Dann halt zum dritten Mal...
[S4Y] Server 2. mal gehackt und 0 Hilfe
- Thread starter Exportforce
- Start date
Dann halt zum dritten Mal...
Exportforce
New Member
Das sowieso. Kündigungsschreiben ist eben fertig geworden, nach der Aktion will ich nur noch weg da. Aber erst bei Vertragsende. Bin gespannt, ob sie mir auch vorher Kündigen um mir meinen Server nicht nach Hause zu schicken
edit: Soll ich alle access_logs posten ??? oO
Was das genau ausgeführt hat weiss ich nicht, ich ging, wie oben beschrieben, vom Apache aus.
G
GPS | Sören
Guest
Bin gespannt, ob sie mir auch vorher Kündigen um mir meinen Server nicht nach Hause zu schicken
edit: Soll ich alle access_logs posten ??? oO
1. Gab einen ähnlichen Fall, aber da sei freundlich und optimistisch, denke schon, dass du den bekommen wirst, wenn der Server nicht nochmal gehackt wird.
2. Ja, Auszüge aus den Logs sind interessant, um die Fehlerquelle zu lokalisieren.
Viertes Mal.
Exportforce
New Member
Ja, wenn ich mich mit Hacks nicht auskenne kann ich auch nicht nach "dubiosen" sachen suchen. ICH HABE MIT HACKS KEINE AHNUNG auch nicht wie man sie startet oder sonst was. Ich wiederhole mich da mehrfach, dass ich keine Ahnung habe, wonach ich genau suchen müsste.
Das ist das erste mal das ich vor so einem Problem stehe und tut mir leid, dass ich nicht weiss wonach ich suchen muss, ich stand vor diesem Problem nie und habe daher keine Erfahrung was ich suchen muss.
Für euch ist es ja vielleicht das normalste der Welt sowas zu finden, aber genau aus diesem Grund bin ich hier, damit mir Menschen, die Ahnung haben helfen.
@phor
ja grep geht noch, aber das Problem ist, dass ich nicht weiss, was als "böses" get/post zu sehen wäre.
Das ist das erste mal das ich vor so einem Problem stehe und tut mir leid, dass ich nicht weiss wonach ich suchen muss, ich stand vor diesem Problem nie und habe daher keine Erfahrung was ich suchen muss.
Für euch ist es ja vielleicht das normalste der Welt sowas zu finden, aber genau aus diesem Grund bin ich hier, damit mir Menschen, die Ahnung haben helfen.
@phor
ja grep geht noch, aber das Problem ist, dass ich nicht weiss, was als "böses" get/post zu sehen wäre.
Last edited by a moderator:
G
GPS | Sören
Guest
Teile uns doch einfach die Auszüge mit.
Ich gehe Dich an? Auch hier verkennst Du leider vollkommen die Situation als solches und Deine Position in selbiger. Was ich tue ist nach Informationen zu fragen.
Wenn Du Probleme mit der Administration Deines Servers hast, können wir da erstmal wenig dran drehen. Du kannst mir gewiss vieles unterstellen, aber nicht, dass ich unfreundlich oder gar persönlich unsachlich wurde. Ich stelle lediglich Fragen, die uns helfen (sollen) den Sachverhalt zu klären.
Deine "Hommage" an S4Y hilft uns da zum einen nicht weiter und ist zum anderen auch noch gänzlich falsch. Ferner relativierst Du Deine Aussagen der sicheren Programmierung selbst, in dem Du konstatierst, dass Du von etwaigen Hackertechniken keine Ahnung hast.
Wenn Du gar keine Ahnung hast, was dubios sein könnte musst Du einen Admin bezahlen, der Dir das System zumindest neu initialisiert und die Fehlerquelle evtl. lokalisieren kann. Du wirst doch gewiss einsehen, dass wir ohne Kenntnis der Sachlage gar nicht helfen können.
Beste Grüße,
marneus
Wenn Du Probleme mit der Administration Deines Servers hast, können wir da erstmal wenig dran drehen. Du kannst mir gewiss vieles unterstellen, aber nicht, dass ich unfreundlich oder gar persönlich unsachlich wurde. Ich stelle lediglich Fragen, die uns helfen (sollen) den Sachverhalt zu klären.
Deine "Hommage" an S4Y hilft uns da zum einen nicht weiter und ist zum anderen auch noch gänzlich falsch. Ferner relativierst Du Deine Aussagen der sicheren Programmierung selbst, in dem Du konstatierst, dass Du von etwaigen Hackertechniken keine Ahnung hast.
Wenn Du gar keine Ahnung hast, was dubios sein könnte musst Du einen Admin bezahlen, der Dir das System zumindest neu initialisiert und die Fehlerquelle evtl. lokalisieren kann. Du wirst doch gewiss einsehen, dass wir ohne Kenntnis der Sachlage gar nicht helfen können.
