Server Support Forum


Zurück   Server Support Forum > >


Antwort
 
Themen-Optionen Thema bewerten
  #1  
Alt 02.11.2018, 14:10
hokkabaz81 hokkabaz81 ist offline
Registered User
 
Registriert seit: 07.2018
Beiträge: 11
Unglücklich Unberechtigte Zugänge auf den Server

Hallo.

Ich habe ein großes Problem.

Eine bekannte und ich haben eine Seite aufgebaut. Wir hatten dann einen dritten "Kumpel" mit ins Boot geholt, da er technisch fitter war als wir. Nun haben wir uns von diesem "Kumpel" trennen müssen. Doch seit dem sabotiert er hin und wieder die Seite, in dem er den Webserver deaktiviert und somit die Seite nicht erreichbar ist, auf die HP-Daten, die auf die Seite eingepflegt wurden, zugreift und Einstellungen ändert, und und und...

Ich habe aber absolut keine Ahnung, wie er das bewerkstelligt, damit ich das unterbinden kann.

- Über Strato haben wir das Rootpasswort mehrmals neu generieren lassen, damit er über Putty nicht rein kann.

- Alle Plesk- und Administratorkennwörter wurden geändert.

- Unter Webhosting-Zugang ist der Zugriff auf den Server via SSH ist bei beiden Domains /Haupt- und Unterdomain) auf Verboten eingestellt.

So langsam weiss ich echt nicht mehr weiter, wie und was es sein kann.

Eins ist soweit klar, dass er wohl keine Kennwörter benötigt, was wieder an Root und SSH vermuten lässt. Doch weiss nicht, wie und wo ich den Key finde.

Ich hoffe, ihr könnt mir einige Tipps und Hilfestellungen anbieten.

Geändert von hokkabaz81 (02.11.2018 um 14:14 Uhr)
Mit Zitat antworten

  #2  
Alt 02.11.2018, 14:35
kannnix kannnix ist offline
Registered User
 
Registriert seit: 02.2006
Beiträge: 319
Er könnte möglicherweise SSH Keys zur Authentifizierung verwenden.

Oder er hat sich wie ein Virus irgendwo im System eine Hintertür gesetzt. Das kann ein unsichtbarer Prozess sein, der auf einem Port auf eingehende Verbindungen wartet.

Technisch wäre die saubere Lösung die Maschine neu aufzusetzen. Rechtlich ist das Verhalten deines 'Kumpels' natürlich auch äusserst fragwürdig.
Mit Zitat antworten
  #3  
Alt 02.11.2018, 14:47
hokkabaz81 hokkabaz81 ist offline
Registered User
 
Registriert seit: 07.2018
Beiträge: 11
natürlich ist das fragwürdig. Aber noch hält sich der Schaden in Grenzen, da die Seite noch im Aufbau ist.

SSH ist auch mein Verdacht.

Aber muss der Key denn nicht auf dem Server liegen, der den Abgleich macht?
Wo wird der den abgelegt?

Neu Auflegen wäre die radikalste und mit dem größten Aufwand verbundene Lösung, die ich so weit wie möglich vermeiden und alle anderen Möglichkeiten ausschöpfen will
Mit Zitat antworten
  #4  
Alt 02.11.2018, 15:16
Werner S Werner S ist offline
Registered User
 
Registriert seit: 04.2017
Beiträge: 194
Zitat:
Zitat von hokkabaz81 Beitrag anzeigen
- Über Strato haben wir das Rootpasswort mehrmals neu generieren lassen, damit er über Putty nicht rein kann.
Strato Logindaten ändern

Zitat:
Zitat von hokkabaz81 Beitrag anzeigen
- Alle Plesk- und Administratorkennwörter wurden geändert.
Auch nicht benötigte User löschen!

Zitat:
Zitat von hokkabaz81 Beitrag anzeigen
So langsam weiss ich echt nicht mehr weiter, wie und was es sein kann.

Eins ist soweit klar, dass er wohl keine Kennwörter benötigt, was wieder an Root und SSH vermuten lässt. Doch weiss nicht, wie und wo ich den Key finde.

Ich hoffe, ihr könnt mir einige Tipps und Hilfestellungen anbieten.
Keys neu generieren, Howto`s gibt es genug.
Mit Zitat antworten
  #5  
Alt 02.11.2018, 15:41
Benutzerbild von nexus
nexus nexus ist offline
Registered User
 
Registriert seit: 06.2011
Beiträge: 1.582
Zitat:
Zitat von kannnix Beitrag anzeigen
Technisch wäre die saubere Lösung die Maschine neu aufzusetzen.
Dies ist zwingend die einzige Lösung des Problems!
Der Server ist aufgrund des unauthorisierten Fremdzugriffs als korrumpiert zu betrachten und alles Andere als ein Neuaufsetzen wäre mehr als fahrlässig!

