[S4Y] Server 2. mal gehackt und 0 Hilfe

E

Exportforce

New Member
Erst einmal Hallo,

auf Grund meiner Wut versuche ich mich kurz zu halten.
Ich bin seit fast 2 Jahren unglücklicher Kunde bei Server4you und hatte da schon öfter Probleme. Nun habe ich immer öfter gelesen, dass das Sicherheitssystem von denen wohl unter aller sau sei und selbst ein Scriptkiddie mit ein paar kleinen Handgriffen Zugriff bekommen kann. Gut und schön, wollte ich nicht glauben, da ich mitbekommen hab, dass ich nicht der einzige bin, der mit denen arge Probleme hat.

Vorweg, meine Software:
Debian 3.1
MySQL 4.1.11
PHP 5.1


Nun wurde ich vor kurzem gehackt und habe fast 2 Wochen betteln müssen um überhaupt etwas Hilfe zu bekommen, die mir dann EIN Mitarbeiter gegeben hat. Nun wurde ich nachdem ich alles neu aufsetzen durfte und plötzlich in meinem Installationspaket vollkommen neue Software drin war, was ich ohne Ankündigung oder Hinweise schon eine krankhafte Frechheit fand, musste ich wieder betteln gehen um überhaupt erstmal meinen Apache+Confixx zum laufen zu bringen.

Nun nicht mal 2 Wochen später, Server WIEDER gehackt. Nun kann ich keine Befehle wie z. B. l/ls nutzen und auch Programme wie Teamspeak starten nicht mehr und von S4Y wird mir nur gesagt, ich solle doch "einfach" meinen Server neuinstallieren.

Ich frage um Hilfe, da ja neue Software benutzt wird und bekomme nur die Sätze, dass das alles Geld kostet und ich für meine Serversicherheit selbst verantwortlich sei, wobei ich der festen Meinung bin, dass es eher an deren Hardwaresicherheit liegt und nicht an meinen Scripts.

Nun sitze ich mal wieder vor einem fast toten Server4you Server.

Weiss jemand woran das mit den ls etc. liegen kann?
Ich sollte diese coreutils neuinstallieren, was ich mit einer Befehlszeile vom Supportticket gemacht habe und nachträglich wurde mir jetzt gesagt "es läge an den Coreutils", wo ich mich frage wie das sein kann, wenn ich diese gerade neu installiert habe...

Ich bin stinksauer, wegen diesem Verein extrem pleite und weiss nicht weiter...

Ich habe auch schon ein Server in den USA nur leider haben die eine ganz andere Serverstruktur und irgendson WHM+cPanel mit dem man mal garnicht klarkommt, wie ich finde...

Für jede Hilfe bin ich sehr dankbar.

edit: Jetzt werd ich noch saurer....
Da schreiben die mir doch echt grade folgendes:

**NAME ZENSIERT**
2007-12-11 12:53 Sehr geehrter Kunde,

es ist korrekt, dass wir keine Hardware-Sicherheit bieten. Sollten Sie eine Hardware Firewall wünschen wenden Sie sich bitte an unsere Schwesterfirma plusserver.de – Start. Dort können wir Ihnen eine entsprechende Lösung zur Verfügung stellen.

Ich möchte Sie darauf hinweisen ,dass Sie Ihren Server schnellst möglich neu installieren sollten. Bei einer Beschwerden über Ihren Server, wird Ihr System wieder kostenpflichtig gesperrt.

Mit freundlichen Grüßen
**NAME ZENSIERT**

BSB Service GmbH
Daimlerstr. 9-11
D-50354 Hürth

Tel.: +49 (180) 3901060
Fax: +49 (22 33) 612-150
Internet: www.server4you.de

Geschäftsführer: Jochen Berger, Thomas Strohe

Gerichtsstand: HRB Köln 42945
Umsatzsteuer-ID: DE216740823
Click to expand...
 
Last edited by a moderator:
Ich fasse mich auch kurz... Es liegt nicht an S4Y, sondern an Dir und den von Dir installierten / genutzten Scripts. Ferner hat der Support auch Recht, wenn er sagt, dass Du allein dafür verantwortlich bist.

Wir könnten aber in sofern helfen, wenn Du uns aussagekräftige Logfiles und Consolenausgaben zur Verfügung stellst. Für Dein Wissen in puncto Serveradministration bist du indes vollkommen selber zuständig.

Grüße,
marneus

Edit bzgl. Deines Edits:
Das ist auch so korrekt. Eine Firewall ist in diesem Zusammenhang übrigens vollkommen unwichtig und nicht zielführend. Bei Dir liegt ein Missverständnis / Unkenntniss vor, was Serversicherheit anbelangt. Strato, 1&1 etc. bieten auch keine Hardwarefirewall bei den 0815 Produkten.
 
Nur lustig, dass die gleichen Scripts nur mit anderen Designs und URL's als andere Projekte auf einem anderen Server mit Hardwaresicherheit perfekt laufen und das OHNE solche Probleme. Alles 1:1 gleiche Softwarekonfiguration.

Was für ausgaben bruachst du/ihr?
 
Das liegt dann daran, dass Dich die Scriptkiddies dort noch nicht erreicht haben. Du verfolgst hier irgendeine Pseudosicherheitsstrategie!

Na, wie wäre es mit den lfd. Prozessen auf dem Rechner, evtl. Angaben vom S4Y Support weshalb Dein Server gesperrt wurde (DDoS, Spam etc.pp.) usw.usf.
 
Exportforce said:
auf Grund meiner Wut versuche ich mich kurz zu halten.
Click to expand...
Ein wenig ungerechtfertigt.

