Server hack??
Server hack??
hi,
hab ein risen Problem mit meinem server. Gestern bekamm ich die email
das der Server überlastet ist Prozessor last und der smtp nicht
leuft. Danach bin ich auf dem Server gegangen und wolte alles cheken
wolte mir die log ansehen und hab folgendes festgestellt:
/var/log/message ->/dev/null
/var/log/secure ->/dev/null
alles ins nirvana. Dann sind bei mir sofort die alarm Glocken
gegangen. Und hab noch folgendes festgestellt unter /usr/man/man1/...
findet mann folgende Dateien:
out
asus
chipsul
cleaner
ftpaccess
s
scan.tar.gz
see
seekill
synk
w
und ich habe vielle md5-checksum fehler mein Server wurde leider
gehakt obwohl alle patche drauf sind und eigentlich ganz sicher ist.
Meine Frage wie kann ich rausfinden wie genau hat er das gemacht und
wie kann ich ihn erwischen seine ip rausfinden und so. Und was muss
ich noch machen für die zukunft damit so was nicht passiert?
Habe ich eine andere möglichkeit auser neue instalation und wie kann
ich mich dagegen schutzen?
mfg
carsten
hab ein risen Problem mit meinem server. Gestern bekamm ich die email
das der Server überlastet ist Prozessor last und der smtp nicht
leuft. Danach bin ich auf dem Server gegangen und wolte alles cheken
wolte mir die log ansehen und hab folgendes festgestellt:
/var/log/message ->/dev/null
/var/log/secure ->/dev/null
alles ins nirvana. Dann sind bei mir sofort die alarm Glocken
gegangen. Und hab noch folgendes festgestellt unter /usr/man/man1/...
findet mann folgende Dateien:
out
asus
chipsul
cleaner
ftpaccess
s
scan.tar.gz
see
seekill
synk
w
und ich habe vielle md5-checksum fehler mein Server wurde leider
gehakt obwohl alle patche drauf sind und eigentlich ganz sicher ist.
Meine Frage wie kann ich rausfinden wie genau hat er das gemacht und
wie kann ich ihn erwischen seine ip rausfinden und so. Und was muss
ich noch machen für die zukunft damit so was nicht passiert?
Habe ich eine andere möglichkeit auser neue instalation und wie kann
ich mich dagegen schutzen?
mfg
carsten
Re: Server hack??
was ist eigentlich "eigentlich ganz sicher"?
aber sei's drum, um "ganz sicher" zu gehen, musste den server nur ausschalten
...und wennde mal rueberwachsen laesst, welche inet-anbindung, welches os, welcher kernel, welche patches, welche software, wie konfiguriert, etc und pipapo, dann schreibt vielleicht noch wer was vernuenftigeres als antwort.
ratte
aber sei's drum, um "ganz sicher" zu gehen, musste den server nur ausschalten
...und wennde mal rueberwachsen laesst, welche inet-anbindung, welches os, welcher kernel, welche patches, welche software, wie konfiguriert, etc und pipapo, dann schreibt vielleicht noch wer was vernuenftigeres als antwort.
ratte
Re: Server hack??
es ist ein Cobalt RAQ 3 alle bekante Patche sind instaliert und trozdem so was und der server ligt in eine DMZ und es gibt auch eine ids
Re: Server hack??
Das interessiert mich auch!
Wir haben ebenfalls eine Cobalt Kiste rumstehen.
Wenn da jemanden ein Exploit bekannt ist, bitte melden.
Geht auch per Mail:
raid0@gmx.de
@kahrsten
wenn die Patche wirklich aktuell waren und es keinen Exploit gibt (bekannten), dann sollte man in betracht ziehen
das der Angreifer ein schwaches Passwort ausgenutzt hat.
Da liegt ja auch ftpaccess rum. Wer weiss schon was das ist. Evt. DAteien eines bekannten Rootkits.
Wenn ihr ein IDS habt und dieser nichts gemeldet hat _kann_ es fast nur ein "normaler" Login gewesen sein.
Irgendwo noch ein Default-PW gesetzt gewesen?
Gruss Max
Wir haben ebenfalls eine Cobalt Kiste rumstehen.
