Server Gehackt

[Headshot]

hallo,

mein server wurde heute gehackt, ich kann mit den username "root" nixmehr ausführen, z.b reboot, adduser usw. und mein ganzes verzeichnis wurde gelöscht!!!!
Was kann ich tuhen?!?!?!?

 

[Thorsten]

Hallo!
Reinitialisieren.

mfG
Thorsten

 

[Headshot]

hi,

aber bei mir im kudenmenü is da nix und was ist, wenn der hacker es nochmal macht?

 

[NightEagle]

Hi,

1. melde Dich beim Support, dass dein Server neu installiert wird.
2. SSH Port von Standard Port auf einen anderen ändern
3. FTP Server (falls vorhanden) Port ändern
4. fail2ban installieren (hat bei mir geholfen)
5. nicht benötigte Dienste deaktivieren.

Das sind schon mal die einfachsten Sachen, die einen Einbruch erschweren können.

Viele Grüße,

NightEagle

 

[Zak]

Du solltest halt überlegen wo vielleicht in deinem System eine Sicherheitslücke war welche Software du bei dir drauf hattest wo dort etwas kritisch gewesen sein kann. Oder ob du ein zu einfaches Passwort hattest. Oder vielleicht kannst du auch etwas aus den Logs raus lesen.

 

[Headshot]

danke für eure hilfe, ich bin jetzt ein bisschen erleichtert
nur noch warten, bis sie meinen server re-instalieren.
wenn ihr noch tipps, oder ratschläge habt, postet sie hier, jeder tipp kann wichtig sein

MfG
Headshot

 

[blupp1]

Logfiles gesichert?

 

[Headshot]

logfiles sind da.
ich weis nur nicht, welche ich öffnen soll, sind so viele da...

MfG
Headshot

EDIT:

Hab grad nochmal bei syslog nachgeschaut,
das ist heute passiert?!:

Apr 26 19:21:41 vbox68226 -- MARK --
Apr 26 19:41:42 vbox68226 -- MARK --
Apr 26 20:01:42 vbox68226 -- MARK --
Apr 26 20:21:42 vbox68226 -- MARK --
Apr 26 20:41:43 vbox68226 -- MARK --
Apr 26 21:01:43 vbox68226 -- MARK --
Apr 26 21:21:44 vbox68226 -- MARK --
Apr 26 21:41:44 vbox68226 -- MARK --
Apr 26 22:01:44 vbox68226 -- MARK --
Apr 26 22:21:45 vbox68226 -- MARK --
Apr 26 22:41:45 vbox68226 -- MARK --
Apr 26 23:01:46 vbox68226 -- MARK --
Apr 26 23:21:46 vbox68226 -- MARK --
Apr 26 23:41:46 vbox68226 -- MARK --
Apr 27 00:01:47 vbox68226 -- MARK --
Apr 27 00:21:47 vbox68226 -- MARK --
Apr 27 00:41:48 vbox68226 -- MARK --
Apr 27 01:01:48 vbox68226 -- MARK --
Apr 27 01:21:48 vbox68226 -- MARK --
Apr 27 01:41:49 vbox68226 -- MARK --
Apr 27 02:01:49 vbox68226 -- MARK --
Apr 27 02:21:50 vbox68226 -- MARK --
Apr 27 02:41:50 vbox68226 -- MARK --
Apr 27 03:01:50 vbox68226 -- MARK --
Apr 27 03:21:51 vbox68226 -- MARK --
Apr 27 03:41:51 vbox68226 -- MARK --
Apr 27 04:01:52 vbox68226 -- MARK --
Apr 27 04:21:52 vbox68226 -- MARK --
Apr 27 04:41:52 vbox68226 -- MARK --
Apr 27 05:01:53 vbox68226 -- MARK --
Apr 27 05:21:53 vbox68226 -- MARK --
Apr 27 05:41:54 vbox68226 -- MARK --
Apr 27 06:01:54 vbox68226 -- MARK --
Apr 27 06:21:54 vbox68226 -- MARK --
Apr 27 06:41:55 vbox68226 -- MARK --
Apr 27 07:01:55 vbox68226 -- MARK --
Apr 27 07:21:56 vbox68226 -- MARK --
Apr 27 07:41:56 vbox68226 -- MARK --
Apr 27 08:01:56 vbox68226 -- MARK --
Apr 27 08:21:57 vbox68226 -- MARK --
Apr 27 08:41:57 vbox68226 -- MARK --
Apr 27 09:01:58 vbox68226 -- MARK --
Apr 27 09:21:58 vbox68226 -- MARK --
Apr 27 09:41:58 vbox68226 -- MARK --
Apr 27 10:01:59 vbox68226 -- MARK --
Apr 27 10:21:59 vbox68226 -- MARK --
Apr 27 10:41:59 vbox68226 -- MARK --
Apr 27 11:02:00 vbox68226 -- MARK --
Apr 27 11:22:00 vbox68226 -- MARK --
Apr 27 11:42:01 vbox68226 -- MARK --
Apr 27 12:02:01 vbox68226 -- MARK --
Apr 27 12:22:02 vbox68226 -- MARK --
Apr 27 12:42:02 vbox68226 -- MARK --
Apr 27 13:02:02 vbox68226 -- MARK --
Apr 27 13:22:03 vbox68226 -- MARK --
Apr 27 13:42:03 vbox68226 -- MARK --
Apr 27 14:02:03 vbox68226 -- MARK --
Apr 27 14:22:04 vbox68226 -- MARK --
Apr 27 14:42:04 vbox68226 -- MARK --
Apr 27 15:02:05 vbox68226 -- MARK --
Apr 27 15:22:05 vbox68226 -- MARK --
Apr 27 15:42:05 vbox68226 -- MARK --
Apr 27 16:02:06 vbox68226 -- MARK --
Apr 27 16:22:06 vbox68226 -- MARK --
Apr 27 16:42:07 vbox68226 -- MARK --
Apr 27 17:02:07 vbox68226 -- MARK --
Apr 27 17:22:07 vbox68226 -- MARK --
Apr 27 17:42:08 vbox68226 -- MARK --
Apr 27 18:02:08 vbox68226 -- MARK --
Apr 27 18:22:09 vbox68226 -- MARK --
Apr 27 18:32:19 vbox68226 syslogd: /var/log/auth.log: Input/output error