Beste Grüße,
marneus
Exportforce
New Member
Als Anhang
Dann ist heute der erste Tag vom Rest Deines Lebens!
Als Rootserveradmin MUSS man sich mit der Sicherheit des eigenen Servers auseinandersetzen!
Bedauerlicherweise macht das keiner der Möchtegernadmins, insofern ist das (deutsche) Internet voll von leicht hackbaren Servern.
Hast Du Dir die Ausgaben der beiden Befehle überhaupt schon mal angesehen? Verdächtig wären Passagen, in denen ein Skript auf Deinem Rechner versucht, Sachen von externen Websites nachzuladen und potentiell in Verzeichnisse zu schreiben, auf die der Apache eigentlich überhaupt keinen Zugriff haben sollte.
Als Rootserveradmin MUSS man sich mit der Sicherheit des eigenen Servers auseinandersetzen!
Bedauerlicherweise macht das keiner der Möchtegernadmins, insofern ist das (deutsche) Internet voll von leicht hackbaren Servern.Hast Du Dir die Ausgaben der beiden Befehle überhaupt schon mal angesehen? Verdächtig wären Passagen, in denen ein Skript auf Deinem Rechner versucht, Sachen von externen Websites nachzuladen und potentiell in Verzeichnisse zu schreiben, auf die der Apache eigentlich überhaupt keinen Zugriff haben sollte.
In den Logs ist leider nichts Auffälliges zu finden. Vllt. reichen sie nicht weit genug zurück, vllt. hat der Hacker sie aber auch erfolgreich modifiziert. Die Möglichkeiten sind sowas von vielfältig, dass wir wahrscheinlich keine Möglichkeit haben hier zu einer Lösung zu kommen.
Fakt ist, dass Du auf jeden Fall Deinen Server neu initialisieren musst. Daran geht kein Weg dran vorbei. Dann solltest Du alle Applikationen auf den neuesten Stand bringen, evtl. (oder gewiss) vorher auch gleich auf Etch (Debian 4.0) upgraden.
Damit ist das Problem nur leider noch nicht gelöst. Ein Schritt wäre mod_security zu installieren und sich anzuschauen, was dort so an dubiosen Dingen getrieben wird.
Beste Grüße,
marneus
Fakt ist, dass Du auf jeden Fall Deinen Server neu initialisieren musst. Daran geht kein Weg dran vorbei. Dann solltest Du alle Applikationen auf den neuesten Stand bringen, evtl. (oder gewiss) vorher auch gleich auf Etch (Debian 4.0) upgraden.
Damit ist das Problem nur leider noch nicht gelöst. Ein Schritt wäre mod_security zu installieren und sich anzuschauen, was dort so an dubiosen Dingen getrieben wird.
Beste Grüße,
marneus
Exportforce
New Member
Ich setze mich mit allem immer gern auseinander, nur wenn ich keinerlei Hilfe bei hab, wird es schwer. Ich lese schon einiges an Büchern, jedoch habe ich persönlich große Probleme mit Buchbeispielen.
Konnte damals als ich mit PHP angefangen hab, mit dem Buch keine DB-Connection ausführen, bis ich mir das live in ein paar Skripten angesehen habe. Ich weiss nicht woran es liegt, aber "Fachbücher" helfen mir weniger als direkte Beispiele.
Auch ist es immer problematisch, wenn man das erste mal mit Konfrontiert ist und man nicht weiterweiss und niemanden kennt, der Ahnung hat und mal raufschaut und vielleicht gleich nach 1-2 Befehlen weiss, was los ist. Soweit bin ich noch nicht, da ich nie Opfer eines solchen Angriffs wurde. Ausser von Scripten die z. B. versuchten zu Bruteforcen.
Ich habe mir die Ausgaben angesehen, aber mehr als meine eigenen Zugriffe auf den phpmyadmin, dem Zugriff eines Kumpels auf sein pop3 und 2-3 andere User konnte ich nicht erkennen.
edit:
@Marneus
Würde ich sofort gern machen.
Jedoch habe ich allein nur mit Debian3.1 und Suse Erfahrung und weiss nicht, in wiefern dann z. B. meine Aktuelle Confixx auf dem neuen System (Debian4) nutzen lässt. Da ich 10 Webs habe und ca. 100GB an Daten die ich auch wieder einspielen muss.
Konnte damals als ich mit PHP angefangen hab, mit dem Buch keine DB-Connection ausführen, bis ich mir das live in ein paar Skripten angesehen habe. Ich weiss nicht woran es liegt, aber "Fachbücher" helfen mir weniger als direkte Beispiele.
