Unberechtigte Zugänge auf den Server

hokkabaz81

New Member
Hallo.

Ich habe ein großes Problem.

Eine bekannte und ich haben eine Seite aufgebaut. Wir hatten dann einen dritten "Kumpel" mit ins Boot geholt, da er technisch fitter war als wir. Nun haben wir uns von diesem "Kumpel" trennen müssen. Doch seit dem sabotiert er hin und wieder die Seite, in dem er den Webserver deaktiviert und somit die Seite nicht erreichbar ist, auf die HP-Daten, die auf die Seite eingepflegt wurden, zugreift und Einstellungen ändert, und und und...

Ich habe aber absolut keine Ahnung, wie er das bewerkstelligt, damit ich das unterbinden kann.

- Über Strato haben wir das Rootpasswort mehrmals neu generieren lassen, damit er über Putty nicht rein kann.

- Alle Plesk- und Administratorkennwörter wurden geändert.

- Unter Webhosting-Zugang ist der Zugriff auf den Server via SSH ist bei beiden Domains /Haupt- und Unterdomain) auf Verboten eingestellt.

So langsam weiss ich echt nicht mehr weiter, wie und was es sein kann.

Eins ist soweit klar, dass er wohl keine Kennwörter benötigt, was wieder an Root und SSH vermuten lässt. Doch weiss nicht, wie und wo ich den Key finde.

Ich hoffe, ihr könnt mir einige Tipps und Hilfestellungen anbieten.
 
Last edited by a moderator:
Er könnte möglicherweise SSH Keys zur Authentifizierung verwenden.

Oder er hat sich wie ein Virus irgendwo im System eine Hintertür gesetzt. Das kann ein unsichtbarer Prozess sein, der auf einem Port auf eingehende Verbindungen wartet.

Technisch wäre die saubere Lösung die Maschine neu aufzusetzen. Rechtlich ist das Verhalten deines 'Kumpels' natürlich auch äusserst fragwürdig.
 
natürlich ist das fragwürdig. Aber noch hält sich der Schaden in Grenzen, da die Seite noch im Aufbau ist.

SSH ist auch mein Verdacht.

Aber muss der Key denn nicht auf dem Server liegen, der den Abgleich macht?
Wo wird der den abgelegt?

Neu Auflegen wäre die radikalste und mit dem größten Aufwand verbundene Lösung, die ich so weit wie möglich vermeiden und alle anderen Möglichkeiten ausschöpfen will
 
- Über Strato haben wir das Rootpasswort mehrmals neu generieren lassen, damit er über Putty nicht rein kann.

Strato Logindaten ändern

- Alle Plesk- und Administratorkennwörter wurden geändert.
Auch nicht benötigte User löschen!

So langsam weiss ich echt nicht mehr weiter, wie und was es sein kann.

Eins ist soweit klar, dass er wohl keine Kennwörter benötigt, was wieder an Root und SSH vermuten lässt. Doch weiss nicht, wie und wo ich den Key finde.

Ich hoffe, ihr könnt mir einige Tipps und Hilfestellungen anbieten.

Keys neu generieren, Howto`s gibt es genug.
 
Technisch wäre die saubere Lösung die Maschine neu aufzusetzen.

Dies ist zwingend die einzige Lösung des Problems!
Der Server ist aufgrund des unauthorisierten Fremdzugriffs als korrumpiert zu betrachten und alles Andere als ein Neuaufsetzen wäre mehr als fahrlässig!

Sollten irgendwelche personenbezogenen Daten, angefangen von IP-Adressen über Mailadressen bis hin zu Kreditkartendaten oder sonstwas auf dem Server in irgendeiner Form verarbeitet oder gespeichert werden bzw. worden sein, kann es auch aus juristischer Sicht problematisch werden.

Also:
- Server runterfahren und ins Rescue booten, Image des bisherigen Systems sichern (zur Beweissicherung, falls ihr rechtlich gegen euren "Kumpel" vorgehen wollt oder vielleicht sogar müßt)
- Zugangsdaten zum Webinterface (inklusive Mailadresse oder Telefonnummer für die "Paßwort vergessen" Funktion) ändern
- eventuell vorhandene Userdaten sichern
- Server komplett und sauber neu aufsetzen

Wenn ihr euch einzelne Schritte nicht wirklich zutraut, dann beißt in den sauren Apfel und holt euch für ein paar Euro einen professionellen Admin ins Boot, der das Ganze für euch erledigt (Hier im Forum gibt es z.B. auch für solche Fälle einen extra "Suche"-Bereich).
 
Last edited by a moderator:
Danke für eure Antworten.

@Werner S
Alle Kennwörter wurden natürlich geändert, inkl. Mail-Postfächer. Und in korrekter Reihenfolge.