Exportforce said:
Nun habe ich immer öfter gelesen, dass das Sicherheitssystem von denen wohl unter aller sau sei und selbst ein Scriptkiddie mit ein paar kleinen Handgriffen Zugriff bekommen kann.
Click to expand...
Von denen? Natürlich sollte eine Hoster gewisse Sicherheitsmechanismen gegen DDOS Angriffe, etc. haben. Aber wenn sich ein Scriptkiddie Zugriff auf einen Server verschafft, dann hat dies der Admin und nicht der Hoster zu verantworten. Wieder einmal muss mit dem Ammenmärchen, dass der Hoster für die Sicherheit eines non-managed-Servers verantwortlich ist, aufgeräumt werden.

Exportforce said:
Vorweg, meine Software:
Debian 3.1
MySQL 4.1.11
PHP 5.1
Click to expand...
Ginge aktueller ;-) Wobei hier leider bei S4Y recht veraltete Distributionen angeboten werden (Suse 9.3) etc... Allerdings hättest du mittels alternativer Quellen und Pakete auch ein Debian Sarge aktuell halten können. Ich weiß ja nicht, wie der Einbruch möglich war.

Exportforce said:
Nun wurde ich vor kurzem gehackt und habe fast 2 Wochen betteln müssen um überhaupt etwas Hilfe zu bekommen, die mir dann EIN Mitarbeiter gegeben hat.
Click to expand...
Wenn es nichts gekostet hat, dann ist das von S4Y wirklich äußerst kulant.

Exportforce said:
Nun wurde ich nachdem ich alles neu aufsetzen durfte und plötzlich in meinem Installationspaket vollkommen neue Software drin war, was ich ohne Ankündigung oder Hinweise schon eine krankhafte Frechheit fand, musste ich wieder betteln gehen um überhaupt erstmal meinen Apache+Confixx zum laufen zu bringen.
Click to expand...
Nur der Admin des Servers ist dafür verantwortlich, dass die Software läuft! Und davon abgesehen solltest du neuer Software gegenüber nicht so abgeneigt sein - meist werden mit Updates Sicherheitslücken gestopft ;-)

Exportforce said:
Nun nicht mal 2 Wochen später, Server WIEDER gehackt.
Click to expand...
Da hat wohl jemand nicht daraus gelernt.


Exportforce said:
Nun kann ich keine Befehle wie z. B. l/ls nutzen und auch Programme wie Teamspeak starten nicht mehr und von S4Y wird mir nur gesagt, ich solle doch "einfach" meinen Server neuinstallieren.
Click to expand...
Um Gottes Willen - ja das solltest du! Nehme bitte schleunigst deren Empfehlung wahr zur weiteren Schadensbegrenzung!
 
Mein Server wurde, wie auch, wie ich inzwischen mehrfach woanders gelesen habe, bei anderen, wegen irgendwelchen ddos-attacken die vom Apache ausgingen. Wo mir der Server gesperrt wurde anstatt der Apache beendet wurde und ich informiert wurde.

