RootForum Community

Hallo,

seit heute morgen ist mein 1&1 root - der direkt nach der installation in 32-bit reinitialisiert wurde - im rescue-modus (kernel 2.6) ...

Lt. 1und1 wurden ausgehende dods-attacken festgestellt.

Auf dem server liegen diverse domains, außerdem ist teamspeak und ein kaum benutzter counter-strike-source (jeweils unter einem anderen benutzernamen, also nicht als root) installiert.

Wie sollte ich nun am sinnvollsten vorgehen, bevor ich den server wieder im normalen system starte ?

Hattest du Confixx oder Plesk drauf.
Die waren letzter Zeit etwas unter Beschuss Patches gab es aber vom Hersteller.

Ich empfehle dir einfach alle Daten aus "/etc","/home" und "/srv" auf deinen Backup FTP-Server zu schieben und den Server neu zu machen.

MFG
Datafreak

plesk 8.2.0 mit dem von 1und1 empfohlenen sicherheitsupdate

http://kb.swsoft.com/en/2169

Du kommst wohl um eine umfassende forensische Analyse nicht drum herum. Zieh Dir per dd ein Image von /dev/sda oder wie auch immer Deine Festplatte(n) heißen und nimm es zu Hause in kontrollierter Umgebung gründlich unter die Lupe. Log-Dateien, ggf. gelöschte Dateien, History-Files etc. sollten Dir nach ein bisschen Puzzle-Arbeit eigentlich Aufschluss darüber geben können, wie der Angreifer ins System gekommen ist und was er dort angestellt hat.

Wenn Du die ausgenutzten Schwachstellen kennst, solltest Du Dir ein Betriebskonzept erarbeiten (also Software, Konfiguration, Härtungsmaßnahmen, Einbrucherkennung etc.), das Dein System künftig gegen solche Schwächen immunisiert. Dass danach der Server komplett neu aufgesetzt werden muss, versteht sich von selbst...

Du kannst vielleicht auch mal bei 1&1 nach genaueren Informationen fragen. Das gibt möglicherweise auch Rückschlüsse.