Gehackt, jetzt brauche ich ein bisschen Hilfe...

Schweinebauer

Schweinebauer

Registered User
und zwar beim suchen der Lücke. Der Übeltäter hat sich allem Anschein nach entweder über ein phpBB2 (aber der neuesten Version) oder über das phpMyAdmin von VHCS (w*****einlich veraltet) Zugang verschafft.

Ich habe nun erstmal den indianer und mysl gekillt und möchte mal gerne wissen, ob euch an diesen Prozessen etwas auffällt?


Code: 
  PID TTY      STAT   TIME COMMAND
    1 ?        S      0:00 init [2]       
    2 ?        S      0:00 [migration/0]
    3 ?        SN     0:00 [ksoftirqd/0]
    4 ?        S      0:00 [migration/1]
    5 ?        SN     0:00 [ksoftirqd/1]
    6 ?        S<     0:00 [events/0]
    7 ?        S<     0:00 [events/1]
    8 ?        S<     0:00 [khelper]
    9 ?        S<     0:00 [kthread]
   10 ?        S<     0:00 [kblockd/0]
   11 ?        S<     0:00 [kblockd/1]
   12 ?        S<     0:00 [khubd]
   13 ?        S      0:00 [pdflush]
   14 ?        S      0:00 [pdflush]
   15 ?        S      0:00 [kswapd0]
   16 ?        S<     0:00 [aio/0]
   17 ?        S<     0:00 [aio/1]
   18 ?        S<     0:00 [kseriod]
   19 ?        S<     0:00 [ata/0]
   20 ?        S<     0:00 [ata/1]
   21 ?        S      0:00 [kirqd]
   22 ?        S<     0:00 [reiserfs/0]
   23 ?        S<     0:00 [reiserfs/1]
  320 ?        Ss     0:00 dhclient -e -pf /var/run/dhclient.eth1.pid -lf /var/run/dhclie
  338 ?        Ss     0:00 /sbin/portmap
  438 ?        Ss     0:00 /sbin/syslogd
  441 ?        Ss     0:00 /sbin/klogd
  449 ?        Ss     0:00 /usr/sbin/named -u bind
  463 ?        S      0:00 /usr/sbin/courierlogger -pid=/var/run/courier/authdaemon/pid -
  464 ?        S      0:00 /usr/lib/courier/authlib/authdaemond.plain
  468 ?        S      0:00 /usr/lib/courier/authlib/authdaemond.plain
  469 ?        S      0:00 /usr/lib/courier/authlib/authdaemond.plain
  470 ?        S      0:00 /usr/lib/courier/authlib/authdaemond.plain
  471 ?        S      0:00 /usr/lib/courier/authlib/authdaemond.plain
  472 ?        S      0:00 /usr/lib/courier/authlib/authdaemond.plain
  475 ?        S      0:00 /usr/sbin/couriertcpd -address=0 -stderrlogger=/usr/sbin/couri
  479 ?        S      0:00 /usr/sbin/courierlogger imaplogin
  485 ?        S      0:00 /usr/sbin/couriertcpd -pid=/var/run/courier/pop3d.pid -stderrl
  489 ?        S      0:00 /usr/sbin/courierlogger courierpop3login
  496 ?        Ss     0:00 /usr/sbin/inetd
  500 ?        Ss     0:00 /usr/sbin/lpd -s
  734 ?        Ss     0:00 /usr/sbin/sshd
  740 ?        Ss     0:00 /sbin/rpc.statd
  747 ?        Ss     0:00 proftpd: (accepting connections)
  750 ?        Ss     0:00 /usr/sbin/atd
  753 ?        Ss     0:00 /usr/sbin/cron
  773 ?        S      0:00 /var/www/vhcs2/daemon/vhcs2_daemon -p /var/run/vhcs2-daemon.pi
  785 tty1     Ss+    0:00 /sbin/getty 38400 tty1
  786 tty2     Ss+    0:00 /sbin/getty 38400 tty2
  787 tty3     Ss+    0:00 /sbin/getty 38400 tty3
  788 tty4     Ss+    0:00 /sbin/getty 38400 tty4
  789 tty5     Ss+    0:00 /sbin/getty 38400 tty5
  790 tty6     Ss+    0:00 /sbin/getty 38400 tty6
  857 ?        S<s    0:00 SCREEN -c /home/gameserver/scripts/screenrc -dmS 85.14.220.95_
  858 pts/0    S<s+   0:22 ./hlds +ip 85.14.220.95 -game cstrike +maxplayers 24 -port 270
  886 ?        Ss     0:00 sshd: root@pts/2
  896 pts/2    Ss     0:00 -bash
  943 ?        S<s    0:00 SCREEN -c /home/gameserver/scripts/screenrc -dmS 85.14.220.95_
  944 pts/1    S<s+   0:16 ./srcds -ip 85.14.220.95 -game cstrike +maxplayers 12 -port 27
 1618 pts/2    R+     0:00 ps ax


