Ist mein Root-Server gehackt?

Harald

Harald

New Member
Hallo an Alle,
ich bin mir nicht ganz sicher ob ich nur einen Angriff hatte oder ob die Sache ernst ist. :confused:
Auf jeden Fall meldet chkrootkit:

INFECTED (PORTS: 465)

das gefällt mir garnicht.

Kann mir jemand sagen wie man hundert Prozent weiß, dass man nicht der einzige auf seinem Server ist?
Mir ist klar, dass ich die Kiste neu aufsetzen muß, wenn da einer die Finger drin hat. :o Ich will nur sicher sein, denn es ist ein Haufen Arbeit, die dann auf mich wartet.
vielen Dank im Vorraus für Eure Antworten.

Harald
 
Hab die Plesk Updates auf Version 8.1.0 geholt + die allgemeinen System Updates.
Kann ein Update ein "INFECTED" auslösen?
 
Last edited by a moderator:
Hallo!

ich habe zwar nur Plesk 7.5, aber die gleiche "Warnung". das ist in der tat der smtp via ssl. Schau mal mit
Code: 
netstat -lnp
welches Programm auf dem port läuft. Mit Sicherheit xinetd. Die dafür zuständige Konfigurationsdatei ist /etc/xinetd.d/smtps_psa

Gruß flyingoffice
 
Last edited by a moderator:
Stimmt da läuft xinetd. Vielen Dank.
Tja, jetzt sind die Chancen auf Alleinbesitz deutlich gestiegen. :rolleyes:

Ich bin aber immer noch etwas in Warn-Stimmung, denn man will ja auf Nummer Sicher gehen.
Falls also jemand noch ein paar gute Tipps hat, was und wie man noch checken kann, würde ich mich freuen.:)

Harald
 
Last edited by a moderator:
Harald said:
was und wie man noch checken kann
Click to expand...
Was: Logfiles
Wie: Lesen bzw Auswerten lassen

Weiters einfach darauf achten, ob es Unregelmäßigkeiten gibt wie z.B. plötzlich hoher Traffic, viele Mails die rausgegangen sind usw.

Was noch wär: Posteingang der Mail Adresse die du beim Provider angegeben hast um nachzusehen ob du Post von der Abuse Abteilung bekommen hast :p :D

Ein kleiner Programmtipp noch zum Schluss: SrvReport
 
Stimmt, sorry:o , die Frage war zu allgemein, also: Wie checkt man:

wenn der Traffic nur max. und aufgerundet 120 MB hat. und
der Webspace voll ist mit etwas über 500 MB. obwohl
die Summe im Dateimanager nur rund 90 MB angibt?

Spinnt da Plesk oder ist das ein konkreter Hinweis auf ein Eindringen?
Kann man da noch genauer prüfen?

Danke für Eure Geduld mit mir.;)

Harald
 
Guten Morgen,

das ist ein bekanntes Problem bei Plesk.
Wenn du hier im Forum mal danach ausschau hälst wirst du ein paar Themen dazu finden.
 
Harald, auf Nummer sicher gehst Du wirklich, wenn Du Dir mal Deine Logfiles anschaust. Sehr gründlich, seit dem auftreten der Meldung und ein paar Tage davor.

Ein offener Port alleine ist je nachdem ein schlechter Witz, wenn man das als erfolgreiche Attacke wertet...es ist ein schwaches Indiz und man sollte der Sache nachgehen. Ein netstat -lnp ist da aber schon fast ausreichend...

Grüße
Sinepp

Der Port 12345 auf seinem Notebook offen hat...und darüber mal gestolpert ist...sich anschließend gefragt hat, warum tmlisten auf DIESEM Port laufen muss...
 
Vielen Dank, Sinepp!

Ich möchte unbedingt auf Sicherheit bauen, denn mir sind die eventuellen Konsequenzen vollkommen klar. Allerdings bin ich noch kein Server-Sicherheits-Experte und habe auch noch nicht so viel bzw. so lange Erfahrung wie viele von Euch hier. :o

Ich schau mir die Logfiles an, nur beim Auswerten hab ich noch nicht so den Durchblick.
Auf was muß man denn genau achten und/oder wie erkennt man was "böses"?
Welche Logfiles sind die Wichtigsten oder welche sind vorrangig zu behandeln?

Gut, dass es dieses Support-Forum gibt, danke!

Harald
 
You must log in or register to reply here.
Back
Top