Server hack??

Message
Author
carsten

Server hack??

#1 Post by carsten »

hi,

hab ein risen Problem mit meinem server. Gestern bekamm ich die email
das der Server überlastet ist Prozessor last und der smtp nicht
leuft. Danach bin ich auf dem Server gegangen und wolte alles cheken
wolte mir die log ansehen und hab folgendes festgestellt:
/var/log/message ->/dev/null
/var/log/secure ->/dev/null
alles ins nirvana. Dann sind bei mir sofort die alarm Glocken
gegangen. Und hab noch folgendes festgestellt unter /usr/man/man1/...
findet mann folgende Dateien:
out
asus
chipsul
cleaner
ftpaccess
s
scan.tar.gz
see
seekill
synk
w
und ich habe vielle md5-checksum fehler mein Server wurde leider
gehakt obwohl alle patche drauf sind und eigentlich ganz sicher ist.
Meine Frage wie kann ich rausfinden wie genau hat er das gemacht und
wie kann ich ihn erwischen seine ip rausfinden und so. Und was muss
ich noch machen für die zukunft damit so was nicht passiert?
Habe ich eine andere möglichkeit auser neue instalation und wie kann
ich mich dagegen schutzen?

mfg
carsten

ratte

Re: Server hack??

#2 Post by ratte »

was ist eigentlich "eigentlich ganz sicher"?

aber sei's drum, um "ganz sicher" zu gehen, musste den server nur ausschalten :)

...und wennde mal rueberwachsen laesst, welche inet-anbindung, welches os, welcher kernel, welche patches, welche software, wie konfiguriert, etc und pipapo, dann schreibt vielleicht noch wer was vernuenftigeres als antwort.

ratte

carsten

Re: Server hack??

#3 Post by carsten »

es ist ein Cobalt RAQ 3 alle bekante Patche sind instaliert und trozdem so was und der server ligt in eine DMZ und es gibt auch eine ids

User avatar
max
Posts: 806
Joined: 14. May 2000 12:55
Location: Ruhrpott

Re: Server hack??

#4 Post by max »

Das interessiert mich auch!
Wir haben ebenfalls eine Cobalt Kiste rumstehen.
Wenn da jemanden ein Exploit bekannt ist, bitte melden.
Geht auch per Mail:
raid0@gmx.de

@kahrsten
wenn die Patche wirklich aktuell waren und es keinen Exploit gibt (bekannten), dann sollte man in betracht ziehen
das der Angreifer ein schwaches Passwort ausgenutzt hat.
Da liegt ja auch ftpaccess rum. Wer weiss schon was das ist. Evt. DAteien eines bekannten Rootkits.
Wenn ihr ein IDS habt und dieser nichts gemeldet hat _kann_ es fast nur ein "normaler" Login gewesen sein.
Irgendwo noch ein Default-PW gesetzt gewesen?
Gruss Max

ratte

Re: Server hack??

#5 Post by ratte »

Angriff von Innen in Betracht gezogen?

ratte

carsten

Re: Server hack??

#6 Post by carsten »

ja das haben wir auch gedacht das problemm ist ich kann es nicht nachvollziehen es ist alles verstekt und ich kann nicht rausfinden um welsche rott kits es da geht wenn vorne eine firewall einsetzte dann muss ich zumindest das verkehr auf dem port ebene begrenzen weill es geht nicht auf standart port wenn ich mit nmap das scane dann steht es leuft da ein csvserver unde etwas sehr komische auf port 10000. Hat jemand eine Idee wie ich rausfinden kann welsche ip hat er wenn er versucht das zu machen. hab schon mit who und last ausprobier leider ohne erfolg es wurde auch ifconfig manipoliert und dunzen andere dateien.

User avatar
max
Posts: 806
Joined: 14. May 2000 12:55
Location: Ruhrpott

Re: Server hack??