Aktuell laufende Prozesse:
Code: 
alpha591:~# ps aux
USER       PID %CPU %MEM   VSZ  RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0  1584  516 ?        S    Dec09   0:00 init [2]
root         2  0.0  0.0     0    0 ?        S    Dec09   0:00 [migration/0]
root         3  0.0  0.0     0    0 ?        SN   Dec09   0:00 [ksoftirqd/0]
root         4  0.0  0.0     0    0 ?        S    Dec09   0:00 [watchdog/0]
root         5  0.0  0.0     0    0 ?        S<   Dec09   0:03 [events/0]
root         6  0.0  0.0     0    0 ?        S<   Dec09   0:00 [khelper]
root         7  0.0  0.0     0    0 ?        S<   Dec09   0:00 [kthread]
root        24  0.0  0.0     0    0 ?        S<   Dec09   0:00 [kblockd/0]
root        70  0.0  0.0     0    0 ?        S    Dec09   0:00 [pdflush]
root        71  0.0  0.0     0    0 ?        S    Dec09   0:00 [pdflush]
root        73  0.0  0.0     0    0 ?        S<   Dec09   0:00 [aio/0]
root        72  0.0  0.0     0    0 ?        S    Dec09   0:00 [kswapd0]
root       665  0.0  0.0     0    0 ?        S<   Dec09   0:00 [kseriod]
root       727  0.0  0.0     0    0 ?        S<   Dec09   0:00 [ata/0]
root       732  0.0  0.0     0    0 ?        S<   Dec09   0:00 [scsi_eh_0]
root       733  0.0  0.0     0    0 ?        S<   Dec09   0:00 [scsi_eh_1]
root       782  0.0  0.0     0    0 ?        S    Dec09   0:08 [kjournald]
root      1124  0.0  0.0     0    0 ?        S    Dec09   0:00 [kjournald]
root      1620  0.0  0.0     0    0 ?        S<   Dec09   0:00 [khubd]
root      2525  0.0  0.0  1632  540 ?        Ss   Dec09   0:02 /sbin/syslogd
root      2528  0.0  0.0  2412 1280 ?        Ss   Dec09   0:00 /sbin/klogd
bind      2536  0.0  0.0 29660 2600 ?        Ss   Dec09   0:00 /usr/sbin/named -u bind
root      2543  0.0  0.7 24408 21944 ?       Ss   Dec09   0:00 /usr/sbin/spamd --sql-config --nouser-config --local --daemonize --max-children=5 -d --pidfile
root      2551  0.0  0.6 24408 20544 ?       S    Dec09   0:00 spamd child
root      2552  0.0  0.6 24408 20444 ?       S    Dec09   0:00 spamd child
root      2553  0.0  0.6 24408 20444 ?       S    Dec09   0:00 spamd child
root      2554  0.0  0.6 24408 20444 ?       S    Dec09   0:00 spamd child
root      2555  0.0  0.6 24408 20444 ?       S    Dec09   0:00 spamd child
clamav    2556  0.0  1.3 53032 41956 ?       Ss   Dec09   0:42 /usr/sbin/clamd
clamav    2597  0.0  0.0  4180 1224 ?        Ss   Dec09   0:00 /usr/bin/freshclam -d --quiet -p /var/run/clamav/freshclam.pid
root      2602  0.0  0.0  1752  384 ?        S    Dec09   0:00 /usr/sbin/courierlogger -pid=/var/run/courier/authdaemon/pid -start /usr/lib/courier/authlib/a
root      2603  0.0  0.0  1872  512 ?        S    Dec09   0:00 /usr/lib/courier/authlib/authdaemond.plain
root      2609  0.0  0.0  1852  488 ?        S    Dec09   0:00 /usr/sbin/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogger -maxprocs=40 -maxperip=
root      2610  0.0  0.0  2060  564 ?        S    Dec09   0:00 /usr/lib/courier/authlib/authdaemond.plain
root      2611  0.0  0.0  2060  564 ?        S    Dec09   0:00 /usr/lib/courier/authlib/authdaemond.plain
root      2612  0.0  0.0  2060  564 ?        S    Dec09   0:00 /usr/lib/courier/authlib/authdaemond.plain
root      2613  0.0  0.0  2060  564 ?        S    Dec09   0:00 /usr/lib/courier/authlib/authdaemond.plain
root      2614  0.0  0.0  2060  564 ?        S    Dec09   0:00 /usr/lib/courier/authlib/authdaemond.plain
root      2616  0.0  0.0  1756  472 ?        S    Dec09   0:00 /usr/sbin/courierlogger imaplogin
root      2627  0.0  0.0  1852  484 ?        S    Dec09   0:00 /usr/sbin/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogger -stderrloggername=imapd
root      2629  0.0  0.0  1752  468 ?        S    Dec09   0:00 /usr/sbin/courierlogger imapd-ssl
root      2635  0.0  0.0  1852  484 ?        S    Dec09   0:00 /usr/sbin/couriertcpd -pid=/var/run/courier/pop3d.pid -stderrlogger=/usr/sbin/courierlogger -m
root      2647  0.0  0.0  1852  484 ?        S    Dec09   0:00 /usr/sbin/couriertcpd -pid=/var/run/courier/pop3d-ssl.pid -stderrlogger=/usr/sbin/courierlogge
root      2650  0.0  0.0  1752  468 ?        S    Dec09   0:00 /usr/sbin/courierlogger courierpop3login
root      2651  0.0  0.0  1752  472 ?        S    Dec09   0:00 /usr/sbin/courierlogger pop3d-ssl
Debian-   2712  0.0  0.0  8492 1292 ?        Ss   Dec09   0:00 /usr/sbin/exim4 -bd -q30m
root      2720  0.0  0.0  1580  344 ?        Ss   Dec09   0:00 /usr/sbin/inetd
root      2757  0.0  0.0  2576 1236 ?        S    Dec09   0:00 /bin/sh /usr/bin/mysqld_safe
mysql     2802  0.0  1.6 122672 49368 ?      S    Dec09   2:51 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/run/mysq
root      2803  0.0  0.0  1568  504 ?        S    Dec09   0:00 logger -p daemon.err -t mysqld_safe -i -t mysqld
root      2998  0.0  0.0  3548  904 ?        Ss   Dec09   0:02 /usr/sbin/sshd
nobody    3016  0.0  0.0  4124 1132 ?        Ss   Dec09   0:00 proftpd: (accepting connections)
daemon    3024  0.0  0.0  1764  364 ?        Ss   Dec09   0:00 /usr/sbin/atd
root      3031  0.0  0.0  1824  744 ?        Ss   Dec09   0:00 /usr/sbin/cron
root      3292  0.0  0.0  1584  492 tty1     Ss+  Dec09   0:00 /sbin/getty 38400 tty1
root      3293  0.0  0.0  1584  492 tty2     Ss+  Dec09   0:00 /sbin/getty 38400 tty2
root      3294  0.0  0.0  1584  492 tty3     Ss+  Dec09   0:00 /sbin/getty 38400 tty3
root      3295  0.0  0.0  1580  488 tty4     Ss+  Dec09   0:00 /sbin/getty 38400 tty4
root      3296  0.0  0.0  1584  492 tty5     Ss+  Dec09   0:00 /sbin/getty 38400 tty5
root      3297  0.0  0.0  1584  488 tty6     Ss+  Dec09   0:00 /sbin/getty 38400 tty6
root     16913  0.0  0.0  2112  740 ?        S    Dec09   0:00 /USR/SBIN/CRON
root     16914  0.0  0.0     0    0 ?        Zs   Dec09   0:00 [confixx_counter] <defunct>
root     17226  0.0  0.0  1464   60 ?        S    Dec09   0:05 rm /usr/local/confixx/run/confixx_httpdtraffik.pid
root     31170  0.0  0.2 19660 7576 ?        Ss   Dec09   0:00 /usr/sbin/apache2 -k start -DSSL
root     31171  0.0  0.0  3116 1380 ?        S    Dec09   0:10 /usr/bin/perl /usr/local/confixx/pipelog.pl
www-data 18358  0.9  0.6 32060 20140 ?       S    12:11   0:38 /usr/sbin/apache2 -k start -DSSL
www-data 20030  0.2  0.9 42448 30552 ?       S    12:38   0:05 /usr/sbin/apache2 -k start -DSSL
www-data 21335  0.4  0.9 41496 29268 ?       S    12:53   0:06 /usr/sbin/apache2 -k start -DSSL
www-data 21342  1.0  0.9 40568 27876 ?       S    12:53   0:17 /usr/sbin/apache2 -k start -DSSL
www-data 21345  0.2  0.9 42436 30104 ?       S    12:53   0:03 /usr/sbin/apache2 -k start -DSSL
www-data 21346  0.1  0.9 40716 28416 ?       S    12:53   0:02 /usr/sbin/apache2 -k start -DSSL
www-data 21347  0.1  0.9 41236 28900 ?       S    12:53   0:02 /usr/sbin/apache2 -k start -DSSL
www-data 21351  0.1  0.9 41044 28640 ?       S    12:53   0:02 /usr/sbin/apache2 -k start -DSSL
www-data 21897  0.2  0.9 41472 29064 ?       S    13:08   0:01 /usr/sbin/apache2 -k start -DSSL
www-data 22115  2.3  0.9 40504 28280 ?       S    13:16   0:05 /usr/sbin/apache2 -k start -DSSL
www-data 23248  0.8  0.9 40968 28480 ?       S    13:18   0:01 /usr/sbin/apache2 -k start -DSSL
root     23311  0.0  0.0 14520 1808 ?        Rs   13:20   0:00 sshd: root@pts/0
root     23316  0.0  0.0  4196 1668 pts/0    Ss   13:20   0:00 -bash
root     23324  0.0  0.0  2564  848 pts/0    R+   13:20   0:00 ps aux
root     23325  0.0  0.3 21832 10496 pts/0   R+   13:20   0:00 ps aux
 
