Server gehackt - Zur Anzeige bringen? Oder nicht?

Rund um die Sicherheit des Systems und die Applikationen
Anonymous

Server gehackt - Zur Anzeige bringen? Oder nicht?

Post by Anonymous » 2007-04-26 19:54

Hallo,

gestern Nacht hatte ich einen extrem hohen Traffic, sowohl Incoming als auch Outgoing. Ich bin mir recht sicher, daß mein System kompromitiert und als Warez-Schleuder missbraucht wurde - was mir auch der Support meines Providers bestätigen konnte... :evil:

Ich sichere gerade noch /var/log und dann muss ich das System wohl leider erstmal plattmachen.

Meine Frage ist nun:
Muss ich das bei der Polizei zur Anzeige bringen?
Natürlich finden die nicht raus, wer das war, aber ich dachte, vielleicht muss ich mich rechtlich absichern? Immerhin vermute mal nicht,daß das "legale" Dateien waren, die da hin- und herverschoben wurden (immerhin fast 4GB), und am Ende heißt es sonst noch, ich hätte das selbst verbrochem...

Hat jemand schon mal sowas erlebt und weiß wie das abgeht bei der Polizei?

Vielen Dank für eure Hilfe,
Grüße,
Daniel

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Server gehackt - Zur Anzeige bringen? Oder nicht?

Post by lord_pinhead » 2007-04-27 01:47

1) Musst du der Polizei die Beweise vorlegen
2) ist es recht Sinnlos wenn die Täter im Ausland sind, dazu ist der Schaden zu gering

Wenn du keinerlei Logs hast wird das schwierig, und Leute anzeigen weil Sie von dir was gesaugt haben is nicht. Dafür müsstest du entsprechende Logs der GVU geben, die sind die einzigen die sich mit sowas beschäftigen. Aber an die Täter kommst du so gut wie nicht ran wenn du schon nichtmal weißt was für Prozesse laufen die das verursachen könnten.

Das Probleme jetzt bei den Logs die du noch hast, ich wette der Einbrecher hat sie bereinigt und du hast im höchstfall noch ein paar FTP Transfers in der xferlog stehen die täglich vom Syslog gelöscht werden. Ein Loggingserver im Verbund von Syslog-ng wäre da angebracht gewesen.

Jetzt heißt es erstmal die Kiste vom Netz trennen (/tmp vorher sichern) und im Rescue System die Forensik beginnen, den die Programme die der Einbrecher ersetzt hat wie top, ls, ps usw. kannst du nicht mehr verwenden. Ich frag jetzt erst gar nicht ob du einen MD5/SHA1 Abdruck deines Systems hast ;) Neuaufsetzen würde ich erst nachdem ich ein Abdruck des Systems daheim liegen habe, und zwar das komplette System.