Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Server hack??
Gehen Sie zu Seite 1, 2  Weiter
 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sonstiges
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
carsten
Gast





BeitragVerfasst am: 13. Aug 2002 19:19   Titel: Server hack??

hi,

hab ein risen Problem mit meinem server. Gestern bekamm ich die email
das der Server überlastet ist Prozessor last und der smtp nicht
leuft. Danach bin ich auf dem Server gegangen und wolte alles cheken
wolte mir die log ansehen und hab folgendes festgestellt:
/var/log/message ->/dev/null
/var/log/secure ->/dev/null
alles ins nirvana. Dann sind bei mir sofort die alarm Glocken
gegangen. Und hab noch folgendes festgestellt unter /usr/man/man1/...
findet mann folgende Dateien:
out
asus
chipsul
cleaner
ftpaccess
s
scan.tar.gz
see
seekill
synk
w
und ich habe vielle md5-checksum fehler mein Server wurde leider
gehakt obwohl alle patche drauf sind und eigentlich ganz sicher ist.
Meine Frage wie kann ich rausfinden wie genau hat er das gemacht und
wie kann ich ihn erwischen seine ip rausfinden und so. Und was muss
ich noch machen für die zukunft damit so was nicht passiert?
Habe ich eine andere möglichkeit auser neue instalation und wie kann
ich mich dagegen schutzen?

mfg
carsten
 

ratte
Gast





BeitragVerfasst am: 13. Aug 2002 19:34   Titel: Re: Server hack??

was ist eigentlich "eigentlich ganz sicher"?

aber sei's drum, um "ganz sicher" zu gehen, musste den server nur ausschalten :)

...und wennde mal rueberwachsen laesst, welche inet-anbindung, welches os, welcher kernel, welche patches, welche software, wie konfiguriert, etc und pipapo, dann schreibt vielleicht noch wer was vernuenftigeres als antwort.

ratte
 

carsten
Gast





BeitragVerfasst am: 13. Aug 2002 22:17   Titel: Re: Server hack??

es ist ein Cobalt RAQ 3 alle bekante Patche sind instaliert und trozdem so was und der server ligt in eine DMZ und es gibt auch eine ids
 

max



Anmeldungsdatum: 14.05.2000
Beiträge: 806
Wohnort: Ruhrpott

BeitragVerfasst am: 14. Aug 2002 8:12   Titel: Re: Server hack??

Das interessiert mich auch!
Wir haben ebenfalls eine Cobalt Kiste rumstehen.
Wenn da jemanden ein Exploit bekannt ist, bitte melden.
Geht auch per Mail:
raid0@gmx.de

@kahrsten
wenn die Patche wirklich aktuell waren und es keinen Exploit gibt (bekannten), dann sollte man in betracht ziehen
das der Angreifer ein schwaches Passwort ausgenutzt hat.
Da liegt ja auch ftpaccess rum. Wer weiss schon was das ist. Evt. DAteien eines bekannten Rootkits.
Wenn ihr ein IDS habt und dieser nichts gemeldet hat _kann_ es fast nur ein "normaler" Login gewesen sein.
Irgendwo noch ein Default-PW gesetzt gewesen?
Gruss Max
 
Benutzer-Profile anzeigen Private Nachricht senden

ratte
Gast





BeitragVerfasst am: 14. Aug 2002 9:39   Titel: Re: Server hack??

Angriff von Innen in Betracht gezogen?

ratte
 

carsten
Gast





BeitragVerfasst am: 14. Aug 2002 13:30   Titel: Re: Server hack??

ja das haben wir auch gedacht das problemm ist ich kann es nicht nachvollziehen es ist alles verstekt und ich kann nicht rausfinden um welsche rott kits es da geht wenn vorne eine firewall einsetzte dann muss ich zumindest das verkehr auf dem port ebene begrenzen weill es geht nicht auf standart port wenn ich mit nmap das scane dann steht es leuft da ein csvserver unde etwas sehr komische auf port 10000. Hat jemand eine Idee wie ich rausfinden kann welsche ip hat er wenn er versucht das zu machen. hab schon mit who und last ausprobier leider ohne erfolg es wurde auch ifconfig manipoliert und dunzen andere dateien.
 

max



Anmeldungsdatum: 14.05.2000
Beiträge: 806
Wohnort: Ruhrpott

BeitragVerfasst am: 14. Aug 2002 13:58   Titel: Re: Server hack??

es ist sehr schwer deine Artikel zu verstehen.

wichtige Sachen runter von der Kiste. D.H. alles löschen was nicht in die Öffenlichkeit gehört.
Kiste wieder ans Netz hängen.
Im gleichen Segment (IDS?) mittels tcpdumd o.ä. jeden Zugriff auf den Rechner mitloggen.
Wenn der Hacker noch nicht die Lunte gerochen hat, wird er wiederkommen.
Sobald er eine Verbindung hergestellt hat, hast du seine IP-Adresse.
whois wird dir sagen ob sich eine Anzeige lohnt oder nicht.
Danach Kiste _sofort_ abklemmen, sonst wird diese noch genutzt um andere Seiten anzugreifen.