Last edited by a moderator:
Natürlich sperren die den ganzen Server. Meinst Du, die kümmern sich noch individuell um Dein System?!

Nutzt Du absichtlich inetd und nicht xinetd? Ich kann auf anhieb keinen Prozess finden, der das Problem verursacht. ps kann aber auch durch eine vom Skriptkiddie veränderte Version ersetzt worden sein oder oder oder.

Interessant wäre, wie die Schadsoftware auf Deinen Server kam. Ich schätze über ein schlecht programmiertes PHP/Perl-Skript. Durchforste mal die access_logs nach Auffälligkeiten.
 
Exportforce said:
Wo mir der Server gesperrt wurde anstatt der Apache beendet wurde und ich informiert wurde
Click to expand...
<- Was mir aber auch lieber ist als wenn ein Servicetechniker an meinem Server umbastelt. So kann ich im Rescue selbst schauen was los ist.

Ausserdem ist dies ein Standardverhalten aller Anbieter!

lg
Basti
 
Meine privaten Scripts, programmiere ich extrem secure. Da war noch nie was, weder bei mir, noch bei Kunden, denen ich etwas gescripted habe.
Ansonsten nutze ich eigentlich nur das VB.

Ich nutze was die Apachesachen angeht, dass was mir von Server4You von deren Installationspaketen gesetzt wurde. Ich ändere daran nichts, weil es sonst heisst "Das hätten sie halt nicht ändern dürfen".
Was die Sperre angeht, hat dass damit nichts zu tun, einfach den Apache runterfahren hätte das Problem gelöst, was ich im Nachhinein herausgefunden habe. Man hätte diesen lediglich neuinstallieren müssen, dass hätte mir einen haufen Geld gespart und S4Y eine Menge arbeit mit mir. Aber na ja, das liegt nun hinten und ich möchte es schaffen, diesmal ohne neuinstallation, da ich diese nicht lebendig schaffen würde, da ich dank S4Y und dem Absturz pleite bin.

Nach was soll ich in den Access_Logs suchen?
Ich wurde in den ganzen 8-10 Jahren jetzt nie gehackt oder sonst etwas.
 
Last edited by a moderator:
Du merkst schon das ein kleines, nicht zu verkennendes Loch zwischen Realität und Wunschdenken herrscht, oder? Ob Du nun in 10 Jahren gehackt wurdest oder nicht, ist vollkommen unerheblich. Fakt ist, nun war es soweit.

Wie sicher Deine Skripte sind, mag und will hier niemand von uns beurteilen. Deswegen sind wir ja auf der Suche nach dem Einstiegsloch für den "Hacker". Die access_logs könnte man z.B. nach dubiosen Inhalten von GET und POST Variablen. Wichtiger wäre übrigens, bevor man damit anfängt, zu wissen, welcher Prozess den DDoS ausgeführt hat. Von da kommen wir gleich viel weiter.

Hast Du regelmäßig die installierten Pakete geupdated?
 
MOD: BITTE Fullquotes unterlassen!

Jetzt fang bitte nicht an mir irgendwas mit Wunschdenken einzureden, ich bitte dich. Ich bin schon stinksauer dass es wieder mal soweit ist und muss mich zusammenreissen und das nach nicht mal 2 Wochen und ich möchte jetzt nur rausfinden, wie ich dagegen ankommen kann.

Wenn du "apt-get update" meinst, ja.

edit: Geht aber nicht mehr, da gzip im Eimer ist.
 
Last edited by a moderator:
Du brauchst mich nicht bitten - ich fasse nur nüchtern die Sachlage zusammen, was Dir - aus von Dir o.g. Gründen nicht gelingt.

Hat S4Y Dir evtl. geschrieben welcher Prozess den DDoS ausgeführt hat? Hast du mal ein rootkit Check durchgeführt?
 
marneus said:
Hat S4Y Dir evtl. geschrieben welcher Prozess den DDoS ausgeführt hat? Hast du mal ein rootkit Check durchgeführt?
Click to expand...
Habe das RKHunter ausgeführt, wie es der Support wollte und habe dann als Antwort bekommen, dass es ja eh nicht viel findet und nicht so wichtig ist... (das ist auch nüchterne Sachlage, die mir zeigt wir sinnvoll die Tipps von denen sein müssen. Ich kann nicht einem User sagen, er soll sich was installieren und danach sagen "Bringt eh nix".)