Persönliche Daten sind keine hinterlegt.
Es ist ein kleiner Chatscript. Das einzige, was Nutzer hinterlegen können, sind ihre Usernamen und ein Passwort zum Login.

Ich werde mir das alles sichern.

Wenn es die einzige Lösung ist, dann bleibt das wohl nicht aus.
 
Es lebe der deutsche Mob ...
Strafanzeige gegen den Mann stellen wegen Computersabotage

Es liegen keinerlei Beweise gegen diesen Mann vor.
Restlos alles was hier im Thread bisher geschrieben wurde sind Vermutungen, Behauptungen, Mutmaßungen des Betroffenen oder hier Mitlesenden.
Aber hauptsache der Mann wird erstmal öffentlich an den Pranger gestellt. Sonst gehts euch aber noch ganz gut? :mad:

@hokkabaz81,
Um deine Frage zwischendrin zu beantworten: Die SSH Keys liegen unter .ssh/authorized_keys im Homeverzeichnis des Benutzers. Für root also in der Regel /root/.ssh/authorized_keys.
In der /etc/ssh/sshd_config können aber auch alternative Pfade angegeben werden. Wenn man von einer Kompromitierung des Systems ausgeht, ist das auf jeden Fall mit zu prüfen.
Logs sichten, mindestens Logins erzeugen Logeinträge. Jenachdem wie er sich auf dem System bewegt, findet man noch mehr. Shell History der Benutzer prüfen.
Wenn er tatsächlich root ist, sind aber weder die History noch die Logs auf dem gleichen System vertrauenswürdig. Für sowas wären Remote-Logs von nöten. Rückwirkend wird das aber nichts.

Wenn man dann eine Sabotage durch unbefugte beweisen kann. Strafanzeige und Strafantrag(!) gegen unbekannt stellen. Lass die Staatsanwaltschaft den wahren Täter ermitteln. Je nachdem was du für Beweise vorlegst, sollte das einfach bis unmöglich sein.
In so einer Situation auf keinen Fall direkt eine bestimmte Person beschuldigen. Wenn er halbwegs weiß was er da getan hat, ist seine Gegenanzeige wegen Verleumdung erfolgreicher, als deine wegen Computersabotage, wenn du keine vernünftigen Beweise vorlegen kannst.
 
Hier sind keine Namen genannt worden, weswegen ich auch nicht nachvollziehen kann, wieso du dich so aufregst.

Sofern Beweise vorliegen, der Staatsanwaltschaft übergeben. Die machen dann schon ihre Arbeit, sofern sie Zeit dafür haben. Wir können hier als unbeteiligte eh gar nichts machen.

Den Server würde ich komplett platt machen. Das hat zwei Gründe. Über den ersten Grund ist hier bereits ausgiebig diskutiert worden. Der ehemalige Admin könnte eine oder mehrere Hintertüren zurück gelassen haben.

Der zweite Grund ist trivial. Damit du lernst wie man selbst den Server einrichtet, weil das hat ja der ehemalige Admin gemacht, der nun nicht mehr da ist.

Ihr habt genau genommen zwei Probleme. Der vielleicht kompromittierte Server und die Unwissenheit über die Administration des selbigen.
 
Frechheit, hier beleidigend angegangen zu werden weil ich eine Vorgehensweise bei Computersabotage aufzeigen wollte.
Ich habe hier niemand an den Pranger gestellt.
Und ich habe diesen "dritten Kumpel" nicht als Verursacher bezeichnet, dass war der TE selbst.
 
Ich möchte hier bitte als Mod alle Beteiligten um Mäßigung bitten.

Dazu würde ich in diesem Fall zählen, sowohl von direkten Maximalforderungen (Strafanzeige), als auch von zu "emotionalen" Antworten auf derartige Forderungen Abstand zu nehmen, oder zumindest beides moderater zu formulieren.

@Gwen: ich sehe hier keine versuchte Beleidigung von Firewire gegen Deine Person. Nur eine (zu?) emotionale und drastische Antwort.

Daher bitte an alle: locker bleiben.

Zur Sache: ob die Sache strafrechtliche Relevanz hat, können wir angesichts der Sachlage nicht beurteilen. Vermutlich liegt hier kein gewerbsmäßiges Angebot vor, daher ist fraglich wie ein straf/zivilrechtlich relevanter Schaden aussehen sollte. Vermutlich geht es hier um irgendwelche Clan oder Kumpelgeschichten, die sich zerknatscht haben (zumindest wissen wir nichts gegenteiliges) und der "dritte" nervt nun den TE bis der ihn endgültig hinauswirft.

Wenn es nur ein Chatskript ist, ist das mal wieder ein Fall von: (V)Server ist unnötig. Ein Webspacepaket würde es hier auch tun und ein vermutlich schlecht administrierter Server wäre vom Netz.
 
Back
Top