Gechackt? User löschen trotz Login!

siehste ...

aber meiner Meinung nach ist das chkrootkit lediglich ein Tropfen auf den heissen Stein, es kann nur das zeigen, was es weiss ... und wie gesagt lernen die Hacker auch dazu ...

bindshell ...

ps -afx | grep bindshell

die erste Nummer ist die Prozessnummer

kill -9 prozessnummer

cd /
find . -print | grep bindshell

die gefundenen dateien mit rm löschen

UND

ich bleibe bei meinem Rat: Neuinstallation
 
Das stimmt, aber es kann keine unlösbare Aufgabe bei einen Server zumindest die naheliegensten Lecks abzudichten. Neuinstallation mache ich sobald ich weiß wie es geht ohne dabei meine Webprojekte unnötig lange offline zu nehmen.

Danke für die Tipps! :)

Bei der ersten Zeile erhalte ich
Code: 
ps -afx | grep bindshell
Warning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
24411 pts/0    S+     0:00          \_ grep bindshell

Bei der find Suche finde ich nichts?

Ergänzend hierzu:

Warum finde ich hier 3 User, es dürften nur einer sein, nämlich der root. Ich vermute ersterer ist der Sys-Admin von 1&1 der meinen Server eingerichtet hat, aber wer ist der 3. ?

Code: 
w
 13:13:28 up 121 days,  3:33,  3 users,  load average: 0.00, 0.04, 0.01
USER     TTY        LOGIN@   IDLE   JCPU   PCPU WHAT
root     ttyS0     10Oct07 85days  0.03s  0.03s -bash
root     pts/0     13:04    0.00s  0.05s  0.00s w
 
Last edited by a moderator:
Hallo,

Nexlamar said:
Ich arbeite mich ja gerade in die Thematik ein
Click to expand...
kopier den Rootserver auf einen Alt-PC zuhause und übe dort.

Denn zu holen gibt es da nichts.
Click to expand...
100MB Anbindung zum Spammen und DOssen. Das genügt, für diese Zwecke werden sogar PCs am DSL geknackt.

Die Bindshell-Meldung von chkrootkit ist ein false Positive sofern auf dem Server Postfix läuft.
 
Installier die Kiste neu!!

Hallo!

Ich bin beim besten Willen auf keinen Fall ein Sicherheitsexperte, aber dass man chkrootkit auf keinen Fall auf dem Rechner kompiliert, der überprüft werden soll, weiß sogar ich - hast du wenigstens überprüft, ob der Einbrecher dir keine eigenen Paketquellen hinterlegt hat, damit du dir eine von ihm manipulierte gcc Version installierst, die chkrootkit dann so kompiliert, dass seine Backdoor nicht entdeckt wird?

Bist du sicher, dass er dir nicht den DNS Cache mit manipulierten ip<->Hostname verseucht hat, sodass du evtl sogar eine von ihm manipulierte Version von chkrootkit runtergeladen hast?

Bist du sicher, dass er sich keinen versteckten zweiten root Account angelegt hat?
Bist du sicher, dass alle laufenden Programme tatsächlich das tun, was ihr name verspricht, bzw das von ps auch wirklich alle laufenden Programme angezeigt werden?

Wenn du nur eine dieser Fragen mit Nein beantworten musst, dann musst du deinen Kunden zuliebe (denen du ja eine Neuinstallation ersparen willst....glaub mir, die werden es dir danken, wenn du neu installierst, wenn Sie den Hintergrund der Neuinstallation erfahren) den Server komplett neu installieren UND konfigurieren. Einfach alle configs sichern und ungeprüft nach der Neuinstallation wieder in /etc kopieren ist auch nicht sicher.


Und wieso soll so ein Server nicht attraktiv sein - der hat sich doch nicht die Mühe gemacht auf deinem Server einzubrechen (und sich damit strafbar gemacht -> Anzeige gegen Unbekannt! bzw die IP haste ja also Mail an die Telekom...das steht doch auch in der ripe Antwort, dass die Telekom das wissen will, wenn einer aus deren Netz darüber Straftaten begeht Query the RIPE Database ) wenn das nicht attraktiv wäre.

Schlimmster Fall: der hat sich ein Proxy auf deiner Kiste gebastelt, der keine logs schreibt, hat die anderen systemlogs manipuliert und fängt jetzt an über deine IP richtig böse zu werden -> Einbruchsversuche z.B. bei einem Kreditkartenanbieter, Hochladen von Kinderpornos über deine IP usw....

Du musst dann beweisen, wer das war, und wenn du das nicht kannst, dann warst du das für den Staatsanwalt.

Hoffentlicht habe ich dir jetzt genug Angst gemacht - gute Ratschläge von mehreren erfahrenen Usern aus dem Forum scheinen ja nicht zu fruchten....

mfg tyler


edit:

reallumpi said:
Blöde Frage aber kann es unter Umständen sein das du gar nicht gehackt wurdest sondern der User einfach als "connected" angezeigt wurde weil du den Logout vergessen hast und der Timeout noch nicht erreicht war ? Ist nur mal so eine Idee.
Click to expand...

