Trafic-Klau bei Debian 3.1 Root-Server

Post Reply
Message
Author
EierAuge
Posts: 4
Joined: 04. Jul 2006 5:29

Trafic-Klau bei Debian 3.1 Root-Server

#1 Post by EierAuge »

Hallo Leute,

auf meinem Debian 3.1 Root-Server läuft Apache2, Mysql, exim4, SSH und ein CS-Source Gameserver. Nun wurde Gestern irgendwie mein Server gehackt und innerhalb von ca. 10 Std wurden ca 480 GB Daten über meinen Server geleitet und ich habe nicht die geringste Ahnung wie die es machen. In den Logs vom Apache, SSH oder Exim ist nichts zu finden. Auch bekomme ich mails von anderen Serverbetreibern das sie von meinem Server aus gehackt werden würden. Ich habe auch schon gegoogelt nach trafic-klau aber da finde ich nur etwas über verlinkte Bilder. Mein Problem ist das ich nicht die geringste Ahhnung habe wie die das machen. Ich wäre für jede hilfe dankbar.

Gruß

EierAuge

klopskuchen
prolinux-forum-admin
Posts: 1444
Joined: 26. Jun 2004 21:18
Contact:

#2 Post by klopskuchen »

Kopiere den kompletten Inhalt des Servers, schalte die Bude ab, finde anhand des Backups raus was schief ging, installiere neu.


MfG, Klopskuchen
When all else fails, read the instructions .

User avatar
Janka
Posts: 3585
Joined: 11. Feb 2006 19:10

#3 Post by Janka »

Das ist so ziemlich der Grund, warum Hinz- und Kunz keine Rootserver betreiben sollten. Wenn bei dir wiederholt eingebrochen wird, kannst du nicht nachvollziehen, warum und kannst dagegen daher auch nichts machen.

Vermutlich ist dein Server zu einem Zeitpunkt X nicht mit allen Sicherheitsupdates ausgestattet gewesen, und zu diesem Zeitpunkt wurde von den Angreifern ein Rootkit installiert. Dein Server ist nun nicht mehr *dein* Server. Du bist dort nur noch zu Gast in einer vorgespielten root-Umgebung.

Mach das Ding unbedingt platt und installiere es von Grund auf neu (bzw. lass das bitte jemanden machen, der mehr Ahnung hat als du) und in Zukunft besser auf die Sicherheit achten.
Wenn es möglich ist (Backups), keinerlei Daten der alten Installation in die neue Installation übernehmen.

Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

EierAuge
Posts: 4
Joined: 04. Jul 2006 5:29

#4 Post by EierAuge »

Na ja, ich denke mal da hier soviele vom fach sind und das die einzigen antworten sind die ihr hier zustande bekommt werde ich mir woanders hilfe suchen. aber nur mal so als kleiner tipp am rande. php und webformulare sind aller wahrscheinlichkeit nach der angriffspunkt. nur mal am rande erwähnt wenn euch mal jemand fragen sollte!! eure antworten hätte ich von 12 jährigen erwartet!!!

Tschau

klopskuchen
prolinux-forum-admin
Posts: 1444
Joined: 26. Jun 2004 21:18
Contact:

#5 Post by klopskuchen »

> eure antworten hätte ich von 12 jährigen erwartet!!!
Dann bring ich meinen freundlichen Vorschlag in die richtige Reihenfolge und werde detaillierter:

- nimm Zettel und Stift und halte alles fest was du wann wie tust
- sorge dafür das das System hart ausgeschaltet wird
- versuche nichtpersistente Daten zu kopieren soweit möglich
- mache einen Originalabzugbzug der persistenten Daten ohne dabei die Leseeinrichtungen der Datenträger zu benutzen
- fertige einen Abzug der Kopie an und schließe sie weg, nachdem du eine Prüfsumme der Daten mit einem Verfahren deiner Wahl errechnet hast
- jetzt darfst du mit der kopierten Kopie Forensiker spielen
- hast du das Problem gelöst, setze das System neu auf
- im Idealfall benutzt du genau kein Datum des kompromittierten Systems mehr
Bravo, du hast es geschafft. Ohne das Fremde in die Glaskugel gucken mußten.
Es ist nachzuvollziehen das du vielleicht nicht gerade in bester Laune bist. Aber das ist wessen Schuld? Meine? Jankas? Soll jemand für dich Schlangen beschwören um zu raten? Du sagtest: "Mein Problem ist das ich nicht die geringste Ahhnung habe wie die das machen. Ich wäre für jede hilfe dankbar."
Genau die erste Hilfe hast du gekriegt: Mach die Kiste aus, mach die Kiste aus, mach die Kiste aus. Wenn du dir zutraust sowas im laufenden Betrieb auszukaspern, brauchst du nicht zu fragen, sojemand kann das besser als die meisten anderen.