Btw, ja, es laufen zwie Gameserver (CSS und 1.6)

Ich werde mich jetzt mal an die Logfiles machen und dann sehen wir mal weiter :)

Vielleicht fällt ja bei den Prozessen etwas auf ;)



Gruß
 
Hallo!
Wie ist dir aufgefallen das in dein System eingedrungen wurde? Woran hast du das festgemacht?

mfG
Thorsten
 
Thorsten said:
Hallo!
Wie ist dir aufgefallen das in dein System eingedrungen wurde? Woran hast du das festgemacht?

mfG
Thorsten
Click to expand...
Daran, dass die Datenbank eines phpBB2 verschwand und phpMyAdmin sauber entfernt wurde.

Ich habe den Server nun komplett vom Netz genommen, ich vermute, dass er kompromittiert wurde, die access.logs sind leer.

85:/var/log# last root
root pts/2 u9a05.u.pppool.d Sat Apr 22 00:21 still logged in
root pts/2 uabae.u.pppool.d Thu Apr 20 22:42 - 01:03 (02:20)
root pts/1 uabae.u.pppool.d Thu Apr 20 21:41 - 00:08 (02:27)
root pts/1 uabae.u.pppool.d Thu Apr 20 21:40 - 21:40 (00:00)
root pts/2 uabae.u.pppool.d Thu Apr 20 20:03 - 22:18 (02:14)
root pts/1 uabae.u.pppool.d Thu Apr 20 18:47 - 21:14 (02:26)
root pts/1 uabae.u.pppool.d Thu Apr 20 18:10 - 18:45 (00:35)
root pts/1 uabae.u.pppool.d Thu Apr 20 18:07 - 18:10 (00:02)
root pts/1 pd9ff8863.dip0.t Thu Apr 20 15:10 - 17:15 (02:05)
root pts/2 uabae.u.pppool.d Thu Apr 20 14:53 - 17:06 (02:13)
root pts/1 pd9ff8863.dip0.t Thu Apr 20 14:23 - 15:09 (00:45)
root pts/1 d078173.adsl.han Wed Apr 19 19:01 - 19:42 (00:41)
root pts/0 d043035.adsl.han Mon Apr 17 18:49 - 18:52 (00:02)
root pts/1 ub8d5.u.pppool.d Sun Apr 16 12:58 - 15:09 (02:11)
root pts/0 ub8d5.u.pppool.d Sun Apr 16 12:52 - 15:09 (02:17)
root pts/0 ras67.fh-luebeck Sat Apr 15 20:15 - 20:16 (00:01)
root pts/0 uf342.u.pppool.d Sat Apr 15 14:46 - 16:58 (02:12)
root pts/0 uf342.u.pppool.d Sat Apr 15 11:36 - 13:48 (02:12)
Click to expand...

Das ist interessant! Ich stehe in keiner Verbindung zu Lübeck und mit hansanet habe ich schon garnichts zu tun..



Gruß
 
Hallo!
Na wenn die Logs schon weg sind sieht es mit der Fehleranalyse natürlich nicht so toll aus. Aber wenn es direkte sshd Zugriffe des Benutzer root über fremde Provider sind, finde ich das schon bemerkenswert. Oder mache ich gerade einen Denkfehler? Das root Kennwort wurde nicht verändert?

mfG
Thorsten
 
Thorsten said:
Hallo!
Na wenn die Logs schon weg sind sieht es mit der Fehleranalyse natürlich nicht so toll aus. Aber wenn es direkte sshd Zugriffe des Benutzer root über fremde Provider sind, finde ich das schon bemerkenswert. Oder mache ich gerade einen Denkfehler? Das root Kennwort wurde nicht verändert?

mfG
Thorsten
Click to expand...
Jetzt muss ich mich entschuldigen, da waren Supporter auf dem Server, Passwort natürlich unverändert!

Aber wenn mein Server kompromittiert wurde, wird das einzig beste sein, ihn platt zu machen, oder? ich denke root-passwort umstellen bringt nichts, solange ich nur rundum ver*****t werde und mich in falsche sicherheit wäge.. ich hab noch ein backup von vor 10 tagen...

trotzdem: Ich will oder besser gesagt, muss diesen fehler finden und das bereitet mir Kopfzerbrechen.

Ich könnte mir vorstellen, dass dieser Eintrag:

root pts/0 ras67.fh-luebeck Sat Apr 15 20:15 - 20:16 (00:01)

der Einbruch war und seitdem alles verfälscht ist...
 