Wenn da jemanden ein Exploit bekannt ist, bitte melden.
Geht auch per Mail:
raid0@gmx.de
@kahrsten
wenn die Patche wirklich aktuell waren und es keinen Exploit gibt (bekannten), dann sollte man in betracht ziehen
das der Angreifer ein schwaches Passwort ausgenutzt hat.
Da liegt ja auch ftpaccess rum. Wer weiss schon was das ist. Evt. DAteien eines bekannten Rootkits.
Wenn ihr ein IDS habt und dieser nichts gemeldet hat _kann_ es fast nur ein "normaler" Login gewesen sein.
Irgendwo noch ein Default-PW gesetzt gewesen?
Gruss Max
Re: Server hack??
ja das haben wir auch gedacht das problemm ist ich kann es nicht nachvollziehen es ist alles verstekt und ich kann nicht rausfinden um welsche rott kits es da geht wenn vorne eine firewall einsetzte dann muss ich zumindest das verkehr auf dem port ebene begrenzen weill es geht nicht auf standart port wenn ich mit nmap das scane dann steht es leuft da ein csvserver unde etwas sehr komische auf port 10000. Hat jemand eine Idee wie ich rausfinden kann welsche ip hat er wenn er versucht das zu machen. hab schon mit who und last ausprobier leider ohne erfolg es wurde auch ifconfig manipoliert und dunzen andere dateien.
Re: Server hack??
es ist sehr schwer deine Artikel zu verstehen.
wichtige Sachen runter von der Kiste. D.H. alles löschen was nicht in die Öffenlichkeit gehört.
Kiste wieder ans Netz hängen.
Im gleichen Segment (IDS?) mittels tcpdumd o.ä. jeden Zugriff auf den Rechner mitloggen.
Wenn der Hacker noch nicht die Lunte gerochen hat, wird er wiederkommen.
Sobald er eine Verbindung hergestellt hat, hast du seine IP-Adresse.
whois wird dir sagen ob sich eine Anzeige lohnt oder nicht.
Danach Kiste _sofort_ abklemmen, sonst wird diese noch genutzt um andere Seiten anzugreifen.
Max
wichtige Sachen runter von der Kiste. D.H. alles löschen was nicht in die Öffenlichkeit gehört.
Kiste wieder ans Netz hängen.
Im gleichen Segment (IDS?) mittels tcpdumd o.ä. jeden Zugriff auf den Rechner mitloggen.
Wenn der Hacker noch nicht die Lunte gerochen hat, wird er wiederkommen.
Sobald er eine Verbindung hergestellt hat, hast du seine IP-Adresse.
whois wird dir sagen ob sich eine Anzeige lohnt oder nicht.
Danach Kiste _sofort_ abklemmen, sonst wird diese noch genutzt um andere Seiten anzugreifen.
Max
Re: Server hack??
das habe ich auch vor nur es sind zu vielle daten und zu vielle ip wie kann ich es unterscheiden gibt es ein filter für tcpdump?
Re: Server hack??
es ist ein TuxKit1.0 das habe ich rausgefunden leider finde nix wie man sich dagegen schutzen kann kennt das jemand
Re: Server hack??
man tcpdump
vermute mal das da www läuft.
ergo senke Traffic in dem du den abschaltest oder weiterleitung auf ERsatz-Server.
tuxkit:
<a href="http://www.hackinthebox.org/article.php?sid=5724" target="_blank"><!--auto-->http://www.hackinthebox.org/article.php ... <!--auto-->
google ist dein Freund.
Max
vermute mal das da www läuft.
ergo senke Traffic in dem du den abschaltest oder weiterleitung auf ERsatz-Server.
tuxkit:
<a href="http://www.hackinthebox.org/article.php?sid=5724" target="_blank"><!--auto-->http://www.hackinthebox.org/article.php ... <!--auto-->
google ist dein Freund.
Max
Re: Server hack??
achso was kann man gegen so was unternehmen damit es nicht nochmal
passiert. Die Dienste die angeboten werden sind: pop3, imap, DNS, WWW,
SSH. Für jeden Tip bin ich sehr Dangbar!!!
passiert. Die Dienste die angeboten werden sind: pop3, imap, DNS, WWW,
SSH. Für jeden Tip bin ich sehr Dangbar!!!