KRHunter.log said:
[01:27:15] Running Rootkit Hunter version 1.3.0 on alpha591
[01:27:15]
[01:27:15] Info: Start date is Son Dez 9 01:27:15 CET 2007
[01:27:15]
[01:27:15] Checking configuration file and command-line options...
[01:27:15] Info: Detected operating system is 'Linux'
[01:27:15] Info: Uname output is 'Linux alpha591.server4you.de 2.6.14-2-k7-smp #1 SMP Tue Nov 15 00:28:07 CET 2005 i686 GNU/Linux'
[01:27:15] Info: Command line is /usr/bin/rkhunter -c
[01:27:15] Info: Environment shell is /bin/bash; rkhunter is using bash
[01:27:15] Info: Using configuration file '/etc/rkhunter.conf'
[01:27:15] Info: Installation directory is '/usr'
[01:27:15] Info: Using language 'en'
[01:27:15] Info: Using '/var/lib/rkhunter/db' as the database directory
[01:27:15] Info: Using '/usr/lib/rkhunter/scripts' as the support script directory
[01:27:15] Info: Using '/usr/local/sbin /usr/local/bin /usr/sbin /usr/bin /sbin /bin /usr/bin/X11 /bin /usr/bin /sbin /usr/sbin /usr/local/bin /usr/local/sbin /usr/libexec /usr/local/libexec' as the command directories
[01:27:15] Info: Using '/' as the root directory
[01:27:15] Info: Using '/var/lib/rkhunter/tmp' as the temporary directory
[01:27:15] Info: No mail-on-warning address configured
[01:27:15] Info: X will automatically be detected
[01:27:15] Info: Found the 'diff' command: /usr/bin/diff
[01:27:15] Info: Found the 'file' command: /usr/bin/file
[01:27:15] Info: Found the 'find' command: /usr/bin/find
[01:27:15] Info: Found the 'ifconfig' command: /sbin/ifconfig
[01:27:15] Info: Unable to find the 'ip' command
[01:27:15] Info: Found the 'ldd' command: /usr/bin/ldd
[01:27:15] Info: Found the 'lsattr' command: /usr/bin/lsattr
[01:27:15] Info: Found the 'lsmod' command: /sbin/lsmod
[01:27:15] Info: Unable to find the 'lsof' command
[01:27:15] Info: Found the 'mktemp' command: /bin/mktemp
[01:27:15] Info: Found the 'netstat' command: /bin/netstat
[01:27:16] Info: Found the 'perl' command: /usr/local/bin/perl
[01:27:16] Info: Found the 'ps' command: /bin/ps
[01:27:16] Info: Found the 'pwd' command: /bin/pwd
[01:27:16] Info: Found the 'readlink' command: /bin/readlink
[01:27:16] Info: Found the 'sort' command: /usr/bin/sort
[01:27:16] Info: Found the 'stat' command: /usr/bin/stat
[01:27:16] Info: Found the 'strings' command: /usr/bin/strings
[01:27:16] Info: Found the 'uniq' command: /usr/bin/uniq
[01:27:16] Info: System is not using prelinking
[01:27:16] Info: Using the '/usr/bin/sha1sum' command for the file hash checks
[01:27:16] Info: The hash function field index is set to 1
[01:27:16] Info: No package manager specified: using hash function '/usr/bin/sha1sum'
[01:27:16] Info: Previous file attributes were stored
[01:27:16] Info: Enabled tests are: all
[01:27:16] Info: Disabled tests are: suspscan hidden_procs deleted_files packet_cap_apps
[01:27:16] Info: Found ksym file '/proc/kallsyms'
[01:27:16]
[01:27:16] Starting system checks...
[01:27:16]
[01:27:16] Checking system commands...
[01:27:16] Info: Starting test name 'system_commands'
[01:27:16]
[01:27:16] Performing 'strings' command checks
[01:27:16] Info: Starting test name 'strings'
[01:27:16] Scanning for string /usr/sbin/ntpsx [ OK ]
[01:27:16] Scanning for string /usr/lib/.../ls [ OK ]
[01:27:16] Scanning for string /usr/lib/.../netstat [ OK ]
[01:27:16] Scanning for string /usr/lib/.../lsof [ OK ]
[01:27:17] Scanning for string /usr/lib/.../bkit-ssh/bkit-shdcfg [ OK ]
[01:27:17] Scanning for string /usr/lib/.../bkit-ssh/bkit-shhk [ OK ]
[01:27:17] Scanning for string /usr/lib/.../bkit-ssh/bkit-pw [ OK ]
[01:27:17] Scanning for string /usr/lib/.../bkit-ssh/bkit-shrs [ OK ]
[01:27:17] Scanning for string /usr/lib/.../uconf.inv [ OK ]
[01:27:17] Scanning for string /usr/lib/.../psr [ OK ]
[01:27:17] Scanning for string /usr/lib/.../find [ OK ]
[01:27:17] Scanning for string /usr/lib/.../pstree [ OK ]
[01:27:17] Scanning for string /usr/lib/.../slocate [ OK ]
[01:27:17] Scanning for string /usr/lib/.../du [ OK ]
[01:27:17] Scanning for string /usr/lib/.../top [ OK ]
[01:27:17] Scanning for string /usr/lib/... [ OK ]
[01:27:17] Scanning for string /usr/lib/.../bkit-ssh [ OK ]
[01:27:17] Scanning for string /usr/lib/.bkit- [ OK ]
[01:27:17] Scanning for string /tmp/.bkp [ OK ]
[01:27:17] Scanning for string /tmp/.cinik [ OK ]
[01:27:17] Scanning for string /tmp/.font-unix/.cinik [ OK ]
[01:27:17] Scanning for string /lib/.sso [ OK ]
[01:27:17] Scanning for string /lib/.so [ OK ]
[01:27:18] Scanning for string /var/run/...dica/clean [ OK ]
