Habe einen DEBIAN Linux Root Server (Serverhousing). Dieser wurde angeblich gehackt und wurde nun vom Provider abgedreht. Brauche dringend (remote) Hilfe um damit wieder online zu gehen. Das was meine Provider empfiehlt - neu aufsetzen - ist für mich organisatorisch nicht möglich. Er muss also repariert werden. Wer kann helfen?
Serverprobleme
- Thread starter Tisci
- Start date
The Busfreak
Registered User
Also wurde der Server offenbar schon Missbraucht (Spam, whatever), in dem Falle kommst du ohnehin nicht ohne Neuinstallation weg, selbst wenn du das Einfallsloch (vielleicht Proftpd? *g*) findest und schließt, kannst du dir nicht sicher sein, ob nicht noch ein Backdoor o.ä im Hintergrund werkelt.
--
The Busfreak
Hostingparadies
New Member
Guten Morgen,
wobei man darauf achten muss, dass das Backup nicht auch schon kompromittiert ist.
btw: kann Dir Dein Provider nicht ein Zugang ermöglich (remote), damit Du selbst überprüfen kannst ob und wie "verseucht" Dein Server ist?
Manche Dinge lassen sich schon säubern... andere nicht.
Aber wenn der "Hack" stimmt, tendiere ich auch zur Neu-Installation und spiele dann die lokalen Backups ein.
Viele Grüße
Stephan Hagel
wobei man darauf achten muss, dass das Backup nicht auch schon kompromittiert ist.
btw: kann Dir Dein Provider nicht ein Zugang ermöglich (remote), damit Du selbst überprüfen kannst ob und wie "verseucht" Dein Server ist?
Manche Dinge lassen sich schon säubern... andere nicht.
Aber wenn der "Hack" stimmt, tendiere ich auch zur Neu-Installation und spiele dann die lokalen Backups ein.
Viele Grüße
Stephan Hagel
IP-Projects.de
Active Member
Ich würde den Server im Rescue Modus booten lassen, die Festplatten Mounten, anschließend einmal einen Virenscan mit ClamAV drüber laufen lassen. Im Regelfall sind solchen SPAM Scripte durch Webseiten Bugs implementiert worden, daher sollte ClamAV Shell Backdoor Scripte bei den Webseiten Files finden und diese dir ausgeben.
Eine Neuinstallation des gesamten Servers wäre bei so einem Fehler mehr als unsinnig, da es sich hier lediglich um Fehler der Webseite, nicht um eine Verseuchung des Servers handelt. Die Webseite wird in diesem Fall zum SPAM versenden misbraucht. Das kennt man, wenn man seine Joomla Version nicht regelmäßig updated.
Eine Neuinstallation des gesamten Servers wäre bei so einem Fehler mehr als unsinnig, da es sich hier lediglich um Fehler der Webseite, nicht um eine Verseuchung des Servers handelt. Die Webseite wird in diesem Fall zum SPAM versenden misbraucht. Das kennt man, wenn man seine Joomla Version nicht regelmäßig updated.
DjTom-i
Member
Sollte hier professioneller Support gebraucht werden kann ich meine Dienste anbieten um zu schauen was überhaupt passiert ist.
Da ich zunächst nicht von einer "gezielten geplanten und durchdachten" Komprimitierung ausgehe sollte die Lücke in wenigen Stunden gefunden sein.
Erst dann würde ich entscheiden was zu tun ist. Ohne auf der Kiste gewesen zu sein wäre es vermessen in die eine oder andere Richtung zu tendieren.
Da ich zunächst nicht von einer "gezielten geplanten und durchdachten" Komprimitierung ausgehe sollte die Lücke in wenigen Stunden gefunden sein.
Erst dann würde ich entscheiden was zu tun ist. Ohne auf der Kiste gewesen zu sein wäre es vermessen in die eine oder andere Richtung zu tendieren.
Das Problem liegt auf "sollte finden". Das ganze ist eine Wette, dass es funktioniert. Sowas kann man sich daheim am Windows leisten, wo die gängige Antiviren-Software 90% findet und 10% eben nicht. Auf einem Root-Server hat so ein Verhalten nichts zu suchen.
Auf einem Root-Server brauche ich dringend Sicherheit und nicht wahrscheinlich. AntiViren-Software kann einem sagen, dass es ein Problem gibt, aber das Problem nicht mit Sicherheit fixen. Daher, Finger von Versuchen lassen, kompromitierte Server zu fixen.
DjTom-i
Member
Sorry so ist das nichts. Erst Kiste ins Rescue, selbstverständlich probieren die Lücke zu finden und zu schliessen. Dann ggfls eine Neuinstallation. Alles andere ist mit Kanonen auf ggfls kleine popelige Spatzen zu schiessen. Bei einer tollen Remote-File-Injection in irgendeinem Php Script ist nach der Neuinstallation das gleiche Spielchen wieder angesagt.
Wie kommt Ihr auf solche pauschalen Aussagen ohne das Problem gesehen zu haben?
B
blupp1
Guest
Und wenn ich dir sage, dass es auch Windows ROOT Server gibt mit Antivirus?