Sollten irgendwelche personenbezogenen Daten, angefangen von IP-Adressen über Mailadressen bis hin zu Kreditkartendaten oder sonstwas auf dem Server in irgendeiner Form verarbeitet oder gespeichert werden bzw. worden sein, kann es auch aus juristischer Sicht problematisch werden.

Also:
- Server runterfahren und ins Rescue booten, Image des bisherigen Systems sichern (zur Beweissicherung, falls ihr rechtlich gegen euren "Kumpel" vorgehen wollt oder vielleicht sogar müßt)
- Zugangsdaten zum Webinterface (inklusive Mailadresse oder Telefonnummer für die "Paßwort vergessen" Funktion) ändern
- eventuell vorhandene Userdaten sichern
- Server komplett und sauber neu aufsetzen

Wenn ihr euch einzelne Schritte nicht wirklich zutraut, dann beißt in den sauren Apfel und holt euch für ein paar Euro einen professionellen Admin ins Boot, der das Ganze für euch erledigt (Hier im Forum gibt es z.B. auch für solche Fälle einen extra "Suche"-Bereich).
__________________
Ist ein Server das Richtige für mich? -> Entscheidungshilfe und Erste Schritte
Lesenswert für alle Mailserver-Admins -> Best Practice für stressfreie Mailserver
Server- und Hostinganbieter, die ich empfehlen kann -> PHP-Friends, IP-Projects, Keyweb, Netcup
Hier gibt es alle Infos zu Schulferien (Insider wissen, was ich meine ) -> schulferien.org

Geändert von nexus (02.11.2018 um 15:48 Uhr) Grund: inhaltliche Ergänzungen
Mit Zitat antworten
  #6  
Alt 02.11.2018, 16:15
hokkabaz81 hokkabaz81 ist offline
Registered User
 
Registriert seit: 07.2018
Beiträge: 11
Danke für eure Antworten.

@Werner S
Alle Kennwörter wurden natürlich geändert, inkl. Mail-Postfächer. Und in korrekter Reihenfolge.

Persönliche Daten sind keine hinterlegt.
Es ist ein kleiner Chatscript. Das einzige, was Nutzer hinterlegen können, sind ihre Usernamen und ein Passwort zum Login.

Ich werde mir das alles sichern.

Wenn es die einzige Lösung ist, dann bleibt das wohl nicht aus.
Mit Zitat antworten
  #7  
Alt 02.11.2018, 17:01
GwenDragon GwenDragon ist offline
Registered User
 
Registriert seit: 12.2008
Ort: Franken
Alter: 59
Beiträge: 3.314
Vorgehen:
Beweise sichern
Strafanzeige gegen den Mann stellen wegen Computersabotage
__________________
die Gwen, also die Drachin... nix anderscht!
Mit Zitat antworten
  #8  
Alt 02.11.2018, 17:25
sbr2d2 sbr2d2 ist offline
Registered User
 
Registriert seit: 07.2005
Ort: Hamburg
Beiträge: 684
sbr2d2 eine Nachricht über ICQ schicken
Zitat:
Zitat von hokkabaz81 Beitrag anzeigen
Es ist ein kleiner Chatscript. Das einzige, was Nutzer hinterlegen können, sind ihre Usernamen und ein Passwort zum Login.
Dann kann das Neu aufsetzen ja nicht viel Zeit in Anspruch nehmen. Ich tendiere auch zu Neu machen.
__________________
Pünktlichkeit ist die Kunst, richtig abzuschätzen, um wie viel sich der andere verspäten wird. Mission Rohrfrei
Mit Zitat antworten
  #9  
Alt 03.11.2018, 18:46
Benutzerbild von Firewire2002
Firewire2002 Firewire2002 ist offline
Registered User
 
Registriert seit: 02.2006
Ort: Hürth
Beiträge: 4.499
Es lebe der deutsche Mob ...
Zitat:
Zitat von GwenDragon Beitrag anzeigen
Strafanzeige gegen den Mann stellen wegen Computersabotage
Es liegen keinerlei Beweise gegen diesen Mann vor.
Restlos alles was hier im Thread bisher geschrieben wurde sind Vermutungen, Behauptungen, Mutmaßungen des Betroffenen oder hier Mitlesenden.
Aber hauptsache der Mann wird erstmal öffentlich an den Pranger gestellt. Sonst gehts euch aber noch ganz gut?

@hokkabaz81,
Um deine Frage zwischendrin zu beantworten: Die SSH Keys liegen unter .ssh/authorized_keys im Homeverzeichnis des Benutzers. Für root also in der Regel /root/.ssh/authorized_keys.
In der /etc/ssh/sshd_config können aber auch alternative Pfade angegeben werden. Wenn man von einer Kompromitierung des Systems ausgeht, ist das auf jeden Fall mit zu prüfen.
Logs sichten, mindestens Logins erzeugen Logeinträge. Jenachdem wie er sich auf dem System bewegt, findet man noch mehr. Shell History der Benutzer prüfen.
Wenn er tatsächlich root ist, sind aber weder die History noch die Logs auf dem gleichen System vertrauenswürdig. Für sowas wären Remote-Logs von nöten. Rückwirkend wird das aber nichts.

