Plötzlich GLFTPD auf dem Server

L

lucky2002

Registered User
Hallihallo,
hab ein Riesen Problem offenbar wurde mein Server missbraucht.....beim wöchentlichen Traffic Check habe ich festgestellt das in der Zeit vom 25.11.-12.12. insgesamt 603GB(eigentlich hat der Server fast gar keinen Traffic) Traffic über den Server geschoben wurden.......

Unteranderm läuft ein Service GLFTtpd.....

Habe erstmal alle Ordner die mir komisch vorkamen gelöscht!Ofennbar waren darin Dateien gepackt!!!!!
Im Download des Servers habe ich folgendes gefunden alle Dateien wurden am 25.11. erstellt:
eggdrop 1.6.16
gltftpd 1.32 LNX
project zs
pure ftpd 1.0.18
tcl 8.3.4

Unteranderm habe ich im Verzeichniss Home/glftpd gefunden habe diese datei einfach mal umbenannt und im glftpd habe ich ein datei passwd gekillt!

Traffic ist lt. Monitoring nichtmehr vorhanden!

Erhalte jetzt aber folgende Meldung vom Server als Email (Cron Daemon)!

/bin/sh: line 1: /glftpd/bin/reset: No such file or directory

Was kann ich tun um den Server wieder von dem Krempel zu befreien ????
Bin absolut kein Linux Experte und würde mich über Hilfe sehr freuen!!!!!

Server Passwort usw. habe ich geändert....damit niemand mehr zugang zum Root hat!

Bedanke mich im vorraus für eure Hilfe bin echt ratlos zumal weiss ich auch nicht ob der Server so noch richtig funktioniert oder ob irgendwas gestört ist????

Gruss Lucky
 
Hallo Lucky,
auch wenn du dein root Passwort geändert hast, ist es doch sehr wahrscheinlich, das es noch etliche neuangelegte Benutzer geben wird. Ich würde also dringend zu einer Neuinstallation raten.
Wie wir deinen Server dann 'Wasserdicht' bekommen folgt dann später.

mfG
Thorsten
 
Hi!

Hallo,
habe heute mal mit der Technik gesprochen......die den Server managed!
Die hatten wohl ein bischen damit zu tun und haben 2 Backdoors gefunden die nun eliminiert wurden!!!!!
Werde jetzt mal alles beobachten.....und schaun was passiert!!!!
Im Zweifelsfall werde ich ne Neuinstallation machen!

Danke für den Tip!
Gruss Olaf
 
noch ein Tip:
check doch mal die /etc/passwd.../etc/shadow und schau, ob es da auffällige User drinnen gibt.
Man kann ja nie wissen!
Denmächst: nicht fleißig löschen, bevor du nicht weißt, was es war. Beweise zu vernichten macht meist nicht all zu viel Sinn ;)
 
Die Beweise....

Hi,
was Beweisvernichtung betrifft da ist mir später auch eingefallen.....da wars aber schon gelöscht!Problem ist leider nur solchen Leuten die sich sowas einfacllen lassen, kann man wahrscheinlich sowieso nicht ans Leder!
Passwd Dateien sind gecheckt und alles auffällig wurde gekillt!!!!(Habe vorsichtshalber nochmal geprüft!
Dennoch befürchte ich das der Server in nächster Zeit ne neue Hack-Attacke bekommt?!
Könnte echt noch nen guten Tip gebrauchen wie ich das System sicher mache(aber nicht Server abschalten) ohne ihn aber in der Funktion einzuschränken?
 
Eventl. von deinem Hoster erstmal ne neue IP geben lassen...
Firewall auf IPTable Ebene einrichten...
Gegenfalls Syslogger Installieren die dich per eMail kontaktieren und eventl. chkrootkit installieren
 
Und den Root-Login verbieten.
Weiteres hier:

Root Zugang SSH Sperren und neuen User mit erweiterten Rechten anlegen.

Root Zugang SSH Sperren und neuen User mit erweiterten Rechten anlegen. Hallo, ich würde gerne, wird immer wieder hier im Forum drauf hingewiesen, den Root Zugang per SSH Sperren und dafür einen anderen User anlegen. Wie kann ich das am schnellsten und sichersten bewerksteligen ohne...
serversupportforum.de serversupportforum.de
 
Hi

Heute mal wieder ungwöhnliche Vorkommnisse....
var/log/secure war mit 4 GB überfüllt und es wurde der POP3 Ausgang blockiert :confused:
Mittlerweile ist mein Root Passwort aus Gross/Kleinschreibung und besteht aus 26 Zeichen und Zahlen....kann es mir selbst kaum merken!
Werde vorraussichtlich den Server für einige Tage vom Netz trennen um Hackern den Spass zu verderben!
 
Hallo!
Ich empfehle dringend den Server neu installieren zu lassen. Du weiss nicht, was bereits alles geändert wurde und welche Zugriffsmöglichkeiten neu geschaffen wurden.

mfG
Thorsten
 
Mittlerweile ist mein Root Passwort aus Gross/Kleinschreibung und besteht aus 26 Zeichen und Zahlen....kann es mir selbst kaum merken!
Click to expand...
Wie Thorsten schon sagte: Das nutzt jetzt wohl schon nix mehr, weil andere Zugangsmöglichkeiten geschaffen wurden. Lass das Ding schnell "plattmachen" (neu aufsetzen), und dann versuche, so viele "Sicherheitstips" wie möglich zu beachten...

Äh, naja, aber das wurde ja alles schon hier gesagt... :cool:
 
You must log in or register to reply here.
Back
Top