> Ich habe auch schon gegoogelt nach trafic-klau aber da finde ich nur etwas über verlinkte Bilder.
Dann probier es mit "fpx". Bei dem Traffic hat dir eventuell jemand einen ftp-Server für Warez und ähnlichen Scheiß draufgebaut oder benutz deine Kiste als Proxy für Filetransfer. Was ist da zu tun? Richtig, Kiste aus. Dann kannste nämlich kurz durchatmen und in Ruhe reparieren.


MfG, Klopskuchen
When all else fails, read the instructions .

User avatar
Janka
Posts: 3585
Joined: 11. Feb 2006 19:10

#6 Post by Janka »

EierAuge wrote:Na ja, ich denke mal da hier soviele vom fach sind und das die einzigen antworten sind die ihr hier zustande bekommt werde ich mir woanders hilfe suchen. aber nur mal so als kleiner tipp am rande. php und webformulare sind aller wahrscheinlichkeit nach der angriffspunkt. nur mal am rande erwähnt wenn euch mal jemand fragen sollte!! eure antworten hätte ich von 12 jährigen erwartet!!!
Woanders wird man dir hoffentlich auch sagen, dass du den Rechner sofort platt machen sollst. Das ist nämlich die einzige Methode, wie du Einbrecher, die geschickter sind als du selbst (du kannst sie ja nicht entdecken), sicher loswirst.

Ich musste auch schon mal Server plattmachen, weil eingebrochen wurde. Ist nicht schlimm, man lernt halt dazu. Weiterbetreiben ohne Plan was abgeht ist auf jeden Fall völlig unverantwortlich - vor allem, wenn auch noch Fremde geschädigt werden.

Lass dir das mal durch den Kopf gehen, dann weißt du auch, was Erwachsene dir sagen wollen.

Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

EierAuge
Posts: 4
Joined: 04. Jul 2006 5:29

#7 Post by EierAuge »

Das hat nichts mit schlechter laune zu tun. Ich stelle hier in einem Forum eine Frage. In dem guten Glauben das man mir versucht zu helfen. Das ich nicht der Ober-root-admin-alles wisser bin ist schon klar. Aber ich denke mir mal das jeder da empfindlich reagiert wenn ihm gesagt wird das er es lieber lassen sollte mit dem root-server weil er keine ahnung hat. JEDER hat irgendwann irgendwie angefangen und dafür auch lehrgeld bezahlt. Aber jemanden dafür auch noch für blöde zu erklären finde ich nicht OK. Ich habe bei Strato nachgefragt. NICHTS. Ich habe die logfiles durchgekämmt. NICHTS. SSH hatte ich immer nur an wenn ich selber auf den Server musste. Ansonsten habe ich versucht alles über Webmin zu machen. Ich kenne nicht alle tools die Hacker benutzen und wie die funktionieren. Ich bin auch kein großer Linux-Experte. Ich hatte hier nur gepostet weil ich überhaupt keine Vorstellung davon habe wie die es gemacht haben und wie die über meinen Server andere Server mit gehackt haben. Hätte ja sein können das dass schon mal jemand erlebt hat und weiß wo die sicherheitslücke ist. So stapfe ich im dunkeln. Ich bin mit den andern Leuten deren Server gehackt wurde per email in kontakt. Und die haben auch nicht die geringste ahnung wie das funktioniert. Na ja, so bin ich wenigstens nicht der einzige unfähige Root-Server betreiber :-)) Aber ich bin auch nicht sauer. Ich bin weiterhin für jede Anregung dankbar.