Hallo!
Mit dem geänderten root Kennwort wollte ich auf etwas anderes hinaus. Wenn es nicht geändert wurde und niemand anders es kannte hätte es mich stuzig gemacht. Eventuell zu simpel, erraten, brute force, etc pp.

Wenn du den Verdacht hast, es war jemand unberechtigt auf dem Server - reinitialisieren! Zumal du keinerlei Logfiles mehr hast.

mfG
Thorsten
 
Thorsten said:
Hallo!
Mit dem geänderten root Kennwort wollte ich auf etwas anderes hinaus. Wenn es nicht geändert wurde und niemand anders es kannte hätte es mich stuzig gemacht. Eventuell zu simpel, erraten, brute force, etc pp.

Wenn du den Verdacht hast, es war jemand unberechtigt auf dem Server - reinitialisieren! Zumal du keinerlei Logfiles mehr hast.

mfG
Thorsten
Click to expand...
also neu aufsetzen lassen?

MfG
 
Hallo!
Du weisst nicht was passiert ist und du weisst nicht wie es passiert ist. Du könntest jetzt Tage oder Wochen damit verbringen eine Lücke zu suchen, die es nicht gibt. Oder auf der anderen Seite dich in falscher Sicherheit wiegen, obwohl dein Server schon einem Schweitzer Käse ähnelt.

Mir persönlich wäre das Risiko zu groß.

mfG
Thorsten
 
Thorsten said:
Hallo!
Du weisst nicht was passiert ist und du weisst nicht wie es passiert ist. Du könntest jetzt Tage oder Wochen damit verbringen eine Lücke zu suchen, die es nicht gibt. Oder auf der anderen Seite dich in falscher Sicherheit wiegen, obwohl dein Server schon einem Schweitzer Käse ähnelt.

Mir persönlich wäre das Risiko zu groß.

mfG
Thorsten
Click to expand...
Alles klar, verstanden :)

Na, das wird ja mal wieder ein aufregendes Wochenende.. sämtliche privaten Passwörter ändern, backups zurückspielen..

Naja gut, danke für deine Hilfe.
 
zu den ersten Dingen, die ein Einbrecher in den Rechner machen würde gehört:

* Spuren verwischen --> Logs editieren, Timestamps setzen, etc.
* ein rootkit einrichten, das u.A. verschiedene Prozesse und offene Ports versteckt

Da du beides nicht rekostruieren kannst, ist es wirklich das einzig richtige, den Server komplett neu aufzusetzen.
Du kannst dir niemals sicher sein, dass du alle ggf. vom Einbrecher eingerichteten Backdoors findest.

Du kannst dabei zwar die Daten übernehmen, aber du solltest sämtliche Login Daten aktualisieren, sprich: neue SSH Passwörter, neue SQL Passwörter, neue Pub Keys, falls du die verwendest etc.
Hol dir die neuen Passwörter am besten erst mal aus /dev/urandom, so 10 Zeichen sind da recht geeignet. Musst aber Teilzeichenketten raussuchen, die als Passwort auch erlaubt sind (nicht alle Sonderzeichen gehen).
 
Moin.
wegen "root pts/0 ras67.fh-luebeck Sat Apr 15 20:15 - 20:16 (00:01)" werde ich Montag mal im RZ nachfragen. Sofern das nicht gefaelscht ist, ist der Computer eindeutig zu identifizieren.
 
Hmm... FH Lübeck.
Ist bestimmt 130 Range. Die wird gerne gescannt und mit Viren/Trojanern/Rootkits verseucht.
Denke den Übeltäter bekommste nicht. Nur den amen Laptop Studenten,der formatieren muss :D
 
So, wie versprochen war ich im RZ.

ras67.fh-luebeck ist eine externe Einwahl ueber ISDN. Wer das nun genau war, wird nun geprueft.
Beweisen kann man dann zwar nichts, aber sollte nochmal was aus der Richtung kommen, gibt es schon mal Aerger fuer denjenigen, der sich da eingewaehlt hat.
 
Guin said:
So, wie versprochen war ich im RZ.

ras67.fh-luebeck ist eine externe Einwahl ueber ISDN. Wer das nun genau war, wird nun geprueft.
Beweisen kann man dann zwar nichts, aber sollte nochmal was aus der Richtung kommen, gibt es schon mal Aerger fuer denjenigen, der sich da eingewaehlt hat.
Click to expand...

Zuersteinmal danke für die Mühe, sollte da wirklich etwas herauskommen, kannst du mir die weiteren Informationen gerne per PN geben.

Ich weiss nicht, was man in 1 Sekunde an einem Server tun kann, aber was er dort verloren hatte, ist die andere Sache.

Nunja, schön dass du mich auf dem Laufenden hältst :)
 
You must log in or register to reply here.
Back
Top