Hacker greift Server via DoS, dDos oder Flooding an. Suchen einen Profi - ist drigend

M

mobilody

New Member
Hallo Admins,

wir haben ein kritisches Problem mit unserem Server.

Ein Hacker hatte einige Scripte auf den Server gespielt. (Perl, etc.)
Die hatten wir aber schon vor einer ganzen Weile gelöscht.

Seit einigen Tagen geht ein DoS, dDos oder Flooding Angriff von unserem Server aus.
250 GB Datenverkehr – Normalerweise sind das gerade mal ein paar GB.

Es müssen also noch Schadcode bzw. Sicherheitslücken auf dem System sein.

1und1 hat jetzt den Server erst mal in den Rescue-Mous gesetzt.

Server: Linux Server
Betriebssystem: CentOS5
Software: Plesk v8.6

Wir wissen absolut nicht mehr weiter und brauchen wirklich dringend professionelle Hilfe!
Auch für die Zukunft suchen wir noch einen zuverlässigen Linux Administrator.

Bitte meldet euch – E-Mail: mobilody@googlemail.com

Soweit, erstmal danke!
 
Ein Hacker hatte einige Scripte auf den Server gespielt. (Perl, etc.)
Die hatten wir aber schon vor einer ganzen Weile gelöscht.
Click to expand...

Nur gelöscht oder auch den Grund gefunden wie die Scripte auf den Server gekommen sind?
 
Ich empfehle eine Neuinstallation des Servers.
Dafür braucht es nicht unbedingt einen Profi, der versucht die Lücken zu stopfen und den Server schadfrei zu bekommen.
 
Wenn auf dem Server wichtige Daten lagern oder Kundendaten oder sonstwas ist ein professioneller Administrator der sich auskennt wohl die deutlich bessere Lösung, vor allem wenn der auch in Zukunft diesen Job übernehmen soll. ;)
 
Wurden sämtliche Scripte gelöscht, die der Hacker installiert hat ?
Machen Sie doch mal als root ein last -10 wer sich als letztes eingeloggt hat. Danach ein netstat -tulpen oder lsof -i damit erkennen Sie den Port über welchen sich der Hacker einloggt. Wissen sie den Port einmal ps -auxww ł grep "Programmname" um den PID für das Programm zu ermitteln. dann kill -9 PID dann cat /etc/passwd sollte der Hacker einen user angelegt haben.

vielleicht möchten Sie mir eine EMail schicken info@linuxnetbox.de
 
chkrootkit und rkhunter mal drüber laufen lassen.

Mit

lsof -i -n -P

die offenen Ports anschauen und gucken, ob was da ist, was nicht lauschen sollte.
 
Hallo,

es macht doch keinen Sinn "rkhunter" zu installieren nachdem der Server kompromittiert wurde.
 
Rescue Modus -> rkhunter installiern und dann weitermachen
Click to expand...

Funktioniert natürlich nur wenn das Rescue System mit dem verwendeten System übereinstimmt.

@mobilody: wurde das Problem inzwischen behoben?
 
Funktioniert größenteils auch bei kompromitierten Systemen. Es gibt gewisse Signaturen von Rootkits, Würmern, u.ä. die eindeutig sind und von rkhunter erkannt werden können. Das ein Programm wie rkhunter oder chkrootkit kein Alleskönner ist, sollte klar sein, jedoch eine nicht Nutzung dieser wäre auch grob fahrlässig. Aber mit deinen Beiträgen hilfst du dem Thread Opener ja besonders gut weiter.
 
Ein Rootkit, Wurm, etc., welcher nach einem Neustart/Reboot ist ja wohl nicht wirklich ein ein Rootkit/Wurm oder wie auch immer.

Ich sage nur Rescue System und chroot > very extremely poor-man's virtualization
 
You must log in or register to reply here.
Back
Top