Brauche Hilfe nach DoS-Attacke

W

wuwei

New Member
wir suchen DRINGEND einen ERFAHRENEN Server-Administrator auf Freelancer-Basis.
Nach einer DoS-Attacke hat Strato den Server abgeschaltet, ich habe nun keine Ahnung, was ich unternehmen soll und brauch Hilfe von einem erfahrenen Serveradministrator.

Wir haben einen HighQ-Server SR-5 (v8.21)
 
Ausgehende DoS-Attacke

Es handelt ich um eine ausgehende DoS-Attacke, lt. Strato.

Ich vermute mal, dass verschiedene Updates installiert werden müssen und vielleicht auch PW. ändern und mögliche Infizierung gelöscht werden muss ?...

Ich wäre an einer langfristigen Betreuung interessiert, so dass auch neue Einstellungen und Updates immer vorgenommen werden.
 
Um eine Eingehende Attacke kann es ja logischerweise nicht gehen, diese werden meist nur genullroutet und der server wird später wieder freigegeben.

Bei einer Ausgehenden Attacke ist (anstatt alles zu durchwühlen) die einfachste und sinnvollste Methode, die (noch) wichtigen Daten zu Backupen und das komplette System neu aufzusetzen uns SAUBER neu zu installieren/einzurichten.

Gibt auch eine einfache und Logische Antwort:
Sofern jemand auf deinem Server gelangt ist und ggf. mittlerweile Rootrechte besitzt/besaß, so kann er sich hintertürchen eingebaut haben und der spass fängt bald von neu an.

Also: Wichtige Daten Backuppen, Neu installieren und sauber Einrichten!

Im übrigen: Kontrollier die Backups. Hast du Websites im Backup, auch diese prüfen. Ich weiss ja nicht, ob dir des Zauberwort c99 etwas sagt, aber derartige Tools könnten sich irgendwo versteckt haben, auch in Core-Files von irgendwelchen CMS.
 
Last edited by a moderator:
Server läuft wieder

Der Server läuft nach zwei Tage seit heute Morgen wieder normal.
Die Leute von Strato geben keine Auskunft dazu ab.
"Vielleicht wurde aus versehen der falsche Server gesperrt"
war eine Antwort, die wissen also auch nicht, was eigentlich los war.

Auf jeden Fall möchte ich aber alle Updates nachführen lassen und
vielleicht auf einen Managede - Server umsteigen.:confused:
 
counteam said:
Also: Wichtige Daten Backuppen, Neu installieren und sauber Einrichten!
Click to expand...

Wie wäre es, vorher noch die Sicherheitslücke zu finden und zu fixen? Sonst bringt das ganze Neu-Aufsetzen nichts.

Der OP hat das schon ganz richtig erkannt: Root-Server brauchen vernünftige Betreuung, also Admin buchen oder Managed-Server mieten.
 
Danke an alle Nachrichtenschreiber.
Wie es scheint, hat sich die Sache geklärt und ich kann weiter Schritte unternehmen. Ein Kollege hat alles überprüft und schreibt mir:
folgendes, das ich hier abdrucken möchte, weil es vieleicht für andere Opfer interessant sein kann.

es gab auf dem Server zumindest zwei Hacks. Man sieht das an den Dateien in /tmp:
-rwxr-xr-x 1 psaadm psaadm 11K Sep 21 2012 bc => war im September 2012 und kam
über Plesk (User psaadm)
drwxr-xr-x 2 wwwrun www 4.0K Mar 23 18:00 disfig
-rw-r--r-- 1 wwwrun www 375K Mar 23 07:20 w.tgz
Die letzten beiden zeigen den aktuellen Hack, das Verfahren u. die Dateien sind mir von
anderen Server bekannt. Es ist der Fall, bei dem die alten Updates auch nicht helfen.
Ich habe die durch den Hacker genutzten IP's gesperrt - das hilft vorrübergehend.
Die Hackerdateien habe ich gelöscht.

Der Plesk-Hack scheint beseitigt zu sein - das Prüfscript bescheinigt dies als OK.

Als Betriebssystem ist openSuSE 10.3 installiert. Dies wird schon mehrere Jahre nicht
mehr mit Sicherheitspatches versorgt - insofern kann man das Problem nicht abstellen.
Ich muß hier bei meiner Empfehlung zu einem neuen Server zu wechseln bleiben.
 
wuwei said:
Als Betriebssystem ist openSuSE 10.3 installiert. Dies wird schon mehrere Jahre nicht
mehr mit Sicherheitspatches versorgt - insofern kann man das Problem nicht abstellen.
Ich muß hier bei meiner Empfehlung zu einem neuen Server zu wechseln bleiben.
Click to expand...

So ein Quatsch. Nur weil es für das OS keinen Support mehr gibt, muss man nicht gleich den Server (sprich die Hardware) wechseln. Ein aktuelles openSuSE tut es auch. Die Frage ist aber, ob due aufgrund der aktuellen Erfahrungen nicht lieber zu einem Managed Server greifst.
 
wuwei said:
Ich habe die durch den Hacker genutzten IP's gesperrt - das hilft vorrübergehend.
Die Hackerdateien habe ich gelöscht.

Der Plesk-Hack scheint beseitigt zu sein - das Prüfscript bescheinigt dies als OK.
Click to expand...

Und noch mehr Quatsch. Kann ja sein, dass damit die Lücke zu ist. Über die Lücke wurde aber mit Sicherheit weiterer Schadcode nachgeladen, der da nach wie vor sonstwas auf dem Server treibt. Und die IP zu sperren ist wohl auch eher ein schlechter Scherz. Ein kompromitiertes System kann man nicht reparieren, das ist doch nun wirklich eine alte Erkenntnis. Einmal mit Profis arbeiten, man man man.
 
You must log in or register to reply here.
Back
Top