Auch ist es immer problematisch, wenn man das erste mal mit Konfrontiert ist und man nicht weiterweiss und niemanden kennt, der Ahnung hat und mal raufschaut und vielleicht gleich nach 1-2 Befehlen weiss, was los ist. Soweit bin ich noch nicht, da ich nie Opfer eines solchen Angriffs wurde. Ausser von Scripten die z. B. versuchten zu Bruteforcen.
Ich habe mir die Ausgaben angesehen, aber mehr als meine eigenen Zugriffe auf den phpmyadmin, dem Zugriff eines Kumpels auf sein pop3 und 2-3 andere User konnte ich nicht erkennen.
edit:
@Marneus
Würde ich sofort gern machen.
Jedoch habe ich allein nur mit Debian3.1 und Suse Erfahrung und weiss nicht, in wiefern dann z. B. meine Aktuelle Confixx auf dem neuen System (Debian4) nutzen lässt. Da ich 10 Webs habe und ca. 100GB an Daten die ich auch wieder einspielen muss.
Last edited by a moderator:
Exportforce
New Member
Das ist nur der Ausschnitt durch grep post und grep get.
Ich kann gerne die archivierten Logs zugänglich machen, kann diese aber nur als tar.gz anbieten da gzip hinüber ist.
Zeitlich wüsste ich maximal 6.12. 22:XX
Ab da, wenn ich mich nicht irre, funktionierte der Mailserver nicht mehr und lässt keine Mails durch.
Aber als Lösung hiess es bei S4Y es war ein Netzteil kaputt.
LinuxAdmin
Moderator
Gut, dass es jetzt hier wieder sachlicher geworden ist -- ich wollte gerade schon vorschlagen, dass jetzt alle Beteiligten für eine halbe Stunde den Rechner aus machen (der kompromittierte Rechner läuft ja ohnehin hoffentlich im Rescue-Modus) und durch den Regen spazieren gehen. Bei einem Einbruch hilft es wirklich, einen kühlen Kopf zu bewahren, dann erkennt man die Ursachen deutlich besser 
Beim groben überfliegen der Logauszüge habe ich jetzt verdächtiges entdeckt. Allerdings können injections und XSS-Angriffe auch über normale PHP-Seitenzugriffe erfolgen, die jetzt nicht bei den GET und POST-Zeilen dabei sind. Schau Dir die Logfiles noch mal in Ruhe an.
Viele Grüße,
LinuxAdmin
Beim groben überfliegen der Logauszüge habe ich jetzt verdächtiges entdeckt. Allerdings können injections und XSS-Angriffe auch über normale PHP-Seitenzugriffe erfolgen, die jetzt nicht bei den GET und POST-Zeilen dabei sind. Schau Dir die Logfiles noch mal in Ruhe an.
Viele Grüße,
LinuxAdmin
Exportforce
New Member
Wie gesagt, ausser bei den von mir gescripteten wo ich weiss, was kann und was nicht, kann ich mir genauso gut ein Spanischwörterbuch ansehen. Ich kenne keine bösen Zeilen oder sowas
Ältere Files kann ich mir eh nicht ansehen, da die getart sind und somit für mich nicht mehr erreichbar.
Kann der netstat auszug hier eventuell helfen ?
edit 2: noch mal als jpg angehangen, sollte übersichtlicher sein.
Attachments
Last edited by a moderator:
Hallo!
1) Nur um das mal kurz zu klären. Server4you stellt dir die Hardware deine Servers zur verfügung. Jegliche vorinstallierte Software gehört nicht zum lieferumfang. Die Confixx Lizenz ist eine nette Zugabe allerdings an die OS Templates von Server4you gebunden. Es gibt genug Anbieter für Server bei dennen du keine Zugaben bekommst.
2) Wie äußert sich der "Hack"?
Das der Apache manchmal viel Load verursacht ist nichts neues.
Hast du vieleicht beim Basteln in der Console das Binary von "ls" gelöscht?
3) Eine neuinstalltion wird dir bestimmt helfen. Achte darauf dein System aktuell zu halten. Hardwarefirewalls sind bei der von dir geschilderten Problematik unnötig.
4) Es gibt viele Managed Rootserver zu guten Preisen. Wäre wohl eine Idee für dich.
1) Nur um das mal kurz zu klären. Server4you stellt dir die Hardware deine Servers zur verfügung. Jegliche vorinstallierte Software gehört nicht zum lieferumfang. Die Confixx Lizenz ist eine nette Zugabe allerdings an die OS Templates von Server4you gebunden. Es gibt genug Anbieter für Server bei dennen du keine Zugaben bekommst.
2) Wie äußert sich der "Hack"?
Das der Apache manchmal viel Load verursacht ist nichts neues.