[01:27:18] Scanning for string /var/run/...dica/xl [ OK ]
[01:27:18] Scanning for string /var/run/...dica/xdr [ OK ]
[01:27:18] Scanning for string /var/run/...dica/psg [ OK ]
[01:27:18] Scanning for string /var/run/...dica/secure [ OK ]
[01:27:18] Scanning for string /var/run/...dica/rdx [ OK ]
[01:27:18] Scanning for string /var/run/...dica/va [ OK ]
[01:27:18] Scanning for string /var/run/...dica/cl.sh [ OK ]
[01:27:18] Scanning for string /usr/bin/.etc [ OK ]
[01:27:18] Scanning for string /usr/lib/.fx/sched_host.2 [ OK ]
[01:27:18] Scanning for string /usr/lib/.fx/random_d.2 [ OK ]
[01:27:18] Scanning for string /usr/lib/.fx/set_pid.2 [ OK ]
[01:27:18] Scanning for string /usr/lib/.fx/cons.saver [ OK ]
[01:27:18] Scanning for string /usr/lib/.fx/adore/adore/adore.ko [ OK ]
[01:27:18] Scanning for string /bin/sysback [ OK ]
[01:27:18] Scanning for string /usr/local/bin/sysback [ OK ]
[01:27:18] Scanning for string /usr/lib/.tbd [ OK ]
[01:27:18] Scanning for string /dev/.lib/lib/lib/t0rns [ OK ]
[01:27:19] Scanning for string /dev/.lib/lib/lib/du [ OK ]
[01:27:19] Scanning for string /dev/.lib/lib/lib/ls [ OK ]
[01:27:19] Scanning for string /dev/.lib/lib/lib/t0rnsb [ OK ]
[01:27:19] Scanning for string /dev/.lib/lib/lib/ps [ OK ]
[01:27:19] Scanning for string /dev/.lib/lib/lib/t0rnp [ OK ]
[01:27:19] Scanning for string /dev/.lib/lib/lib/find [ OK ]
[01:27:19] Scanning for string /dev/.lib/lib/lib/ifconfig [ OK ]
[01:27:19] Scanning for string /dev/.lib/lib/lib/pg [ OK ]
[01:27:19] Scanning for string /dev/.lib/lib/lib/ssh.tgz [ OK ]
[01:27:19] Scanning for string /dev/.lib/lib/lib/top [ OK ]
[01:27:19] Scanning for string /dev/.lib/lib/lib/sz [ OK ]
[01:27:19] Scanning for string /dev/.lib/lib/lib/login [ OK ]
[01:27:19] Scanning for string /dev/.lib/lib/lib/in.fingerd [ OK ]
[01:27:19] Scanning for string /dev/.lib/lib/lib/1i0n.sh [ OK ]
[01:27:19] Scanning for string /dev/.lib/lib/lib/pstree [ OK ]
[01:27:19] Scanning for string /dev/.lib/lib/lib/in.telnetd [ OK ]
[01:27:19] Scanning for string /dev/.lib/lib/lib/mjy [ OK ]
[01:27:19] Scanning for string /dev/.lib/lib/lib/sush [ OK ]
[01:27:19] Scanning for string /dev/.lib/lib/lib/tfn [ OK ]
[01:27:20] Scanning for string /dev/.lib/lib/lib/name [ OK ]
[01:27:20] Scanning for string /dev/.lib/lib/lib/getip.sh [ OK ]
[01:27:20] Scanning for string /usr/info/.torn/sh* [ OK ]
[01:27:20] Scanning for string /usr/src/.puta/.1addr [ OK ]
[01:27:20] Scanning for string /usr/src/.puta/.1file [ OK ]
[01:27:20] Scanning for string /usr/src/.puta/.1proc [ OK ]
[01:27:20] Scanning for string /usr/src/.puta/.1logz [ OK ]
[01:27:20] Scanning for string /usr/info/.t0rn [ OK ]
[01:27:20] Scanning for string /dev/.lib [ OK ]
[01:27:20] Scanning for string /dev/.lib/lib [ OK ]
[01:27:20] Scanning for string /dev/.lib/lib/lib [ OK ]
[01:27:20] Scanning for string /dev/.lib/lib/lib/dev [ OK ]
[01:27:20] Scanning for string /dev/.lib/lib/scan [ OK ]
[01:27:20] Scanning for string /usr/src/.puta [ OK ]
[01:27:20] Scanning for string /usr/man/man1/man1 [ OK ]
[01:27:20] Scanning for string /usr/man/man1/man1/lib [ OK ]
[01:27:20] Scanning for string /usr/man/man1/man1/lib/.lib [ OK ]
[01:27:20] Scanning for string /usr/man/man1/man1/lib/.lib/.backup [ OK ]
[01:27:21]
[01:27:21] Performing 'shared libraries' checks
[01:27:21] Info: Starting test name 'shared_libs'
[01:27:21] Checking for preloading variables [ None found ]
[01:27:21] Checking for preload file [ Not found ]
[01:27:21] Info: Starting test name 'shared_libs_path'
[01:27:21] Checking LD_LIBRARY_PATH variable [ Not found ]
[01:27:21]
[01:27:21] Performing file properties checks
[01:27:21] Info: Starting test name 'properties'
[01:27:21] Warning: Checking for prerequisites [ Warning ]
[01:27:21] The file of stored file properties (rkhunter.dat) does not exist, and so must be created. To do this type in 'rkhunter --propupd'.
[01:27:21]
[01:27:21] Warning: WARNING! It is the users responsibility to ensure that when the '--propupd' option
is used, all the files on their system are known to be genuine, and installed from a
reliable source. The rkhunter '--check' option will compare the current file properties
against previously stored values, and report if any values differ. However, rkhunter
cannot determine what has caused the change, that is for the user to do.
[01:27:21] /bin/bash [ OK ]
[01:27:21] /bin/cat [ OK ]
[01:27:21] /bin/chmod [ OK ]
[01:27:21] /bin/chown [ OK ]