#7 Post by max »

es ist sehr schwer deine Artikel zu verstehen.

wichtige Sachen runter von der Kiste. D.H. alles löschen was nicht in die Öffenlichkeit gehört.
Kiste wieder ans Netz hängen.
Im gleichen Segment (IDS?) mittels tcpdumd o.ä. jeden Zugriff auf den Rechner mitloggen.
Wenn der Hacker noch nicht die Lunte gerochen hat, wird er wiederkommen.
Sobald er eine Verbindung hergestellt hat, hast du seine IP-Adresse.
whois wird dir sagen ob sich eine Anzeige lohnt oder nicht.
Danach Kiste _sofort_ abklemmen, sonst wird diese noch genutzt um andere Seiten anzugreifen.

Max

carsten

Re: Server hack??

#8 Post by carsten »

das habe ich auch vor nur es sind zu vielle daten und zu vielle ip wie kann ich es unterscheiden gibt es ein filter für tcpdump?

carsten

Re: Server hack??

#9 Post by carsten »

es ist ein TuxKit1.0 das habe ich rausgefunden leider finde nix wie man sich dagegen schutzen kann kennt das jemand

User avatar
max
Posts: 806
Joined: 14. May 2000 12:55
Location: Ruhrpott

Re: Server hack??

#10 Post by max »

man tcpdump

vermute mal das da www läuft.
ergo senke Traffic in dem du den abschaltest oder weiterleitung auf ERsatz-Server.

tuxkit:
<a href="http://www.hackinthebox.org/article.php?sid=5724" target="_blank"><!--auto-->http://www.hackinthebox.org/article.php ... <!--auto-->

google ist dein Freund.

Max

carsten

Re: Server hack??

#11 Post by carsten »

achso was kann man gegen so was unternehmen damit es nicht nochmal
passiert. Die Dienste die angeboten werden sind: pop3, imap, DNS, WWW,
SSH. Für jeden Tip bin ich sehr Dangbar!!!

User avatar
max
Posts: 806
Joined: 14. May 2000 12:55
Location: Ruhrpott

Re: Server hack??

#12 Post by max »

sorry, denn die Antwort wird dir nicht gefallen.
Lesen, lesen, lesen.....
...oder jemanden einstellen/bezahlen der es kann.

Selbst dann wird es keinen 100% Schutz vor Hackern geben.
Jeden kann es erwischen.

Schon mal überlegt das das Problem ein schlecht geschriebenes PHP sein kann?

Deswegen alleine würde ich keinen öffentlichen Web-Server auf derselben Kiste aufsetzen wo meine Emails liegen.

Max

carsten

Re: Server hack??

#13 Post by carsten »

ich wolte nur wiessen wie man besser machen könte einfach vorschläge.

ratte

Re: Server hack??

#14 Post by ratte »

Buchtip:

Einrichten von Firewalls - O'Reilly Verlag
ISBN:3-89721-169-6 Teuro: 50,00

lesen, verstehen, umsetzen ;)

oder sind dir die Begriffe Bastionhost, DMZ, Opferhost bekannt?

ratte

User avatar
Stormbringer
Posts: 1570
Joined: 11. Jan 2001 11:01
Location: Ruhrgebiet

Re: Server hack??

#15 Post by Stormbringer »

Hi,

es etwas anders machen:
- Dienste trennen (Maschine A = www Server, Maschine B = Mailserver, etc.)
- Firewall so konfigurieren, daß viele Netzwerkkarten benutzt werden. Pro Netzwerkkarte dann nur eine DMZ Maschine anschließen, und FW-seitig den Traffic genauestens reglementieren.
- Nach erfolgter Installation einer Maschine eine MD5 Summe bilden, Prüfsoftware und Prüfsumme auf CD brennen, und automatisch das System prüfen lassen (z. B. alle 6 Stunden) - Ergebnis per Email versenden
- ein leistungsfähiges IDS installieren
- ggf. eine Sniffermaschine zwischen Internetrouter des Providers und eigene Firewall hängen ... und wirklich alles mitschreiben (wird zwar höllisch viel sein, aber es entgeht nichts mehr ....
- ...

Es gibt halt viele Möglichkeiten, bösen Leuten das Leben schwer zu machen .....
Kannst aber auch z. B. Kontakt zu einer "weißen Hackergruppe" aufnehmen, und Dich von denen Testen lassen, Gespräche führen, etc.

Gruß
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)

Post Reply