-System zugriff drauf und kann per Chroot ins System rein und es reparieren. In dieser Zeit muss ich den Server wieder zum laufen bekommen und sicher machen.
Jetzt ist blos die Frage: Wie geh ich da am besten ran?
Welche Logs sind wichtig um herauszufinden was vorgefallen ist [IP-Addy des Hackers bekommen, Herausfinden wo die Schwachstelle war, ...]? Wie warscheinlich ist es dass der Hacker wieder den selben Server benutzt? Um 9 Uhr soll das normale System wieder hochfahren. Hab ich dann noch ein paar Stunden Zeit Firewall entsprechend anzupassen oder ist es sehr wahrscheinlich dass der Hacker gleich wieder da ist, sobald der Server da ist. Haltet ihr es für sinnvoll eine neue IP-Adresse zu beantragen und die alte lahm zu legen?
Ich hoffe auf eure hilfreichen Tipps/Links und bedank mich im Voraus!
Mit besten Grüßen und Dank, Thomas
P.S.: Beim Serversystem handelt es sich um ein SuSE 10.0.