[01:27:22] /bin/cp [ OK ]
[01:27:22] /bin/date [ OK ]
[01:27:22] /bin/df [ OK ]
[01:27:22] /bin/dmesg [ OK ]
[01:27:22] /bin/echo [ OK ]
[01:27:22] /bin/ed [ OK ]
[01:27:22] /bin/egrep [ Warning ]
[01:27:22] Warning: The command '/bin/egrep' has been replaced by a script: /bin/egrep: Bourne shell script text executable
[01:27:22] /bin/fgrep [ Warning ]
[01:27:22] Warning: The command '/bin/fgrep' has been replaced by a script: /bin/fgrep: Bourne shell script text executable
[01:27:22] /bin/grep [ OK ]
[01:27:22] /bin/kill [ OK ]
[01:27:22] /bin/login [ OK ]
[01:27:22] /bin/ls [ OK ]
[01:27:22] /bin/lsmod [ OK ]
[01:27:22] /bin/mktemp [ OK ]
[01:27:23] /bin/more [ OK ]
[01:27:23] /bin/mount [ OK ]
[01:27:23] /bin/mv [ OK ]
[01:27:23] /bin/netstat [ OK ]
[01:27:23] /bin/ps [ OK ]
[01:27:23] /bin/pwd [ OK ]
[01:27:23] /bin/readlink [ OK ]
[01:27:23] /bin/sed [ OK ]
[01:27:23] /bin/sh [ OK ]
[01:27:23] /bin/su [ OK ]
[01:27:23] /bin/touch [ OK ]
[01:27:23] /bin/uname [ OK ]
[01:27:23] /usr/bin/awk [ OK ]
[01:27:23] /usr/bin/basename [ OK ]
[01:27:23] /usr/bin/chattr [ OK ]
[01:27:24] /usr/bin/curl [ OK ]
[01:27:24] /usr/bin/cut [ OK ]
[01:27:24] /usr/bin/diff [ OK ]
[01:27:24] /usr/bin/dirname [ OK ]
[01:27:24] /usr/bin/dpkg [ OK ]
[01:27:24] /usr/bin/dpkg-query [ OK ]
[01:27:24] /usr/bin/du [ OK ]
[01:27:24] /usr/bin/env [ OK ]
[01:27:24] /usr/bin/file [ OK ]
[01:27:24] /usr/bin/find [ OK ]
[01:27:24] /usr/bin/GET [ OK ]
[01:27:24] /usr/bin/groups [ Warning ]
[01:27:24] Warning: The command '/usr/bin/groups' has been replaced by a script: /usr/bin/groups: Bourne shell script text executable
[01:27:24] /usr/bin/head [ OK ]
[01:27:24] /usr/bin/id [ OK ]
[01:27:25] /usr/bin/killall [ OK ]
[01:27:25] /usr/bin/last [ OK ]
[01:27:25] /usr/bin/lastlog [ OK ]
[01:27:25] /usr/bin/ldd [ Warning ]
[01:27:25] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable
[01:27:25] /usr/bin/less [ OK ]
[01:27:25] /usr/bin/locate [ OK ]
[01:27:25] /usr/bin/logger [ OK ]
[01:27:25] /usr/bin/lsattr [ OK ]
[01:27:25] /usr/bin/mail [ OK ]
[01:27:25] /usr/bin/md5sum [ OK ]
[01:27:25] /usr/bin/newgrp [ OK ]
[01:27:25] /usr/bin/passwd [ OK ]
[01:27:25] /usr/bin/perl [ OK ]
[01:27:25] /usr/bin/pstree [ OK ]
[01:27:26] /usr/bin/rkhunter [ OK ]
[01:27:26] /usr/bin/sha1sum [ OK ]
[01:27:26] /usr/bin/size [ OK ]
[01:27:26] /usr/bin/sort [ OK ]
[01:27:26] /usr/bin/stat [ OK ]
[01:27:26] /usr/bin/strings [ OK ]
[01:27:26] /usr/bin/tail [ OK ]
[01:27:26] /usr/bin/test [ OK ]
[01:27:26] /usr/bin/top [ OK ]
[01:27:26] /usr/bin/touch [ OK ]
[01:27:26] /usr/bin/tr [ OK ]
[01:27:26] /usr/bin/uniq [ OK ]
[01:27:26] /usr/bin/users [ OK ]
[01:27:26] /usr/bin/vmstat [ OK ]
[01:27:27] /usr/bin/w [ OK ]
[01:27:27] /usr/bin/watch [ OK ]
[01:27:27] /usr/bin/wc [ OK ]
[01:27:27] /usr/bin/wget [ OK ]
[01:27:27] /usr/bin/whatis [ OK ]
[01:27:27] /usr/bin/whereis [ OK ]
[01:27:27] /usr/bin/which [ Warning ]
[01:27:27] Warning: The command '/usr/bin/which' has been replaced by a script: /usr/bin/which: Bourne shell script text executable
[01:27:27] /usr/bin/who [ OK ]
[01:27:27] /usr/bin/whoami [ OK ]
[01:27:27] /usr/bin/mawk [ OK ]
[01:27:27] /usr/bin/lwp-request [ Warning ]
[01:27:27] Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: perl script text executable
[01:27:27] /usr/bin/w.procps [ OK ]
[01:27:27] /sbin/depmod [ OK ]
[01:27:27] /sbin/ifconfig [ OK ]
[01:27:28] /sbin/ifdown [ OK ]
[01:27:28] /sbin/ifup [ OK ]
[01:27:28] /sbin/init [ OK ]
[01:27:28] /sbin/insmod [ OK ]
[01:27:28] /sbin/kallsyms [ OK ]
[01:27:28] /sbin/ksyms [ OK ]
[01:27:28] /sbin/lsmod [ OK ]
[01:27:28] /sbin/modinfo [ OK ]
[01:27:28] /sbin/modprobe [ OK ]
[01:27:28] /sbin/rmmod [ OK ]
[01:27:28] /sbin/runlevel [ OK ]
[01:27:28] /sbin/sulogin [ OK ]
[01:27:28] /sbin/sysctl [ OK ]
[01:27:28] /sbin/syslogd [ OK ]
[01:27:29] /sbin/insmod.modutils [ OK ]
[01:27:29] /usr/sbin/adduser [ Warning ]
[01:27:29] Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: perl script text executable
[01:27:29] /usr/sbin/chroot [ OK ]
[01:27:29] /usr/sbin/cron [ OK ]
[01:27:29] /usr/sbin/groupadd [ OK ]
[01:27:29] /usr/sbin/groupdel [ OK ]
[01:27:29] /usr/sbin/groupmod [ OK ]
[01:27:29] /usr/sbin/grpck [ OK ]
[01:27:29] /usr/sbin/inetd [ OK ]
[01:27:29] /usr/sbin/pwck [ OK ]
[01:27:29] /usr/sbin/tcpd [ OK ]
[01:27:29] /usr/sbin/useradd [ OK ]
[01:27:29] /usr/sbin/userdel [ OK ]
[01:27:29] /usr/sbin/usermod [ OK ]
[01:27:30] /usr/sbin/vipw [ OK ]
[01:27:30] /usr/local/bin/perl [ OK ]
Click to expand...

