User gelöscht. vserver gehackt?

[fetzenfresser]

Guten Morgen,

folgendes Problem hat sich heute so gegen 1:00 Uhr ereignet:
ich wollte mich mit meinem eingerichteten Useraccount per SFTP einloggen. Er sagte dass der Benutzer unbekannt wäre. Habe dann den root Login für ssh wieder freigeschaltet und mich eingeloggt. Ging glücklicher weise auch. Der Benutzer ist jetzt nicht mehr da! warum nicht? denn das Benutzerverzeichnis ist mit allen Daten vorhanden.

Ich nehme an das dass Teil gehackt ist. Aber wie genau soll ich jetzt vorgehen?

Serverinfo: server4you vserver, debian 3.1 (Updates habe ich alle gezogen, schon vorher), dieses Confixx-premium... usw.

Als erste Maßnahme habe ich chkrootkit und rkhunter gestartet. die haben nichts entdeckt, jedenfalls kein rootkit.

Der rkhunter hat aber festgestellt dass der Benutzer nicht mehr drin ist. Toll das weiß ich auch selber

Da ich völlig übermüdet war habe ich über dieses Powerpanel die Firewall für incoming und outgoing dicht gemacht. Dann mit der noch offenen ssh Session einen reboot durchgeführt. Desweiteren das Root PW geändert.

damit ist er jetzt erstmal vom Netz. Aber wie soll ich jetzt vorgehen? passiert das manchmal dass ein user gelöscht wird?

Ich bitte um eure Hilfe.

Gruß fetzenfresser

 

[marneus]

Also nur weil der Boden nass ist, muss es nicht geregnet haben!

Zuersteinmal Ruhe bewahren. Ich denke, Du hast für's erste gut gehandelt und (möglichen) weiteren Schaden abzuwenden.

Wichtig wären jetzt erstmal Logfiles! Ein User verschwindet nicht so einfach. Schau mal mit

last -n20

nach, wer sich so alles eingeloggt hat. Sind dort IPs/Zeiten bei, wo Du Dich unmöglich hast einloggen können?

Da ich gerade sehe, dass Du Confixx nutzt wäre wohl auch ein Blick in Deine Apache Logs nicht verkehrt.

 

[fetzenfresser]

hmm...

Hallo marneus,

Also ich habe denke ich alles soweit durchgeschaut.

last: sind nur meine IP's.

Jetzt kommt etwas Auffälliges:
In Messages:

Sep 19 21:33:46 service -- MARK --
Sep 19 21:53:46 service -- MARK --
Sep 19 22:13:46 service -- MARK --
Sep 19 22:33:46 service -- MARK --
Sep 19 22:53:46 service -- MARK --
Sep 19 23:03:35 service shutdown[27724]: shutting down for system reboot
Sep 19 23:03:46 service exiting on signal 15
Sep 19 23:05:49 service syslogd 1.4.1#17: restart.
Sep 19 23:25:49 service -- MARK --
Sep 19 23:45:49 service -- MARK --
Sep 20 00:05:49 service -- MARK --
Sep 20 02:45:51 service -- MARK --
Sep 20 03:05:51 service -- MARK --
Sep 20 03:25:51 service -- MARK --
Sep 20 03:45:51 service -- MARK --
Sep 20 03:59:27 service syslogd 1.4.1#17: restart.
Sep 20 04:25:52 service -- MARK --

Verwunderlich ist der Zeitabstand am 20.09 ab 0:05...

Apache Logfile:
da ist eigentlich nichts Nennenswertes, ganz normale Aufrufe auch nur von meinen ip's bezüglich Confixx.

Habe festgestellt das alle anderen Logfiles ebenfalls die Lücke aufweisen.

Man ist das frustrierend.
Ich finde das alles seltsam.

 

[marneus]

Ja, 2 Std. ohne Logging - sehr eigenartig. Hast Du den Systemreboot veranlasst?

Das ist wohl was für Mercy...

 

[fetzenfresser]

nein der reboot, keine ahnung wo der herkommt.

ist es empfehlenswert die Kiste neu zu installieren?

Ich glaube die Frage hat sich erübrigt... bis ich da alles gefunden habe ist wohl Silvester.

Wenn du auch für eine Neuinstall plädierst.
wie kann ich die confixx Benutzer bzw. die Datenbanken packen und downloaden?
Welches OS sollte ich auf den Server spielen? Wieder Debian? Habe gehört das ist nichts für Anfänger, soll ich da redhat bevorzugen?

Ich würde nich so schnell zu einer Neuinstall tendieren, wenn schon massig Daten drauf wären. Der ist erst 7 Tage am Netz, daher ist da auch noch nich so viel drauf.

Das mit Confixx und die alte Version mit .htaccess habe ich hier schon im forum nachgeblättert. Sollte ich dann besser auf confixx verzichten?

aber wie kann ich dann webmail und den kram realisieren? und benutzer anlegen. Ist Plesk kostenlos? oder so... ach mann ich weiß auch nicht.

ist echt ätzend. Vor allem jetzt überschütte ich dich mit Fargen die bestimmt auch woanders reingehören.

Gruß fetzenfresser

 

[marneus]

nein der reboot, keine ahnung wo der herkommt.

Das ist schlecht!

Ist es empfehlenswert die Kiste neu zu installieren?

Ja und nein! Ich zitiere gerne Thunda und Mercenary (aus diesem Forum): "Eine Neuinstallation bringt nichts, wenn man nicht weiß, woher der Fehler kommt!" Wenn das System danach wieder "so einfach" zu kompromittieren ist (wenn er das denn überhaupt wurde), bringt die Neuinstallation ja nun wirklich überhaupt nichts.

