Hilfe!! Traffic explodiert auf 927GB in 2 Tagen

D

dseverse

New Member
Hallo zusammen,

ich habe ein sehr schwewiegendes Problem und werde damit von der Strato Hotline allein gelassen.

Vor einigen Tagen habe ich auf meinem Server einen versteckten tmp Ordner gefunden in dem waren 10 aktuelle Kinofilme. Die Größe war 54GB.

Ich habe daraufhin das Passwort geändert und die Filme gelöscht.

Am letzten Wochenende war mein Server komplett down. Ich konnte ihn nicht erreichen und mich nichtmal einloggen und heute morgen bekomme ich die eMail, das mein Traffic auf 927GB angestiegen ist, obwohl ich ja keine Filme mehr drauf habe.

Der Strato Mann meinte ich soll überprüfen was für Dienste laufen und diese killen, aber das klingt für mich wie "fliege zum Mond und ziehe den Stecker!"

Kann mir irgendjemand helfen bei meinem Problem?? Ich bin auch gewillt für die Hilfe zu zahlen, wenn mir jemand kurz erklären könnte, was ich nun tun muss.

Ok, ich weiss, mir wurde heute auch schon gesagt, ich soll den kündigen und erst wieder anmelden, wenn ich Ahnung habe. Einverstanden! Das hilft mir aber nur langfristig. Kurzfristig bräuchte ich aber schon noch einige Daten von meinem Server bevor ich diesen neu installiere.

Vielen Dank im voraus,
Denis
 
Hi!

Hatte damals auch sowas ähnliches mal. Ich hab den Server im Rescue mod gestartet. Ein Backup meiner Daten gemacht und Ihn danach neu aufgesetzt. Mein Support Mensch von netdirekt meinte wäre die beste Lösung da sicher der "Hacker" noch Hintertüren offen gelassen haben könnte.

Mfg
 
argh...
genau das passiert, wenn man keine Ahnung hat! Aber okay, lassen wir das. Du wirst damit evtl schon genug rechliche Probleme bekommen.

Es wäre da erst mal sehr schön zu wissen was das für ein System ist. Und dazu ein paar mehr details (Hoster Paket etc).
Dann kannst du dir die Prozesse anschauen, in dem du an der Konsole, nachdem du dich per SSH eingeloggt hast entweder " top" eingibst, das listet dir dann permanent die laufenden prozesse auf, oder du gibst " ps aux " ein. das listet dir auch die Prozesse auf, aber zeigt noch etwas mehr an. Desweiteren würde ich kontrollieren, was du da für Benutzer drauf hast, die ggf deaktivieren und deine Firewall bis auf den SSH-Port zumachen.
Fürs erste sollte das reichen. Nun sind deine infos dran.

Und eine "watschen" sollte man dir auch :mad: man man man ...
 
Na das stimmt schon. Aber warum stellt man sich denn so ein Teil ins Netz, wenn man davon KEINE Ahnung hat ? Das verstehe ich ernsthaft nicht!
Ich meine ich weiß auch nicht alles. Aber ich weiß immerhin, das ich bestimmte Sachen einfach nicht auf meinem Server mache ; und wenn ich shcon Sachen mache, dann sicher ich doch das wenigstens etwas mehr ab. Oder irre ich mich da ?
 
Last edited by a moderator:
Naja, nein nicht unbedingt.

Das ist zwar ein anderes Thema aber ok. Ich habe mich einfach von der bunten Werbung leiten lassen, die mir viel Platz und viel Traffic versprach für relativ wenig Geld.

Ich habe da auch nicht wirklich weltbewegende Websites drauf. Zwei Model Webseiten und eine persönliche und eine 4images Galerie.

Das Ganze ist ein dedizierter Server von Strato auf SUSE 9.3 Pro mit ServerAdmin24. Über die Benutzeroberfläche konnte ich ja alles so einstellen wie ich es wollte und das war auch 2 Jahre so voll ok für mich. Nun bis jetzt!

Ich werde sobald wie möglich auf VServer zurückkehren, da habe ich diesen AdminKram nicht.

