Also wenn in meinen Server eingebrochen wird, dann werde ich bestimmt nicht die Links zurücksetzen und dann weiter machen wie bisher. So viel Profi, dass ich wirklich ausschließen kann, dass der Eindringling nicht woanders noch Spuren hinterlassen hat, ist wohl kaum jemand. Ich würde ihn komplett neu aufsetzen. Oder wie sehen die anderen das?
Egal wieviel Profi man ist, es ist immer sicherer und billiger den Server nochmal aufzusetzen als jede Datei zu checken, nach versteckten Prozessen und auffälligen Verhalten im Netz zu suchen.
Also Image und letztes Backup zurückspielen und nach einer Stunde denkt keiner mehr dran ... äh' doch, die Ursache sollte gefunden werden, sonst macht man das dann jeden Tag
-> System härten, Intrusion detecten aufsetzen etc...
Nicht immer trifft es Anfänger, auch unachtsamkeit und bequemlichkeit können treffen. Zu meiner Schande muss ich gestehen, das in 14 Jahren einmal ein Einbruch stattfand als ich in den Urlaub gefahren bin. Ich war so frei und hab einen Cronjob hinterlegt -> "apt-get update && apt-get -y upgrade", was mir meine httpd.conf vom Apachen und php.ini von der PHP Installation zurückgesetzt hat. Prima, kein Chroot mehr, kein CGI mit einzelnen Nutzern, alle PHP Funktionen wieder verfügbar... Kurzum alle Sicherungen wurden mit der Standarddatei des Paketes überschrieben. 2 Tage danach hat ein Bot das System übernommen.
Nach meinem Urlaub hab ich es gemerkt, die Forensische Analyse gestartet und gelacht. Der "Hacker" wollte den ProFPTD austauschen, ist am Kompilieren gescheitert, das umkonfigurieren der installierten Variante hat er vermasselt, alle Uploads und Downloads seine Warezfreunde wurden geloggt. Der Rootkit ließ sich nicht installieren da ein eigener Kernel von mir auf der Kiste lief. Der IRC Bot für das Verteilen in IRC Channels hatte das Channel Passwort im Klartext gespeichert, und da der "Hacker" seinen Benutzernamen mit hinterlegt hat im Perlscript vom Bot, wusste ich auch das. Und interessanterweiße, das Passwort war sein Sicherungspasswort für den Nickname im IRC. Dadurch konnte ich mich prima authentifizieren und etwas Spaß als er haben. Am Ende des Tages waren alle seine Bots offline da ich alle IP´s hatte und die Betreiber informieren konnte.
Bei solchen "Profis" mache ich mir keine Gedanken was da passiert sein kann. Ab ins Rettungssystem, MD5 Sum File geladen und verglichen, mit find veränderte Dateien gesucher, System manuell reinstalliert (Basissystem), Konfigs geprüft, nach einer Stunde war alles gecheckt, Passwörter zurückgesetzt und Kunden informiert. Das war 2004 und seitdem hab ich meine Lektion gelernt was automatische Updates angeht.
Also wenn in meinen Server eingebrochen wird, dann werde ich bestimmt nicht die Links zurücksetzen und dann weiter machen wie bisher. So viel Profi, dass ich wirklich ausschließen kann, dass der Eindringling nicht woanders noch Spuren hinterlassen hat, ist wohl kaum jemand. Ich würde ihn komplett neu aufsetzen. Oder wie sehen die anderen das?
Egal wieviel Profi man ist, es ist immer sicherer und billiger den Server nochmal aufzusetzen als jede Datei zu checken, nach versteckten Prozessen und auffälligen Verhalten im Netz zu suchen.
Also Image und letztes Backup zurückspielen und nach einer Stunde denkt keiner mehr dran ... äh' doch, die Ursache sollte gefunden werden, sonst macht man das dann jeden Tag
-> System härten, Intrusion detecten aufsetzen etc...
setzt vorraus du kennst den Infektionszeitpunkt ... oder woher weißt du welches Backup sauber ist?
Das Image ist das vom frisch erstellen PC und die Rücksicherungen sind nicht binäre Daten in veredelter ASCI-Form, wo soll da 'was unsauber sein?
Nicht immer trifft es Anfänger, auch unachtsamkeit und bequemlichkeit können treffen.
Zu meiner Schande muss ich gestehen, das in 14 Jahren einmal ein Einbruch stattfand als ich in den Urlaub gefahren bin. Ich war so frei und hab einen Cronjob hinterlegt -> "apt-get update && apt-get -y upgrade", was mir meine httpd.conf vom Apachen und php.ini von der PHP Installation zurückgesetzt hat. Prima, kein Chroot mehr, kein CGI mit einzelnen Nutzern, alle PHP Funktionen wieder verfügbar... Kurzum alle Sicherungen wurden mit der Standarddatei des Paketes überschrieben. 2 Tage danach hat ein Bot das System übernommen.
Nach meinem Urlaub hab ich es gemerkt, die Forensische Analyse gestartet und gelacht. Der "Hacker" wollte den ProFPTD austauschen, ist am Kompilieren gescheitert, das umkonfigurieren der installierten Variante hat er vermasselt, alle Uploads und Downloads seine Warezfreunde wurden geloggt. Der Rootkit ließ sich nicht installieren da ein eigener Kernel von mir auf der Kiste lief. Der IRC Bot für das Verteilen in IRC Channels hatte das Channel Passwort im Klartext gespeichert, und da der "Hacker" seinen Benutzernamen mit hinterlegt hat im Perlscript vom Bot, wusste ich auch das. Und interessanterweiße, das Passwort war sein Sicherungspasswort für den Nickname im IRC. Dadurch konnte ich mich prima authentifizieren und etwas Spaß als er haben. Am Ende des Tages waren alle seine Bots offline da ich alle IP´s hatte und die Betreiber informieren konnte.
Bei solchen "Profis" mache ich mir keine Gedanken was da passiert sein kann. Ab ins Rettungssystem, MD5 Sum File geladen und verglichen, mit find veränderte Dateien gesucher, System manuell reinstalliert (Basissystem), Konfigs geprüft, nach einer Stunde war alles gecheckt, Passwörter zurückgesetzt und Kunden informiert. Das war 2004 und seitdem hab ich meine Lektion gelernt was automatische Updates angeht.