Angblicher Angriff auf meinen Server
- Thread starter dragon001
- Start date
mic
Registered User
Vermutlich geht´s um illegales Verlinken von Bildern oder ähnliches.
Da die Absenderseite auf mich einen seriösen Eindruck macht(Impressum, umfangreiche AGBs
), würde ich mal antworten um näheres zu erfahren.
Da die Absenderseite auf mich einen seriösen Eindruck macht(Impressum, umfangreiche AGBs
), würde ich mal antworten um näheres zu erfahren.
dragon001
New Member
Hmm anscheinend ist mein Rechner mißbraucht worden um von außen auf ihn zuzugreifen.
Hatte 400 ssh-scan prozesse am laufen.
Konnte sie leider nicht deaktivieren.
Hab alle Daten kurzfristig einfach gebacked und den Server plat gemacht.
Wie kann es sein, das jemand über www-data befehle ausführt, wenn dieser nicht von aussen erreicht werden kann?
Der User landet immer in /bin/false
kann sich also nicht anmelden
sshd port liegt bei über 4x xxx.
(genaues ist geheim
kann man die anzahl an Tasks für den User www-data vielleicht auf 0 setzen, sodaß dieser nur nichts mehr ausführen kann?
Apache2 wird ja als Daemon ausgeführt.
sollte also probleme beseitigen.
Hatte 400 ssh-scan prozesse am laufen.
Konnte sie leider nicht deaktivieren.
Hab alle Daten kurzfristig einfach gebacked und den Server plat gemacht.
Wie kann es sein, das jemand über www-data befehle ausführt, wenn dieser nicht von aussen erreicht werden kann?
Der User landet immer in /bin/false
kann sich also nicht anmelden
sshd port liegt bei über 4x xxx.
(genaues ist geheim
kann man die anzahl an Tasks für den User www-data vielleicht auf 0 setzen, sodaß dieser nur nichts mehr ausführen kann?
Apache2 wird ja als Daemon ausgeführt.
sollte also probleme beseitigen.
dragon001
New Member
Meine Logs hab ich gesichert.
Genauso die alten Einstellungen.
Ich kann jederzeit nach voll ziehen, wie die attacke abgelaufen ist.
Ich hatte jedoch nicht gefunden, wo dieser HAcker ins System eingedrungen ist.
Geh absofort nur noch per Zertifikat in Putty etc rein. (1. Absicherung)
Überprüfe Täglich den Strato Traffic Monitor (den Mbit/s Statistik)(2.Absicherung)
Installiere den Serverreport (eine Software die ich irgendwann mal entdeckt hab(3.Absicherung)
Weitere Schritte werd ich zwar noch tätigen, wie die volle Einrichtung von IPTables, aber wahrscheinlich nicht mehr heut, da ich noch in eine Lernrunde muß
)
Genauso die alten Einstellungen.
Ich kann jederzeit nach voll ziehen, wie die attacke abgelaufen ist.
Ich hatte jedoch nicht gefunden, wo dieser HAcker ins System eingedrungen ist.
Geh absofort nur noch per Zertifikat in Putty etc rein. (1. Absicherung)
Überprüfe Täglich den Strato Traffic Monitor (den Mbit/s Statistik)(2.Absicherung)
Installiere den Serverreport (eine Software die ich irgendwann mal entdeckt hab(3.Absicherung)
Weitere Schritte werd ich zwar noch tätigen, wie die volle Einrichtung von IPTables, aber wahrscheinlich nicht mehr heut, da ich noch in eine Lernrunde muß
)