Max
 
Benutzer-Profile anzeigen Private Nachricht senden

carsten
Gast





BeitragVerfasst am: 14. Aug 2002 14:12   Titel: Re: Server hack??

das habe ich auch vor nur es sind zu vielle daten und zu vielle ip wie kann ich es unterscheiden gibt es ein filter für tcpdump?
 

carsten
Gast





BeitragVerfasst am: 14. Aug 2002 14:54   Titel: Re: Server hack??

es ist ein TuxKit1.0 das habe ich rausgefunden leider finde nix wie man sich dagegen schutzen kann kennt das jemand
 

max



Anmeldungsdatum: 14.05.2000
Beiträge: 806
Wohnort: Ruhrpott

BeitragVerfasst am: 14. Aug 2002 16:15   Titel: Re: Server hack??

man tcpdump

vermute mal das da www läuft.
ergo senke Traffic in dem du den abschaltest oder weiterleitung auf ERsatz-Server.

tuxkit:
http://www.hackinthebox.org/article.php?sid=5724

google ist dein Freund.

Max
 
Benutzer-Profile anzeigen Private Nachricht senden

carsten
Gast





BeitragVerfasst am: 14. Aug 2002 17:55   Titel: Re: Server hack??

achso was kann man gegen so was unternehmen damit es nicht nochmal
passiert. Die Dienste die angeboten werden sind: pop3, imap, DNS, WWW,
SSH. Für jeden Tip bin ich sehr Dangbar!!!
 

max



Anmeldungsdatum: 14.05.2000
Beiträge: 806
Wohnort: Ruhrpott

BeitragVerfasst am: 15. Aug 2002 10:25   Titel: Re: Server hack??

sorry, denn die Antwort wird dir nicht gefallen.
Lesen, lesen, lesen.....
...oder jemanden einstellen/bezahlen der es kann.

Selbst dann wird es keinen 100% Schutz vor Hackern geben.
Jeden kann es erwischen.

Schon mal überlegt das das Problem ein schlecht geschriebenes PHP sein kann?

Deswegen alleine würde ich keinen öffentlichen Web-Server auf derselben Kiste aufsetzen wo meine Emails liegen.

Max
 
Benutzer-Profile anzeigen Private Nachricht senden

carsten
Gast





BeitragVerfasst am: 15. Aug 2002 11:10   Titel: Re: Server hack??

ich wolte nur wiessen wie man besser machen könte einfach vorschläge.
 

ratte
Gast





BeitragVerfasst am: 15. Aug 2002 11:21   Titel: Re: Server hack??

Buchtip:

Einrichten von Firewalls - O'Reilly Verlag
ISBN:3-89721-169-6 Teuro: 50,00

lesen, verstehen, umsetzen ;)

oder sind dir die Begriffe Bastionhost, DMZ, Opferhost bekannt?

ratte
 

Stormbringer



Anmeldungsdatum: 11.01.2001
Beiträge: 1570
Wohnort: Ruhrgebiet

BeitragVerfasst am: 15. Aug 2002 11:21   Titel: Re: Server hack??

Hi,

es etwas anders machen:
- Dienste trennen (Maschine A = www Server, Maschine B = Mailserver, etc.)
- Firewall so konfigurieren, daß viele Netzwerkkarten benutzt werden. Pro Netzwerkkarte dann nur eine DMZ Maschine anschließen, und FW-seitig den Traffic genauestens reglementieren.
- Nach erfolgter Installation einer Maschine eine MD5 Summe bilden, Prüfsoftware und Prüfsumme auf CD brennen, und automatisch das System prüfen lassen (z. B. alle 6 Stunden) - Ergebnis per Email versenden
- ein leistungsfähiges IDS installieren
- ggf. eine Sniffermaschine zwischen Internetrouter des Providers und eigene Firewall hängen ... und wirklich alles mitschreiben (wird zwar höllisch viel sein, aber es entgeht nichts mehr ....
- ...

Es gibt halt viele Möglichkeiten, bösen Leuten das Leben schwer zu machen .....
Kannst aber auch z. B. Kontakt zu einer "weißen Hackergruppe" aufnehmen, und Dich von denen Testen lassen, Gespräche führen, etc.

Gruß
_________________
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
 
Benutzer-Profile anzeigen Private Nachricht senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sonstiges Alle Zeiten sind GMT + 1 Stunde
Gehen Sie zu Seite 1, 2  Weiter
Seite 1 von 2

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy