Pro-Linux

Pro-Linux Diskussions- und Hilfeforum
Aktuelle Zeit: 16. Nov 2018 15:52

Alle Zeiten sind UTC+01:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 14 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 04. Jul 2006 5:38 
Offline

Registriert: 04. Jul 2006 5:29
Beiträge: 4
Hallo Leute,

auf meinem Debian 3.1 Root-Server läuft Apache2, Mysql, exim4, SSH und ein CS-Source Gameserver. Nun wurde Gestern irgendwie mein Server gehackt und innerhalb von ca. 10 Std wurden ca 480 GB Daten über meinen Server geleitet und ich habe nicht die geringste Ahnung wie die es machen. In den Logs vom Apache, SSH oder Exim ist nichts zu finden. Auch bekomme ich mails von anderen Serverbetreibern das sie von meinem Server aus gehackt werden würden. Ich habe auch schon gegoogelt nach trafic-klau aber da finde ich nur etwas über verlinkte Bilder. Mein Problem ist das ich nicht die geringste Ahhnung habe wie die das machen. Ich wäre für jede hilfe dankbar.

Gruß

EierAuge


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 04. Jul 2006 8:41 
Offline
prolinux-forum-admin

Registriert: 26. Jun 2004 21:18
Beiträge: 1444
Kopiere den kompletten Inhalt des Servers, schalte die Bude ab, finde anhand des Backups raus was schief ging, installiere neu.


MfG, Klopskuchen

_________________
When all else fails, read the instructions .


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 04. Jul 2006 10:34 
Offline
Benutzeravatar

Registriert: 11. Feb 2006 19:10
Beiträge: 3569
Das ist so ziemlich der Grund, warum Hinz- und Kunz keine Rootserver betreiben sollten. Wenn bei dir wiederholt eingebrochen wird, kannst du nicht nachvollziehen, warum und kannst dagegen daher auch nichts machen.

Vermutlich ist dein Server zu einem Zeitpunkt X nicht mit allen Sicherheitsupdates ausgestattet gewesen, und zu diesem Zeitpunkt wurde von den Angreifern ein Rootkit installiert. Dein Server ist nun nicht mehr *dein* Server. Du bist dort nur noch zu Gast in einer vorgespielten root-Umgebung.

Mach das Ding unbedingt platt und installiere es von Grund auf neu (bzw. lass das bitte jemanden machen, der mehr Ahnung hat als du) und in Zukunft besser auf die Sicherheit achten.
Wenn es möglich ist (Backups), keinerlei Daten der alten Installation in die neue Installation übernehmen.

Janka

_________________
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 04. Jul 2006 15:20 
Offline

Registriert: 04. Jul 2006 5:29
Beiträge: 4
Na ja, ich denke mal da hier soviele vom fach sind und das die einzigen antworten sind die ihr hier zustande bekommt werde ich mir woanders hilfe suchen. aber nur mal so als kleiner tipp am rande. php und webformulare sind aller wahrscheinlichkeit nach der angriffspunkt. nur mal am rande erwähnt wenn euch mal jemand fragen sollte!! eure antworten hätte ich von 12 jährigen erwartet!!!

Tschau


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 04. Jul 2006 16:23 
Offline
prolinux-forum-admin

Registriert: 26. Jun 2004 21:18
Beiträge: 1444
> eure antworten hätte ich von 12 jährigen erwartet!!!
Dann bring ich meinen freundlichen Vorschlag in die richtige Reihenfolge und werde detaillierter:

- nimm Zettel und Stift und halte alles fest was du wann wie tust
- sorge dafür das das System hart ausgeschaltet wird
- versuche nichtpersistente Daten zu kopieren soweit möglich
- mache einen Originalabzugbzug der persistenten Daten ohne dabei die Leseeinrichtungen der Datenträger zu benutzen
- fertige einen Abzug der Kopie an und schließe sie weg, nachdem du eine Prüfsumme der Daten mit einem Verfahren deiner Wahl errechnet hast
- jetzt darfst du mit der kopierten Kopie Forensiker spielen
- hast du das Problem gelöst, setze das System neu auf
- im Idealfall benutzt du genau kein Datum des kompromittierten Systems mehr
Bravo, du hast es geschafft. Ohne das Fremde in die Glaskugel gucken mußten.
Es ist nachzuvollziehen das du vielleicht nicht gerade in bester Laune bist. Aber das ist wessen Schuld? Meine? Jankas? Soll jemand für dich Schlangen beschwören um zu raten? Du sagtest: "Mein Problem ist das ich nicht die geringste Ahhnung habe wie die das machen. Ich wäre für jede hilfe dankbar."
Genau die erste Hilfe hast du gekriegt: Mach die Kiste aus, mach die Kiste aus, mach die Kiste aus. Wenn du dir zutraust sowas im laufenden Betrieb auszukaspern, brauchst du nicht zu fragen, sojemand kann das besser als die meisten anderen.

> Ich habe auch schon gegoogelt nach trafic-klau aber da finde ich nur etwas über verlinkte Bilder.
Dann probier es mit "fpx". Bei dem Traffic hat dir eventuell jemand einen ftp-Server für Warez und ähnlichen Scheiß draufgebaut oder benutz deine Kiste als Proxy für Filetransfer. Was ist da zu tun? Richtig, Kiste aus. Dann kannste nämlich kurz durchatmen und in Ruhe reparieren.


MfG, Klopskuchen

_________________
When all else fails, read the instructions .


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 04. Jul 2006 19:12 
Offline
Benutzeravatar

Registriert: 11. Feb 2006 19:10
Beiträge: 3569
Zitat:
Na ja, ich denke mal da hier soviele vom fach sind und das die einzigen antworten sind die ihr hier zustande bekommt werde ich mir woanders hilfe suchen. aber nur mal so als kleiner tipp am rande. php und webformulare sind aller wahrscheinlichkeit nach der angriffspunkt. nur mal am rande erwähnt wenn euch mal jemand fragen sollte!! eure antworten hätte ich von 12 jährigen erwartet!!!
Woanders wird man dir hoffentlich auch sagen, dass du den Rechner sofort platt machen sollst. Das ist nämlich die einzige Methode, wie du Einbrecher, die geschickter sind als du selbst (du kannst sie ja nicht entdecken), sicher loswirst.

Ich musste auch schon mal Server plattmachen, weil eingebrochen wurde. Ist nicht schlimm, man lernt halt dazu. Weiterbetreiben ohne Plan was abgeht ist auf jeden Fall völlig unverantwortlich - vor allem, wenn auch noch Fremde geschädigt werden.

Lass dir das mal durch den Kopf gehen, dann weißt du auch, was Erwachsene dir sagen wollen.

Janka

_________________
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 04. Jul 2006 19:18 
Offline

Registriert: 04. Jul 2006 5:29
Beiträge: 4
Das hat nichts mit schlechter laune zu tun. Ich stelle hier in einem Forum eine Frage. In dem guten Glauben das man mir versucht zu helfen. Das ich nicht der Ober-root-admin-alles wisser bin ist schon klar. Aber ich denke mir mal das jeder da empfindlich reagiert wenn ihm gesagt wird das er es lieber lassen sollte mit dem root-server weil er keine ahnung hat. JEDER hat irgendwann irgendwie angefangen und dafür auch lehrgeld bezahlt. Aber jemanden dafür auch noch für blöde zu erklären finde ich nicht OK. Ich habe bei Strato nachgefragt. NICHTS. Ich habe die logfiles durchgekämmt. NICHTS. SSH hatte ich immer nur an wenn ich selber auf den Server musste. Ansonsten habe ich versucht alles über Webmin zu machen. Ich kenne nicht alle tools die Hacker benutzen und wie die funktionieren. Ich bin auch kein großer Linux-Experte. Ich hatte hier nur gepostet weil ich überhaupt keine Vorstellung davon habe wie die es gemacht haben und wie die über meinen Server andere Server mit gehackt haben. Hätte ja sein können das dass schon mal jemand erlebt hat und weiß wo die sicherheitslücke ist. So stapfe ich im dunkeln. Ich bin mit den andern Leuten deren Server gehackt wurde per email in kontakt. Und die haben auch nicht die geringste ahnung wie das funktioniert. Na ja, so bin ich wenigstens nicht der einzige unfähige Root-Server betreiber :-)) Aber ich bin auch nicht sauer. Ich bin weiterhin für jede Anregung dankbar.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 04. Jul 2006 22:12 
Offline
Benutzeravatar

Registriert: 11. Feb 2006 19:10
Beiträge: 3569
Es hat dich niemand als Dummkopf bezeichnet. Ich habe lediglich geschrieben, dass du nicht genug Erfahrung hast/nicht genug Arbeit investiert hast, einen Rootserver sicher zu betreiben, und lieber noch mal komplett durchdenken solltest, wie du nun weitermachst.