User avatar
Janka
Posts: 3585
Joined: 11. Feb 2006 19:10

#8 Post by Janka »

Es hat dich niemand als Dummkopf bezeichnet. Ich habe lediglich geschrieben, dass du nicht genug Erfahrung hast/nicht genug Arbeit investiert hast, einen Rootserver sicher zu betreiben, und lieber noch mal komplett durchdenken solltest, wie du nun weitermachst.

Der Rat vom Fachmann lautet hier: BEI NULL.

Sicherheitslücken raten tun wir nicht. Und Sicherheitslücken sucht der Fachmann, nachdem er das unsichere System vom Netz genommen und gestoppt hat.

Dass du nicht der einzige bist ist schlimm genug. Eigentlich könnte man euren Hostern jetzt eins auf die Mütze geben, dass sie euch so alleingelassen haben. Man gibt schließlich nicht jemandem, der keinen Führerschein hat, ein Auto zu fahren -- auch wenn er dass vielleicht so eben hinbekommt. Spätestens bei einem Unfall gibt es Probleme.

Und falls du von Linux nicht genug Ahnung hast, beschaff sie dir. Aber bitte auf einem Desktop-System, zuhause, wo du sofort den Stecker ziehen kannst, wenn irgendwas seltsam ist.

Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

EierAuge
Posts: 4
Joined: 04. Jul 2006 5:29

#9 Post by EierAuge »

Bleiben wir bei deinem Beispiel Auto. Dürfen nur Leute einen Führerschein machen die auch einen Motor komplett zerlegen und wieder zusammen bauen können? Was würdest du sagen wenn man dir sagt "bau den Motor auseinander egal wie lange es dauert, finde den Fehler und dann sage ich dir dann was kapput ist"?

Ich hatte gehofft hier etwas fundiertere antworten zu bekommen als SELBSTLOBNISSE und die Erklärung das alle anderen ja keine Ahnung haben und die Finger davon lassen sollen.

Ich frage mich ernsthaft warum man immer wieder von gehackten Server liest (und das nicht nur bei Leuten wie mir)!!!!!!!!!!!! Aber wahrscheinlich sind die auch alle nur unfähig.

Entschuldigt bitte das ich euch mit meinen dummen fragen belästigt habe. Passiert nie wieder!!!!!!!!!!!!!!

User avatar
Janka
Posts: 3585
Joined: 11. Feb 2006 19:10

#10 Post by Janka »

Dein Beispiel passt nicht. Das Zerlegen des Motors und neu zusammenbauen entspricht beim Rechner dem Programmieren, nicht dem Betreiben. Dass du Programmieren kannst hilft dir beim sicheren Betreiben eines Rechners ebensowenig wie die Kenntnis der Motorinterna für das korrekte Verkehrsverhalten.

Von einem Serverbetreiber wird verlangt, dass er sich damit soweit auskennt, dass er andere nicht schädigt. Punkt. Ist das bei dir gegeben?

Und die fundierte Antwort haben wir dir bereits mehrmals gegeben: Schalt' die Kiste ab, mach eine Kopie der Platte, setz' das System neu auf! Dann suche auf der Kopie nach Problemen. So machen wir das (die sowohl fahren als auch den Motor zerlegen können).

Das ist die einzig richtige Vorgehensweise. Dass du das nicht einsehen willst, weil diese Vorgehensweise dich evtl. ebenfalls überfordert, ändert nichts an dieser Tatsache.

Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

klopskuchen
prolinux-forum-admin
Posts: 1444
Joined: 26. Jun 2004 21:18
Contact:

#11 Post by klopskuchen »

> Entschuldigt bitte das ich euch mit meinen dummen fragen belästigt habe.

War doch nett. Da gings mir schon mal schlimmer. Zum Beispiel als ich ekelige Sätze wie
- letztes update meines Systems war am xx.xx
- Liste der laufenden, netzwerkfähigen Software: ...
- Abweichungen von der Standardkonfiguration: ...
- installierte Software die Netzwerk-Eingabedaten verarbeitet: Gästebuch bla, Forensoftware xy..., selbst geschriebene Scripte nachzulesen da und dort...
lesen mußte.

Bei dir reicht ein "keine Ahnung was kaputt ist". Woher auch. Da die Kiste offensichtlich noch immer am Netz hängt, muß es sich um ein hochverfügbares System handeln. Dementsprechend sollten auch die Kosten für professionelle Hilfe kein Beinbruch sein: http://www.google.de/search?hl=de&q=for ... %3Dlang_de


MfG, Klopskuchen
When all else fails, read the instructions .

komsomolze
Posts: 430
Joined: 03. Mar 2006 23:16

#12 Post by komsomolze »

innerhalb von ca. 10 Std wurden ca 480 GB Daten
ca: 80 MB/sec, Ist das gut?
Da hast Du aber wirklich guten Anschluss.
(Oder waren es doch nur 480 MB ?)
EDIT: tschuldigung: 13 MB/sec (normal)
Ich habe bei Strato nachgefragt. NICHTS.
vielleicht sagen die nichts, die werden Dir aber die Traffic-Rechnung schicken:
10h ~ 500GB > 1d ~ 1000GB > 1mon ~ 30.000GB
1¢/GB > 300€

EDIT: tschuldigung, strato SR3: 3000GB, darüber 28¢/GB

EDIT: tschuldigung, TRAFFIC-UNBEGRENZT gibt es ja auch, kein Problem

bei 1und1: bei Verbrauch über 1000GB/Monat wird die Leitung auf 1MB/s statt normal 10MB/s geschaltet.


:D :D :D :D
Last edited by komsomolze on 18. Jul 2006 5:33, edited 2 times in total.

Marco Gerber

#13 Post by Marco Gerber »

guten Tag

Ich moechte keine offenen Wunden aufreissen, und wieder zum Thema kommen.

Der Bereich der Computer Security umfasst viele Teile aus dem gesamten Bereich der Informatik und ist deshalb ein komplexes (nicht kompliziert) Gebiet.
Ich weiss das, weil ich selbst in diesem Sektor taetig bin.

Man kann nicht einfach so einen Server "hacken". Dafuer braucht es irgendwo eine Schwachstelle. Genausowenig kann man einfach eine Antwort darauf geben, wo das Problem seinen Lauf genommen hat.

Wenn man Angriffe untersucht, muss man immer den gesamten Hergang nachbilden koennen.
Alles andere macht keinen Sinn.
Dies ist in erster Linie die Aufgabe des Serverbetreibers, weil es das Sicherstellen der Daten, das signieren dieser voraussetzt.
Ebenfalls ist der Betreiber in den ersten Schritten dazu aufgefordert, sich einen Ueberblick zu machen. Das kann er selbst am besten, weil nur er die Maschine am besten kennt (ok, nach einem Angriff vielleicht auch jemand anders ;} )

Sinnvolle Hilfestellung kann man erst liefern, wenn konkrete Fragen vorliegen. Und das widerum bedingt, dass der Fragesteller sich mit dem Problem bereits auseinander gesetzt hat.

Verfuegt man nicht ueber das notwendige Wissen fuer diese ersten Schritte, muss man sie sich aneignen. Besonders dann, wenn man mit solch heiklen Dingen wie Root Servern arbeitet (weil ja immer mehrere Teile betroffen sind).


Das sind Empfehlungen welche sich in der Vergangenheit bewaehrt haben.

Marco Gerber

dancedog

Wie ist es eigentlich weitergegangen?

#14 Post by dancedog »

Moin,
hast du inzwischen den Server vom Netz genommen und mal etwas näher angeschaut?
Wäre ja auch für alle anderen interessant, worüber jetzt die Kerle bei dir eingebrochen sind...sodass nicht irgendwann jemand anderes wegen dem gleichen Fehler viele Stunden Zeit investieren muss.

Zum Thema kompetente Hilfe in diesem Forum: Server abschalten ist wirklich das einzige was man in diesem Fall machen sollte - wird nur für dich richtig teuer und ner Menge Admins werden durch deine Kiste auch noch der Tag/Wochenende/Feierabend versaut.
Dass man geknackt wird ist leider schnell passiert, wenn deine Skripte Fehler haben oder die Updates durch welche Gründe auch immer nicht eingespielt sind. Du kannst höchstens beim nächsten Aufsetzen die Services in abgeschottete Umgebungen sperren (ich denke da an xen und Konsorten), damit du im Einbruchsfall den Hacker nicht im Kernsystem drinhängen hast -> aber Traffic produzieren kann er auch von dieser Umgebung, aber du kannst diese Umgebung abschalten und die anderen Services weiterlaufen lassen (z.B. den CS-Server).

Post Reply