Nexlamar said:
Noch etwas das für einen Angriff spricht:

Folgende IP hat sich heute morgen unter meinem (jetzt gelöschten User) bei mir als selbiger eingeloggt: 80.132.174.2

Die gehört der Telekom, ich bin aber nicht über die Telekom im Netz ;)

Viele Grüße,
Nex
Click to expand...

Wenn er den User und das passwort niemandem anderen zur Verfügung gestellt hat und er wirklich nicht über das Netz der Telekom reingeht, dann spricht einiges für einen erfolgreichen Angriff.
 
Last edited by a moderator:
ich kann mich dem nur wiederholt anschliessen ... eine Neuinstallation und saubere Absicherung ist meiner Meinung nach unumgänglich !
 
Hi!

Was auch dafür spricht ist dass meine Festplattenauslastung zunimmt (/dev/md5).

So dratisch habe ich es bisher noch nicht gesehen.

Also ich sehe dann nur 2 Möglichkeiten:

1. Wie hier von vielen vorgeschlagen eine Neuinstallation des gesamten Servers
Hauptproblem hier: Know-How / Ich habe mir zwar ausreichend Literatur zugelegt, fühle mich aber noch nicht fit genug selbst ein System neu aufzusetzen.
Prinzipiell brauche ich keine grafische Benutzeroberfläche (Plesk), es reicht wenn ich weiß wie ich meine Webprojekte, die Datenbanken und die E-Mailadresse möglichst ohne langen Ausfall per Shell wieder online bekomme.

2. Ich werde mich nicht mehr mit mit einem eigenen Server befassen, Vollständige Abschaltung und switch aller Webprojekte zurück auf ein Webpaket.

Danke für die Infos,
Nex
 
Also ich habe mich jetzt für Variante 1 entschieden - ich gebe nicht auf ;)
Ich sichere die Projekte derzeit und parke sie auf einem Webpaket.

Dann fange ich nochmal von vorne an - ich initialisiere den Server neu und nehme ihn erstmal vom Netz.

Ich nutze bereit seit längerer Zeit Ubuntu auf meinen PCs, aber einen Webserver habe ich wie gesagt noch nicht installiert. Das mache ich jetzt - offline - mit Hilfe einiger Posts die ich hier gefunden habe und einem Debian-Buch was hier ebenfalls schon mehrfach empfohlen wurde.

Ich springe generell gerne ins kalte Wasser, aber Ihr habt natürlich Recht - professionellen Hackern bin ich nicht gewachsen und Spam will ich auch nicht unterstützen.

Dennoch könnte es sein, dass ich noch die eine oder andere Frage haben werde ;)

Trotzdem nochmals Danke an alle hier!
Nex
 
Hi!

zu 1. Wieso selber installieren, steht das ding bei dir zuhause, oder nur server housing? Sonst kannste doch bestimmt von deinem Provider, oder über ne Webschnittstelle selber, den Server in den ursprünglichen Zustand zurückversetzten.

Nur du solltest rausfinden, wie er reingekommen ist, sonst schafft der das evtl. wieder. Wenn du vor hast dich bei der Telekom zu beschweren, oder Anzeige zu erstatten, solltest du am besten von deinem Provider die Festplatte ausbauen lassen, damit die evtl forensisch untersucht werden kann:
http://files.doomed-reality.org/Papers/hakin9_0607_forensik_unter_linux.pdf

Mindestens ein Abbild per dd würde ich machen, auch wenn du nicht Anzeige erstatten willst, evtl ist das Kind schon in den Brunnen gefallen und du vernichtest mit der Neuinstallation die Beweise, die dich entlasten könnten.

Bevor du neu installierst solltest du auf jeden Fall Daten sichern, nicht alles muss weggeworfen werden, sondern nur die Konfigurationsdateien und alle binaries. Das gilt vor allem für apache und php Konfigurationsdateien.

Ob du das aufgibst oder nicht musst du schon selber entscheiden - ein, oder zwei Wochen konsequentes lernen und man hat schonmal genug Howtos und Tutorials gelesen und wie ein Script Kiddy umgesetzt, um die schlimmsten Gefahren abzuwenden....aber das kann dir keiner abnehmen, lesen und versuchen zu verstehen, musst du das selber. Vor allem php ist ganz gefährlich, also solltest du überlegen, ob du wirklich php benötigst.

mfg tyler
 
Nexlamar said:
Das mache ich jetzt - offline - mit Hilfe einiger Posts die ich hier gefunden habe und einem Debian-Buch was hier ebenfalls schon mehrfach empfohlen wurde.
Click to expand...

Weise Entscheidung! Glaub mir, Du wirst besser schlafen wenn Du weisst was der Server dann auch so macht!

Dennoch könnte es sein, dass ich noch die eine oder andere Frage haben werde ;)
Click to expand...

Dafuer gibt es das SSF ja auch :p

lg
Basti
 
You must log in or register to reply here.
Back
Top