Der Rat vom Fachmann lautet hier: BEI NULL.

Sicherheitslücken raten tun wir nicht. Und Sicherheitslücken sucht der Fachmann, nachdem er das unsichere System vom Netz genommen und gestoppt hat.

Dass du nicht der einzige bist ist schlimm genug. Eigentlich könnte man euren Hostern jetzt eins auf die Mütze geben, dass sie euch so alleingelassen haben. Man gibt schließlich nicht jemandem, der keinen Führerschein hat, ein Auto zu fahren -- auch wenn er dass vielleicht so eben hinbekommt. Spätestens bei einem Unfall gibt es Probleme.

Und falls du von Linux nicht genug Ahnung hast, beschaff sie dir. Aber bitte auf einem Desktop-System, zuhause, wo du sofort den Stecker ziehen kannst, wenn irgendwas seltsam ist.

Janka

_________________
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 05. Jul 2006 5:41 
Offline

Registriert: 04. Jul 2006 5:29
Beiträge: 4
Bleiben wir bei deinem Beispiel Auto. Dürfen nur Leute einen Führerschein machen die auch einen Motor komplett zerlegen und wieder zusammen bauen können? Was würdest du sagen wenn man dir sagt "bau den Motor auseinander egal wie lange es dauert, finde den Fehler und dann sage ich dir dann was kapput ist"?

Ich hatte gehofft hier etwas fundiertere antworten zu bekommen als SELBSTLOBNISSE und die Erklärung das alle anderen ja keine Ahnung haben und die Finger davon lassen sollen.

Ich frage mich ernsthaft warum man immer wieder von gehackten Server liest (und das nicht nur bei Leuten wie mir)!!!!!!!!!!!! Aber wahrscheinlich sind die auch alle nur unfähig.

Entschuldigt bitte das ich euch mit meinen dummen fragen belästigt habe. Passiert nie wieder!!!!!!!!!!!!!!


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 05. Jul 2006 9:08 
Offline
Benutzeravatar

Registriert: 11. Feb 2006 19:10
Beiträge: 3569
Dein Beispiel passt nicht. Das Zerlegen des Motors und neu zusammenbauen entspricht beim Rechner dem Programmieren, nicht dem Betreiben. Dass du Programmieren kannst hilft dir beim sicheren Betreiben eines Rechners ebensowenig wie die Kenntnis der Motorinterna für das korrekte Verkehrsverhalten.

Von einem Serverbetreiber wird verlangt, dass er sich damit soweit auskennt, dass er andere nicht schädigt. Punkt. Ist das bei dir gegeben?

Und die fundierte Antwort haben wir dir bereits mehrmals gegeben: Schalt' die Kiste ab, mach eine Kopie der Platte, setz' das System neu auf! Dann suche auf der Kopie nach Problemen. So machen wir das (die sowohl fahren als auch den Motor zerlegen können).

Das ist die einzig richtige Vorgehensweise. Dass du das nicht einsehen willst, weil diese Vorgehensweise dich evtl. ebenfalls überfordert, ändert nichts an dieser Tatsache.

Janka

_________________
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 05. Jul 2006 11:32 
Offline
prolinux-forum-admin

Registriert: 26. Jun 2004 21:18
Beiträge: 1444
> Entschuldigt bitte das ich euch mit meinen dummen fragen belästigt habe.

War doch nett. Da gings mir schon mal schlimmer. Zum Beispiel als ich ekelige Sätze wie
- letztes update meines Systems war am xx.xx
- Liste der laufenden, netzwerkfähigen Software: ...
- Abweichungen von der Standardkonfiguration: ...
- installierte Software die Netzwerk-Eingabedaten verarbeitet: Gästebuch bla, Forensoftware xy..., selbst geschriebene Scripte nachzulesen da und dort...
lesen mußte.