Die Information mit den 7 Tagen Laufzeit ist schon mal gar nicht schlecht. Was läuft denn im Moment auf der Kiste? Vllt. irgendwelcher Joomla! "Mist"?

Das mit Confixx und die alte Version mit .htaccess habe ich hier schon im forum nachgeblättert. Sollte ich dann besser auf confixx verzichten? Aber wie kann ich dann webmail und den kram realisieren? und benutzer anlegen. Ist Plesk kostenlos? oder so... ach mann ich weiß auch nicht.

Dazu kann ich leider gar nichts sagen! Ich habe von Confixx soviel Ahnung, wieder Stein vom Schwimmen. Wenn es Dein Können zulässt und Du keine Administrationshilfe ala Confixx brauchst, ja dann runter damit. Zum Backup von Confixx gibt es hier im Forum zig Threads.

Vor allem jetzt überschütte ich dich mit Fargen die bestimmt auch woanders reingehören.

Inselprobleme gibt es nun mal leider selten in der Serverwelt

 

[Mercenary]

Das ist wohl was für Mercy...

Naja ich bin ja als altbackener Datengraeber geuebt darin, Daten zu filetieren und Informationen daraus zu erhalten, aber wo keine logs sind da sind auch keine Daten (zumindest nicht auf den ersten blick s.u.).

Anders mit diesem Thread, im Log ist ein Neustart zu sehen um 23:03, wenn ich annehme dass das GMT ist, dann war das um 01:00 und das deckt sich mit der Aussage aus dem ersten post, um 1 Uhr sei das Problem aufgefallen und behandelt worden, mitunter mit einem Neustart. Wir sehen dort also wahrscheinlich nichts ausser dem, was der fetzenfresser heute Frueh gemacht hat, kein Grund zur Sorge also.
Einzig ... Wenn etwas eingerichtet wurde, was einen Neustart braeuchte, dann ist es jetzt erst richtig aktiv.

Aber ich habe da doch was fuer heute Abend.
Wenn ein Benutzer geloescht wurde wurden "wahrscheinlich" die Dateien /etc/group und /etc/passwd angefasst also von denen mal den Zeitstempel beschaffen dann weiss man auch, in welchem Zeitraum man suchen muss.
Dann mal die Verzeichnisse /etc und /var/log am besten tar-gz'ten und auf ein lokales System downloaden. Zum einen sucht sich's da leichter (mit Explorer und UltraEdit und Excel und Co auch sehr fein um logfiles zu zerlegen) und zum anderen hat man auch gleich wichtigere Dinge gesichert.

Naja und dann laesst man halt in /etc und /var/log alle Dateien suchen, die in der Zeit (als /etc/passwd geaendert wurde) angefasst wurden und sieht sich die Eintraege an z.B. der Apache logs, der messages, der secure und den anderen die ich noch nicht kenne oder die mir gerade nicht einfallen.

Es kann auch nicht schaden auf dem ganzen Server mal einen Suchlauf nach in dem Zeitraum geaenderten Dateien zu machen.

Nochwas zum Thema Oberflaechen/Admininterfaces; Wenn du weisst, welche Handgriffe Du im Rahmen deines Tagesgeschaefts zu tun hast, dann kannst Du Dir die mit Webmin hervorragend erleichtern, den Webmin kann man bei Bedarf starten und auch beenden und er greift nicht ins System rein.
Wenn du aber nicht weisst, welche Handgriffe Du zu tun hast, dann ist wohl so ein alles verbergendes und sich keummerndes Uebel wie Confixx oder Plesk mehr als sinnvoll.
Wobei es wohl auch fuer Webmin ein Modul "Virtualmin" gibt, das so eine Rundum-SichKuemmern Funktionalitaet mitbringen soll, das habe ich mir aber noch nicht angesehen, dazu kann aber womoeglich? Huschi bei Interesse sicher mehr sagen.

Ciao,
Mercy.

 

[Huschi]

dieses Confixx-premium... usw.

Ist das noch die Confixx-Version, die Grundsätzlich die gesamte passwd neuschreibt, ohne Rücksicht auf eigene User?

Wobei es wohl auch fuer Webmin ein Modul "Virtualmin" gibt

Jepp, für den Hausgebrauch reicht das.

huschi.

 

[fetzenfresser]

Ich mag den Server nicht mehr haben.

So. Jetzt bin ich mit dem Modem online, was für eine Freude.

Ich danke euch für eure Antworten.

Ich habe in meiner geistigen umnachtung irgendwann mal AIDE installiert.
Wie ich herausfand war das auch nützlich.

Ich habe eine neue Datenbank initialisiert und sie mit meiner lokalen verglichen.

Die Files von: passwd, nmap, aide waren manipuliert. Nmap hatte ich mal geupdated.. das kann auch daran liegen das das gelistet war.

Jetzt habe ich das Teil neuinstalliert. Die Firewall komplett dicht gemacht und die Kündigung abgeschickt.

Das was seit Freitag in dem Rechenzentrum abgeht ist doch nicht mehr normal... mal erreichbar mal nicht. Jetzt habe ich mir einen bei 1&1 gemietet.
Vorallem die sprechen alle Deutsch. *räusper*

OK. Mit dem Neuen habe ich auch gleich noch fragen zu Plesk. Aber die gehören hier nicht rein.

Nochmal vielen Dank für eure Antworten.

Mit Freunlichem Gruß

Fetzenfresser