Re: Server hack??
sorry, denn die Antwort wird dir nicht gefallen.
Lesen, lesen, lesen.....
...oder jemanden einstellen/bezahlen der es kann.
Selbst dann wird es keinen 100% Schutz vor Hackern geben.
Jeden kann es erwischen.
Schon mal überlegt das das Problem ein schlecht geschriebenes PHP sein kann?
Deswegen alleine würde ich keinen öffentlichen Web-Server auf derselben Kiste aufsetzen wo meine Emails liegen.
Max
Lesen, lesen, lesen.....
...oder jemanden einstellen/bezahlen der es kann.
Selbst dann wird es keinen 100% Schutz vor Hackern geben.
Jeden kann es erwischen.
Schon mal überlegt das das Problem ein schlecht geschriebenes PHP sein kann?
Deswegen alleine würde ich keinen öffentlichen Web-Server auf derselben Kiste aufsetzen wo meine Emails liegen.
Max
Re: Server hack??
Buchtip:
Einrichten von Firewalls - O'Reilly Verlag
ISBN:3-89721-169-6 Teuro: 50,00
lesen, verstehen, umsetzen
oder sind dir die Begriffe Bastionhost, DMZ, Opferhost bekannt?
ratte
Einrichten von Firewalls - O'Reilly Verlag
ISBN:3-89721-169-6 Teuro: 50,00
lesen, verstehen, umsetzen
oder sind dir die Begriffe Bastionhost, DMZ, Opferhost bekannt?
ratte
- Stormbringer
- Posts: 1570
- Joined: 11. Jan 2001 11:01
- Location: Ruhrgebiet
Re: Server hack??
Hi,
es etwas anders machen:
- Dienste trennen (Maschine A = www Server, Maschine B = Mailserver, etc.)
- Firewall so konfigurieren, daß viele Netzwerkkarten benutzt werden. Pro Netzwerkkarte dann nur eine DMZ Maschine anschließen, und FW-seitig den Traffic genauestens reglementieren.
- Nach erfolgter Installation einer Maschine eine MD5 Summe bilden, Prüfsoftware und Prüfsumme auf CD brennen, und automatisch das System prüfen lassen (z. B. alle 6 Stunden) - Ergebnis per Email versenden
- ein leistungsfähiges IDS installieren
- ggf. eine Sniffermaschine zwischen Internetrouter des Providers und eigene Firewall hängen ... und wirklich alles mitschreiben (wird zwar höllisch viel sein, aber es entgeht nichts mehr ....
- ...
Es gibt halt viele Möglichkeiten, bösen Leuten das Leben schwer zu machen .....
Kannst aber auch z. B. Kontakt zu einer "weißen Hackergruppe" aufnehmen, und Dich von denen Testen lassen, Gespräche führen, etc.
Gruß
es etwas anders machen:
- Dienste trennen (Maschine A = www Server, Maschine B = Mailserver, etc.)
- Firewall so konfigurieren, daß viele Netzwerkkarten benutzt werden. Pro Netzwerkkarte dann nur eine DMZ Maschine anschließen, und FW-seitig den Traffic genauestens reglementieren.
- Nach erfolgter Installation einer Maschine eine MD5 Summe bilden, Prüfsoftware und Prüfsumme auf CD brennen, und automatisch das System prüfen lassen (z. B. alle 6 Stunden) - Ergebnis per Email versenden
- ein leistungsfähiges IDS installieren
- ggf. eine Sniffermaschine zwischen Internetrouter des Providers und eigene Firewall hängen ... und wirklich alles mitschreiben (wird zwar höllisch viel sein, aber es entgeht nichts mehr ....
- ...
Es gibt halt viele Möglichkeiten, bösen Leuten das Leben schwer zu machen .....
Kannst aber auch z. B. Kontakt zu einer "weißen Hackergruppe" aufnehmen, und Dich von denen Testen lassen, Gespräche führen, etc.
Gruß
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)