Bei dir reicht ein "keine Ahnung was kaputt ist". Woher auch. Da die Kiste offensichtlich noch immer am Netz hängt, muß es sich um ein hochverfügbares System handeln. Dementsprechend sollten auch die Kosten für professionelle Hilfe kein Beinbruch sein: http://www.google.de/search?hl=de&q=for ... %3Dlang_de


MfG, Klopskuchen

_________________
When all else fails, read the instructions .


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 11. Jul 2006 15:18 
Offline

Registriert: 03. Mär 2006 23:16
Beiträge: 430
Zitat:
innerhalb von ca. 10 Std wurden ca 480 GB Daten
ca: 80 MB/sec, Ist das gut?
Da hast Du aber wirklich guten Anschluss.
(Oder waren es doch nur 480 MB ?)
EDIT: tschuldigung: 13 MB/sec (normal)
Zitat:
Ich habe bei Strato nachgefragt. NICHTS.
vielleicht sagen die nichts, die werden Dir aber die Traffic-Rechnung schicken:
10h ~ 500GB > 1d ~ 1000GB > 1mon ~ 30.000GB
1¢/GB > 300€

EDIT: tschuldigung, strato SR3: 3000GB, darüber 28¢/GB

EDIT: tschuldigung, TRAFFIC-UNBEGRENZT gibt es ja auch, kein Problem

bei 1und1: bei Verbrauch über 1000GB/Monat wird die Leitung auf 1MB/s statt normal 10MB/s geschaltet.


:D :D :D :D


Zuletzt geändert von komsomolze am 18. Jul 2006 5:33, insgesamt 2-mal geändert.

Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 12. Jul 2006 14:40 
guten Tag

Ich moechte keine offenen Wunden aufreissen, und wieder zum Thema kommen.

Der Bereich der Computer Security umfasst viele Teile aus dem gesamten Bereich der Informatik und ist deshalb ein komplexes (nicht kompliziert) Gebiet.
Ich weiss das, weil ich selbst in diesem Sektor taetig bin.

Man kann nicht einfach so einen Server "hacken". Dafuer braucht es irgendwo eine Schwachstelle. Genausowenig kann man einfach eine Antwort darauf geben, wo das Problem seinen Lauf genommen hat.

Wenn man Angriffe untersucht, muss man immer den gesamten Hergang nachbilden koennen.
Alles andere macht keinen Sinn.
Dies ist in erster Linie die Aufgabe des Serverbetreibers, weil es das Sicherstellen der Daten, das signieren dieser voraussetzt.
Ebenfalls ist der Betreiber in den ersten Schritten dazu aufgefordert, sich einen Ueberblick zu machen. Das kann er selbst am besten, weil nur er die Maschine am besten kennt (ok, nach einem Angriff vielleicht auch jemand anders ;} )

Sinnvolle Hilfestellung kann man erst liefern, wenn konkrete Fragen vorliegen. Und das widerum bedingt, dass der Fragesteller sich mit dem Problem bereits auseinander gesetzt hat.

Verfuegt man nicht ueber das notwendige Wissen fuer diese ersten Schritte, muss man sie sich aneignen. Besonders dann, wenn man mit solch heiklen Dingen wie Root Servern arbeitet (weil ja immer mehrere Teile betroffen sind).


Das sind Empfehlungen welche sich in der Vergangenheit bewaehrt haben.

Marco Gerber


Nach oben
   
BeitragVerfasst: 10. Aug 2006 15:38 
Moin,
hast du inzwischen den Server vom Netz genommen und mal etwas näher angeschaut?
Wäre ja auch für alle anderen interessant, worüber jetzt die Kerle bei dir eingebrochen sind...sodass nicht irgendwann jemand anderes wegen dem gleichen Fehler viele Stunden Zeit investieren muss.

Zum Thema kompetente Hilfe in diesem Forum: Server abschalten ist wirklich das einzige was man in diesem Fall machen sollte - wird nur für dich richtig teuer und ner Menge Admins werden durch deine Kiste auch noch der Tag/Wochenende/Feierabend versaut.
Dass man geknackt wird ist leider schnell passiert, wenn deine Skripte Fehler haben oder die Updates durch welche Gründe auch immer nicht eingespielt sind. Du kannst höchstens beim nächsten Aufsetzen die Services in abgeschottete Umgebungen sperren (ich denke da an xen und Konsorten), damit du im Einbruchsfall den Hacker nicht im Kernsystem drinhängen hast -> aber Traffic produzieren kann er auch von dieser Umgebung, aber du kannst diese Umgebung abschalten und die anderen Services weiterlaufen lassen (z.B. den CS-Server).


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 14 Beiträge ] 

Alle Zeiten sind UTC+01:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste


Sie dürfen keine neuen Themen in diesem Forum erstellen.
Sie dürfen keine Antworten zu Themen in diesem Forum erstellen.
Sie dürfen Ihre Beiträge in diesem Forum nicht ändern.
Sie dürfen Ihre Beiträge in diesem Forum nicht löschen.
Sie dürfen keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
cron
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de