Ich frage mich einfach, wie dieser Traffic jetzt zustandekommt, woe doch die Filme im Nirvana verschwunden sind.

Ich habe übrigens alle Dienste gestoppt und kann mich jetzt nicht auf ServerAdmin24 einloggen.

Was passiert wenn ich nun das Rettungssystem starte? Hat der Hacker dann auch wieder sofort Zugriff oder kann ich da relativ gefahrlos über Nacht meine Daten vom Server downloaden und danach das Ding neuinstallieren und dann kündigen?
 
dseverse said:
Ich werde sobald wie möglich auf VServer zurückkehren, da habe ich diesen AdminKram nicht.
Click to expand...
Ein vServer ist genauso ein "dedizierter" Server nur eben mit weniger Ressourcen und man hat nicht Zugriff auf bestimmte Dinge. Das gleiche kann dir bei einem vServer auch passieren.

dseverse said:
Ich frage mich einfach, wie dieser Traffic jetzt zustandekommt, woe doch die Filme im Nirvana verschwunden sind.
Click to expand...
Vielleicht liegen Sie ja jetzt wo anders ;)

dseverse said:
Was passiert wenn ich nun das Rettungssystem starte? Hat der Hacker dann auch wieder sofort Zugriff oder kann ich da relativ gefahrlos über Nacht meine Daten vom Server downloaden und danach das Ding neuinstallieren und dann kündigen?
Click to expand...
Nein der Hacker hat dann nicht wieder sofort Zugriff. Erst wieder, wenn du "normal startest". Wenn du so und so kündigen willst, brauchst du nicht noch installieren ;)

Du solltest auch einmal nachsehen, wie der Einbrecher überhaupt ins System gekommen ist und dann dementsprechend handeln.
 
dseverse said:
Was passiert wenn ich nun das Rettungssystem starte? Hat der Hacker dann auch wieder sofort Zugriff oder kann ich da relativ gefahrlos über Nacht meine Daten vom Server downloaden und danach das Ding neuinstallieren und dann kündigen?
Click to expand...

Dann startet dein Rettungssystem ;)

Der Hacker hat dann kein Zugriff mehr auf das System. Außer, du postest das Passwort in allen Foren der Welt.

Eine Neuinstallation bringt schon was. Allerdings habe ich die Erfahrung dass die Neuinstallationen auch nicht immer aktuell sind. Sicherheitsupdates solltest du machen. Irrelevante Programme stoppen und sich über Serversicherheit informieren wäre wichtig.

mfg

bwar
 
Also ich kenne dieses Rescuesystem nicht und kann somit nicht sagen, ob deine daten danach weg wären.
Aber wenn du zugriff auf die Konsole bekommen könntest, wäre das schon SEHR hilfreich. Dort kannst du dann besser verfolgen was passiert.
bei Suse kann man als root auch wunderbar Yast benutzen um die Firewall zu konfigurieren. Ich würde wie gesagt so vorgehen, das ich alles ausser SSH in der Firwall deaktiviere und dann schaue, was da los ist.
 
Habe nun das Rettungssystem gestartet und leider kann ich dann nicht mit putty oder winscp auf meine daten zugreifen.
:(
 
Ich würd mal sagen er verwechselt das Rescuesystem mit seinem eignem System, weshalb er die Daten natürlich nicht finden kann.

Einen Server 2 Jahre ausschließlich per Webinterface zu bedienen ist natürlich schon ein starkes Stück. Da weiß man sofort warum dies geschehen ist. :mad:

Wie bereits gesagt bringt dir da ein vServer auch nicht viel, der birgt die gleichen Gefahren.
 
Hallo dseverse,

ich bin in der Materie nicht unterwegs, aber wie wärs, wenn Du ein paar Euro in die Hand nimmst und Dir Dein System von einem Experten (hier im Forum laufen genug willige herum) Sichern und (wenn Du es nicht gleich kündigen) neu einrichten lässt?

Im Strato FAQ steht was zum Thema Rescue System. Dort steht auch in welchem Verzeichnis sich Deine Daten befinden.