Was heist das?

 

[blupp1]

da müsstest du eig. schauen /var/log/auth.log

edit: woher haste eig. gemerkt, dass er gehackt wurde?

 

[Headshot]

in der auth.log ist ziemlich viel, dazu musst du auf: http://headshot1108.he.funpic.de/auth.log.txt gehen.

Und ich habe gemerkt das er gehackt ist, weil mein ganzes verzeichnis gelöscht worden ist, (nicht root verzeichnis, sondern mein home verzeichnis, hab mir einen user geaddet) und ich konnte mit den benutzer root keine befehle mehr ausführen, z.B adduser, reboot usw.

 

[Headshot]

ok, der Support hat meinen Server neuinstaliert.
Meine Frage, wie ändere ich den SSH Port?

MfG
Headshot

 

[phor]

In Debian:

nano /etc/ssh/sshd_config

Dort Port von "22" auf beliebig ändern - am besten was fünfstelliges z.B. und merken!

/etc/init.d/ssh restart

Dann sicherheitshalber ein neues SSH-Fenster öffnen und einloggen mit dem neuen Port versuchen. Wenn das klappt kannst du dich getrost aus beiden ausloggen.

 

[Headshot]

also 2 probleme.

Beim ersten kommt, dass der das command "nano" nicht erkennt.
Dann habe ich es per FTP eingestellt.
Dann wollte ich neustarten, dann kam: /etc/ssh/sshd_config line 5: Badly formatted port number.

Und ich hab 5 Stellen genutzt.

MfG
Headshot

 

[phor]

naon ist ein Editor - du kannst genauso gut "vi" oder "mcedit" verwenden, oder was es sonst noch gibt bzw. was du sonst immer verwendest.

 

[wstuermer]

Hi,

Badly formatted port number.

Du bist aber unter 65535 mit der Portnummer geblieben, oder?


-W

 

[Headshot]

Ups, ich habe eine höhere Ziffer eingegeben.
Danke!

 

[mainlink]

Ich sag's nicht gerne, aber eventuell ist ein Rootserver nicht ganz das Richtige für den Threadersteller.

 

[Headshot]

ist ja ein vserver

 

[flobbie]

und wo ist beim Thema Sicherheit der Unterschied vom vServer zum Server?
Da gibt es keinen Unterschied!