Wenn man dann eine Sabotage durch unbefugte beweisen kann. Strafanzeige und Strafantrag(!) gegen unbekannt stellen. Lass die Staatsanwaltschaft den wahren Täter ermitteln. Je nachdem was du für Beweise vorlegst, sollte das einfach bis unmöglich sein.
In so einer Situation auf keinen Fall direkt eine bestimmte Person beschuldigen. Wenn er halbwegs weiß was er da getan hat, ist seine Gegenanzeige wegen Verleumdung erfolgreicher, als deine wegen Computersabotage, wenn du keine vernünftigen Beweise vorlegen kannst.
Mit Zitat antworten
  #10  
Alt 04.11.2018, 10:53
Benutzerbild von DeaD_EyE
DeaD_EyE DeaD_EyE ist offline
Registered User
 
Registriert seit: 07.2010
Ort: Hagen
Alter: 36
Beiträge: 1.916
DeaD_EyE eine Nachricht über ICQ schicken
Hier sind keine Namen genannt worden, weswegen ich auch nicht nachvollziehen kann, wieso du dich so aufregst.

Sofern Beweise vorliegen, der Staatsanwaltschaft übergeben. Die machen dann schon ihre Arbeit, sofern sie Zeit dafür haben. Wir können hier als unbeteiligte eh gar nichts machen.

Den Server würde ich komplett platt machen. Das hat zwei Gründe. Über den ersten Grund ist hier bereits ausgiebig diskutiert worden. Der ehemalige Admin könnte eine oder mehrere Hintertüren zurück gelassen haben.

Der zweite Grund ist trivial. Damit du lernst wie man selbst den Server einrichtet, weil das hat ja der ehemalige Admin gemacht, der nun nicht mehr da ist.

Ihr habt genau genommen zwei Probleme. Der vielleicht kompromittierte Server und die Unwissenheit über die Administration des selbigen.
__________________
>>> join('white', 'red', 'yellow', 'black')
'freedom'
Mit Zitat antworten
  #11  
Alt 04.11.2018, 12:27
GwenDragon GwenDragon ist offline
Registered User
 
Registriert seit: 12.2008
Ort: Franken
Alter: 59
Beiträge: 3.314
Frechheit, hier beleidigend angegangen zu werden weil ich eine Vorgehensweise bei Computersabotage aufzeigen wollte.
Ich habe hier niemand an den Pranger gestellt.
Und ich habe diesen "dritten Kumpel" nicht als Verursacher bezeichnet, dass war der TE selbst.
__________________
die Gwen, also die Drachin... nix anderscht!
Mit Zitat antworten
  #12  
Alt 04.11.2018, 14:13
Benutzerbild von Thunderbyte
Thunderbyte Thunderbyte ist offline
Moderator
 
Registriert seit: 01.2006
Alter: 42
Beiträge: 6.638
Ich möchte hier bitte als Mod alle Beteiligten um Mäßigung bitten.

Dazu würde ich in diesem Fall zählen, sowohl von direkten Maximalforderungen (Strafanzeige), als auch von zu "emotionalen" Antworten auf derartige Forderungen Abstand zu nehmen, oder zumindest beides moderater zu formulieren.

@Gwen: ich sehe hier keine versuchte Beleidigung von Firewire gegen Deine Person. Nur eine (zu?) emotionale und drastische Antwort.

Daher bitte an alle: locker bleiben.

Zur Sache: ob die Sache strafrechtliche Relevanz hat, können wir angesichts der Sachlage nicht beurteilen. Vermutlich liegt hier kein gewerbsmäßiges Angebot vor, daher ist fraglich wie ein straf/zivilrechtlich relevanter Schaden aussehen sollte. Vermutlich geht es hier um irgendwelche Clan oder Kumpelgeschichten, die sich zerknatscht haben (zumindest wissen wir nichts gegenteiliges) und der "dritte" nervt nun den TE bis der ihn endgültig hinauswirft.

Wenn es nur ein Chatskript ist, ist das mal wieder ein Fall von: (V)Server ist unnötig. Ein Webspacepaket würde es hier auch tun und ein vermutlich schlecht administrierter Server wäre vom Netz.
__________________

...Der Werdegang eines Rootserveradmins...
Mit Zitat antworten
Antwort



Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Seite nicht aufrufbar, Confixx delipmon Confixx 6 19.11.2010 16:11
External and internal E-Mail Login does not work Anthony VHCS 19 06.06.2008 23:22
Kann mir mahl jemand weiter helfen ktr453 Dedizierte Server 16 31.03.2008 22:52
VirtualHost wurmi Virtuelle Server 7 01.10.2003 23:20





Powered by vBulletin® Version 3.8.11 (Deutsch)
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Search Engine Optimisation provided by DragonByte SEO (Pro) - vBulletin Mods & Addons Copyright © 2019 DragonByte Technologies Ltd.