Grüße
Sinepp
 
  1. Link
  2. Rescue starten (hast du anscheinend schon)
  3. Platte mounten
  4. Daten sichern
  5. Logfiles durchwühlen um herauszufinden wie der Einbrecher hereingekommen ist
  6. Neu aufsetzen
  7. Lücke(n) schließen
  8. weitere 2 Jahre glücklich werden :D - SCNR
 
Hallo,

dseverse said:
und eine 4images Galerie.
Click to expand...
der Du wie oft ein Update verpaßt hast?
Ich kenne das Ding nicht, aber wage trotzdem zu behaupten, daß der Angreifer darüber reingekommen ist.

Öffentlich verfügbare PHP-Pakete sind schon seit längerem der Haupteinbruchsweg, und wenn ich unter Systemvoraussetzungen lese "Damit 4images korrect funktioniert, sollte safe_mode abgeschaltet sein" geht mir der Hut hoch (was nicht heißen soll, daß ich den Safemode für besonders safe halte).

Über die Benutzeroberfläche konnte ich ja alles so einstellen wie ich es wollte und das war auch 2 Jahre so voll ok für mich.
Click to expand...

Du hat den Server seit 2 Jahren - wie oft hast Du Updates durchgeführt? Oder hast Du nur über die Benutzeroberfläche "administriert"?

Ich werde sobald wie möglich auf VServer zurückkehren, da habe ich diesen AdminKram nicht.
Click to expand...
Der einzige Unterschied bzgl. Sicherheit zwischen Dedicated und Vserver besteht darin, daß man bei Vservern (der gängigen Angebote) kein Kernelupdate machen muß.

Selbst auf Webhostingpaketen müssen diese PHP-Programmpakete regelmäßig geupdated werden, sonst kommt auch da irgendwann der Hacker rein.

Was passiert wenn ich nun das Rettungssystem starte? Hat der Hacker dann auch wieder sofort Zugriff oder kann ich da relativ gefahrlos über Nacht meine Daten vom Server downloaden und danach das Ding neuinstallieren und dann kündigen?
Click to expand...

Nö, im Rescue kannst Du in Ruhe analysieren und Daten abholen.

Vergiß dabei die Filme nicht, damit Du auch was hast vom Ärger. *SCNR*
 
Dank Darkdream habe ich meine Daten gemountet und kann sie später downloaden.

Dann setze ich die Kiste neu auf und gut ist.

Sagen wir es mal so. Es ist nichts sicherheitsrelevantes drauf, ausser viele Fotos von zwei bezaubernden Fetish Models die da heissen Naminia und Miss Endless.

Das hier ist Naminia: http://img-x.fotocommunity.com/22/5564522.jpg

Jetzt versteht ihr vielleicht auch, warum ich keine Zeit habe, mich mit Servern auseinanderzusetzen. ;) Das wirkliche Leben sieht halt viel geiler aus!

Ich bin DarkDream auf jedenfall sehr dankbar und werde mich auch erkenntlich zeigen.
 
Hi dseverse,

schaue mal ins WHL und bitte da einen Fachmann der dir hilft, da sind Privatpersonen, die wollen zwischen 20-30€ für ein sicheres System haben, dieser kann auch das Sicherheitsleck finden. Das system muss aber komplett neu aufgesetzt werden, da man nicht weiss, wo er schon überall war.
 
Mit den Abkürzungen komme ich leider gar nicht klar. Das ist auch das Problem, wenn man sich vie Foren in etwas einarbeiten will.

Da heisst es immer nur:

schaue mal ins bash log und danach gucke ins var/log und hilfe findest du im WHL, was gleich neben der UB steht. *g*

Ich bin ein Anwendungsidiot. ;) Ich kann mein XP sehr gut allein konfigurieren, kenne mich mit anwendungen aus etc. aber null ahnung von Linux! Sorry...

Hat jemand einen Literaturtipp, wo ich das alles auf Papier nachlesen kann, damit ich nicht jedesmal DarkDream fragen muss ;) ?
 
You must log in or register to reply here.
Back
Top