edit: Server4you hat mir garnichts gesagt, ausser 3 Zeilen woran man erkennen soll das es ne ddosattacke sei.
Habe selbst herausgefunden, dass es der Apache war.
 
Wenn Programme wie ls, usw. nicht mehr funktionieren, hast Du ein RICHTIGES Problem; der Einbrecher hat es geschafft, richtig tief bei Deinem Server einzudringen. Du kannst dem Server nicht im geringsten mehr vertrauen!
Tut mir leid, aber um das Neuinstallieren wirst Du wohl nicht drum rum kommen! Ebenso würde ich sämtliche Passworte, die Du bisher verwendet hast, nach der Neuinstallation nicht mehr verwenden, da nicht ausgeschlossen werden kann, dass der Cracker sie inzwischen kennt.

Viele Grüße,
LinuxAdmin
 
Ja Herr Gott, dann berichte uns doch mal, wie Du zu der Erkenntnis gekommen bist und wo die Skripte liegen, die den Prozess ausgelöst haben. Der Apache selber wird gewiss keine DDoS Attacke ausführen.
 
Exportforce said:
Wenn du "apt-get update" meinst, ja.
Click to expand...

Dir ist schon klar, dass der genannte Befehl lediglich die Repositories neu einliest und erst das "apt-get upgrade" wirklich Pakete aktualisiert?

Zum ganzen Thema: warum ersparst Du Dir denn nicht den ganzen Schmarrn und nimmst einen Managed Server oder ein Webspace Paket? Damit hast Du keinen Ärger mit der Sicherheit, denn um diese kümmern sich dann Leute, die das deutlich besser als Du können. Nur weil ein Root Server monatlich "billiger" ist, heisst das nicht, dass er auch "günstiger" ist.

Auch ich bin der Ansicht, dass ein Rootserveradmin für die Sicherheit seines Servers selbst verantwortlich ist. Ich habe bei Deiner Schilderung kein wirkliches Fehlverhalten von S4Y feststellen können. Da Du also nun für Deine Serversicherheit verantwortlich bist, ist es logisch und legitim, für Probleme, die aus gehackten Servern entstehen, Geld zu verlangen. Das macht jeder andere Serverprovider genauso. Klingt in Deinem Fall herzlos, ist aber so!
 
Last edited by a moderator:
@Linux
Ich ändere meine Passwörter in regelmäßigen Abständen so oder so.
Auch nach einer Neuinstallation nutze ich immer ein neues PW.

@Marn
Ich frage mich ehrlich, warum du mich so angreifst. Und ich finde es unter aller, dass du mich hier so angehst.
Wenn es nicht der Apache war, war es halt was anderes. Ich habe schonmal gesagt dass ich von Hacken keine Ahnung habe. Wenn du auch keine Lust hast mir zu helfen, dann lass es einfach und hör auf mich wie einen 12 Jährigen zu behandeln. Kann ja wohl nicht wahr sein, dass man sich hier so nieder machen lassen muss.

Ich gehe vom Apache aus, weil dieser sich mit Ressourcen vollstopfte und es so aussah:

USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND

www-data XXXXX 10.3 13.9 40504 28280 ? S 10:46 50:05 /usr/sbin/apache2 -k start -DSSL
Click to expand...

@Thunder
Das wurde mir von Server4you aber so geschildert, dass ich apt-get update machen muss/soll zum updaten.
 
Last edited by a moderator:
Exportforce said:
@Marn
Ich frage mich ehrlich, warum du mich so angreifst. Und ich finde es unter aller, dass du mich hier so angehst.
Click to expand...

Er geht Dich hier überhaupt nicht an. Er hat hingegen schon mehrfach nach Logs gefragt, die Du allerdings nicht beigebracht hast. Rumlamentieren wie übel S4Y Dir VERMEINTLICH mitgespielt hat hift halt überhaupt nicht! Wenn Du die gleichen verbuggten Skripte nach der Neuinstallation wieder draufbügelst hast Du das gleiche Problem wie vorher. Ergo hilft nur, die WAHRE Ursache zu finden.

"Hardwaresicherheit" ist die Ursache nicht...

Exportforce said:
@Thunder
Das wurde mir von Server4you aber so geschildert, dass ich apt-get update machen muss/soll zum updaten.
Click to expand...

Eidernei! Nur eine Kombination aus apt-get update und apt-get upgrade updated WIRKLICH Pakete! Das sieht man aber in der Konsolenausgabe schon, wenn man nicht komplett blind ist.
 
Darum bin ich ja hier, um die Quelle zu finden, aber stattdessen bekomme ich von einem Mod solche Kommentare an den Kopf geworfen. Aber ist okay, macht nur.

Edit: Ich habe alles was gefragt wurde gepostet.
RKhunterlogs, ps aux...
 
You must log in or register to reply here.
Back
Top