Hast du vieleicht beim Basteln in der Console das Binary von "ls" gelöscht?
3) Eine neuinstalltion wird dir bestimmt helfen. Achte darauf dein System aktuell zu halten. Hardwarefirewalls sind bei der von dir geschilderten Problematik unnötig.
4) Es gibt viele Managed Rootserver zu guten Preisen. Wäre wohl eine Idee für dich.
Hallo zusammen
Ich muß mal noch was loswerden zum Thema rkhunter.
Hier ist meiner Meinung nach etwas völlig untergegangen. Wer es noch nicht weiß, wenn man sich den rkhunter neu installiert, natürlich auf einem 100%ig sauberen System, muß man initial die Datenbank erstellen, gegen die rkhunter in Zukunft die Systembinaries vergleicht.
Auf dem gehackten Server wurde das nicht gemacht und jetzt nützt es (leider) nichts mehr. Da diese Datenbank nicht erstellt wurde, hat rkhunter keinerlei Grundlage für einen Vergleich der aktuell vorhandenen Binaries (von. z.B. ls, df, top etc.). Das führt eine Aussage a la 'rkhunter hat nichts gefunden, das ist also nicht so schlimm' ad absurdum.
Der entsprechende Hinweis ist auch recht ausführlich in der geposteten rkhunter Logdatei zu finden:
Ich denke diese Meldung ist eindeutig genug.
Jetzt erst recht: Neuinstallation, da keinerlei Alternative.
Ich muß mal noch was loswerden zum Thema rkhunter.
Hier ist meiner Meinung nach etwas völlig untergegangen. Wer es noch nicht weiß, wenn man sich den rkhunter neu installiert, natürlich auf einem 100%ig sauberen System, muß man initial die Datenbank erstellen, gegen die rkhunter in Zukunft die Systembinaries vergleicht.
Auf dem gehackten Server wurde das nicht gemacht und jetzt nützt es (leider) nichts mehr. Da diese Datenbank nicht erstellt wurde, hat rkhunter keinerlei Grundlage für einen Vergleich der aktuell vorhandenen Binaries (von. z.B. ls, df, top etc.). Das führt eine Aussage a la 'rkhunter hat nichts gefunden, das ist also nicht so schlimm' ad absurdum.
Der entsprechende Hinweis ist auch recht ausführlich in der geposteten rkhunter Logdatei zu finden:
Ich denke diese Meldung ist eindeutig genug.
Jetzt erst recht: Neuinstallation, da keinerlei Alternative.
Exportforce
New Member
Ich bin vielleicht nicht der schlaueste, aber ich weiss mich in einem Betriebssystem seit Dos 6.0 zu bewegen. Nein habe nicht einfach mal was gelöscht.
Der Hack äussert isch darin, dass z. B. l, gzip, teamspeak und weitere Befehle einfach einen "Speicherzugriffsfehler" verursachen und mein Mailserver alle einkommenden e-Mails mit einem "550 Administrative prohibition" ablehnt.
Jetzt wo ich weiss, dass ich statt nur apt-get update vorher apt-get upgrade machen sollte, ist dies weniger ein Problem und wird von mir auch wöchentlich durchgeführt.
@Mario
danke für die Information, das ist mir komplett untergegangen.
Eine Installation werde ich nach dem Backup auch starten, aber ich sehe mich jetzt schon wieder vor einem "neuen" aber veralteten Confixx und DB-Problemen, weil Confixx nicht richtig updated oder wieder eine Lizenz ausgelaufen ist...
Ist bei jeder Neuinstallation das Gleiche.
Last edited by a moderator:
@ Bibabu: Ja... Da schreibst Du nix neues, das hatten wir alles schon in den letzten Posts drin.
@ Exportforce:
Ich hab mir mal nochmal alles durchgesehen. Du hast immer noch nicht geschrieben, womit genau Dein Server auffällig geworden ist. Hat Dir S4Y denn hier keinen Hinweis gegeben, im Umfeld Deiner Sperrung? In diesem Thread ist jedenfalls keiner zu finden. Hat der Server gespammt, oder geDDoSed? Waren Phishing Seiten drauf? Bis auf pathetische Anklagen in Richtung S4Y steht hier leider nix Handfestes.
@ Exportforce:
Ich hab mir mal nochmal alles durchgesehen. Du hast immer noch nicht geschrieben, womit genau Dein Server auffällig geworden ist. Hat Dir S4Y denn hier keinen Hinweis gegeben, im Umfeld Deiner Sperrung? In diesem Thread ist jedenfalls keiner zu finden. Hat der Server gespammt, oder geDDoSed? Waren Phishing Seiten drauf? Bis auf pathetische Anklagen in Richtung S4Y steht hier leider nix Handfestes.