Dann ändert das überhaupt nüscht an der Tatsache, dass auch ein Windows-Antivirus nicht mit Sicherheit alle Probleme findet.
Ihr findet unter Umständen die Sicherheitslücke und es stimmt: Ja, ich muss die Lücke finden, um sie zu schließen (Nach einer Neuinstallation!!! Damit ich sie nicht wieder drin habe und alles von vorn losgeht). Da gebe ich euch recht.
Aber: Es ist eben nur die Lücke, über die es passsiert ist. Was passiert ist, weiß ich damit noch lange nicht. Schließe ich die Lücke, behebe ich nicht die Veränderung an meinem System, die durch einen Angriff entstanden sind.
Bsp: File-Injection. Über eine Lücke in PHP gekoppelt mit einer privilege escalation an einem von PHP erreichbaren mit suid gesetzten Befehl wird /boot/vmlinuz überschrieben und per Syscall ein Reboot ausgelöst.
Viel Spaß beim Fixen der Lücke, wenn du nicht einmal mehr den offenen Port vom Rootkit siehst, weil der Kernel lügt.
Last edited by a moderator:
S
Socci79
Guest
Ich darf euch verraten das ich auf dem System nachgeschaut habe.
Und unterstütze diejenigen die sagen, dass man erst eine Aussage machen sollte, wenn man das System gesehen hat (siehe DJ-Tomi).
Alles andere ist an den Haaren herbei gezogen und blanke Theorie.
Natürlich sollte man nach einer Säuberung das System im Auge behalten und dann weiter entscheiden. Eine Neuinstallation ist schnell gemacht,
aber Daten migriert, evtl Programmierfehler in php oder sonstigen Scripten mit rüber genommen, und schwupps, ist das neue System und die Arbeit wieder dahin.
Von daher, ich habe mal aufgeräumt, gescannt und schaue wie es sich verhält, dann werde ich dem Threadöffner weitere Schritte nahelegen.
Schöne Grüße,
Socci79
Und unterstütze diejenigen die sagen, dass man erst eine Aussage machen sollte, wenn man das System gesehen hat (siehe DJ-Tomi).
Alles andere ist an den Haaren herbei gezogen und blanke Theorie.
Natürlich sollte man nach einer Säuberung das System im Auge behalten und dann weiter entscheiden. Eine Neuinstallation ist schnell gemacht,
aber Daten migriert, evtl Programmierfehler in php oder sonstigen Scripten mit rüber genommen, und schwupps, ist das neue System und die Arbeit wieder dahin.
Von daher, ich habe mal aufgeräumt, gescannt und schaue wie es sich verhält, dann werde ich dem Threadöffner weitere Schritte nahelegen.
Schöne Grüße,
Socci79
Nuja, wenn ihr mit dem Zustand ruhig schlafen könnt ...
Ich merke nur an, dass es nicht der erste Server wäre den ich gesehen hätte, bei dem nach 3 Monaten die dicke Rechnung kommt und dann das Geheule losgeht, von wegen der Scan damals hätte doch gezeigt, dass alles wieder heile und so.
Ich merke nur an, dass es nicht der erste Server wäre den ich gesehen hätte, bei dem nach 3 Monaten die dicke Rechnung kommt und dann das Geheule losgeht, von wegen der Scan damals hätte doch gezeigt, dass alles wieder heile und so.
S
Socci79
Guest
Wenn ich beobachten sage meine ich, da ein paar mal pro Tag drauf zu schauen und zu prüfen, ob ungewollte Dienste laufen (wie in diesem Fall geschehen), und nicht, in 3 Monaten mal wieder auf die Kiste zu schauen ;-)
What the fuck? Da sind Dienste gestartet wurden auf der Bude? Da hatte also jemand Root-Zugriff? Und du meinst, ein ernster Angriff wäre an den Haaren herbeigezogen, beendest die Dienste und meinst, mit Draufschauen ist alles im Griff?
Übernimmst du eigentlich die Haftung für dein Tun? Nur für den Fall, dass dein Kunde für deine Lösung irgendwann richtig Stress bekommt?
Übernimmst du eigentlich die Haftung für dein Tun? Nur für den Fall, dass dein Kunde für deine Lösung irgendwann richtig Stress bekommt?
S
Socci79
Guest
Ich habe nichts von endgültiger Lösung gesagt.
Du kannst ja gerne übernehmen und das ding platt machen.
Bisher war es eine freundschaftliche Geste dem Threadöffner zu helfen,
dass sein Server erstmal nicht mehr als Trafficschleuder dient.
Wie gesagt werden die weiteren Dinge besprochen.
Aber anscheinend bist du ja ein kleiner halbgott, der für jedes Problem eine Lösung hat ;-)
Ich für meinen Teil beende die Diskussion hier.
Du kannst ja gerne übernehmen und das ding platt machen.
Bisher war es eine freundschaftliche Geste dem Threadöffner zu helfen,
dass sein Server erstmal nicht mehr als Trafficschleuder dient.
Wie gesagt werden die weiteren Dinge besprochen.
Aber anscheinend bist du ja ein kleiner halbgott, der für jedes Problem eine Lösung hat ;-)
Ich für meinen Teil beende die Diskussion hier.