V-Server gehackt

S

Sven4972

Member
Hallo,

ich habe die Mitteilung bekommen, das mein V-Server zur Versendung von
Phishing Mails verwendet wird.

Nach Anfrage beim Support erhielt ich folgende Antwort.

Code: 
Es ist sofort zu erkennen das ein unbekannter Prozess im top läuft: 

top - 08:51:43 up 119 days, 13:12, 1 user, load average: 1.00, 1.02, 1.00
Tasks: 64 total, 2 running, 62 sleeping, 0 stopped, 0 zombie
Cpu(s): 80.8%us, 17.8%sy, 0.0%ni, 1.4%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st
Mem: 1048884k total, 713752k used, 335132k free, 167416k buffers
Swap: 1048568k total, 0k used, 1048568k free, 428204k cached

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
9339 root 20 0 6800 3080 1452 R 99.9 0.3 3924:00 rshell
1 root 20 0 1008 356 308 S 0.0 0.0 0:10.34 init
2 root 15 -5 0 0 0 S 0.0 0.0 0:00.00 kthreadd

Ich habe darauf sofort das root-Passwort geändert.

Was muss ich noch tun, damit der V-Server nicht mehr zur Versendung der Mails genutzt wird?

Ich habe auch festgestellt, das einige Ordner nicht mehr root als Besitzer haben, sondern einen anderen Besitzer.

Wie bekomme ich bei den Ordnern wieder denn root als Besitzer?


LG Sven
 
Ist es managed vServer?

Wieso schauen die überhaupt auf deinen vServer? So was nennt man Hausfriedensbruch, wenn es sich nicht um einen vServer handelt.

Check mal mit einschlägigen Tools, a la rkhunter oder chkrootkit ob du was findest. Ggf. mal schauen mit "lsof -i -n -P" welche Ports offen sind.
 
Abbild der Platte ziehen, Server runterfahren, Abbild analysieren und Einbruch lokalisieren.

Dann muss der Rechner neu installiert werden, wobei natürlich die alte Sicherheitslücke nicht wieder neu mitinstalliert werden sollte.
 
mr_brain said:
Wieso schauen die überhaupt auf deinen vServer? So was nennt man Hausfriedensbruch, wenn es sich nicht um einen vServer handelt.
Click to expand...

Jemand hats dem Provider gesteckt und auf die IP zurückverfolgt wo soll das Hausfriedensbruch sein?
Sie haben scheinbar ja erst draufgeschaut nach der Anfrage wie er oben geschrieben hat also:

Erst denken dann schreiben!!
 
mr_brain said:
Wieso schauen die überhaupt auf deinen vServer? So was nennt man Hausfriedensbruch, wenn es sich nicht um einen vServer handelt..
Click to expand...

Bei mit Virtuozzo virtualisierten Maschinen kannst du auf dem Hostsystem ein top aufmachen und siehst auch dort die Prozesse des Gastes - hat also eigentlich nichts mit Hausfriedensbruch zu tun, weil du den Server dazu nicht auf die Konsole des Servers zugreifen musstest.
Wenngleich ich stark dazu tendiere im Zusammenhang mit Servern den Begriff "Hausfriedensbruch" eher metaphorisch zu verwenden ;)


@Sven4972:
Wenn möglich, setze die Maschine in den Rescue-Modus - dann versendet die wenigstens keine Mails mehr.
Dann kannst du die Logfiles sichten und sichern, gleiches mit all deinen Daten auch tun (also das Sichern) und die Maschine neu aufsetzen.
Wenn der Provider es anbietet, kannst du eventuell auch anstelle einer Neuinstallation einen Snapshot deines Servers von vor einer Woche oder so zurücksichern lassen - unter der Prämisse, dass der Server nicht zu dem Zeitpunkt des Snapshots bereits die Mails versendet hat. Aber das erfährst du hoffentlich auch aus den Logfiles, wenn die nicht bereits gelöscht wurden.

Auf jeden Fall solltest du dir - wenn nötig - professionelle Hilfe holen, die zurückverfolgen kann woher der erfolgreiche Angriff kam und vor allen Dingen wie man ihn zukünftig verhindern kann.
 
Last edited by a moderator:
Auf jeden Fall solltest du dir - wenn nötig - professionelle Hilfe holen, die zurückverfolgen kann woher der erfolgreiche Angriff kam und vor allen Dingen wie man ihn zukünftig verhindern kann.
Click to expand...

da kann ich nur zustimmen. Scheinbar hat war mit deiner Grundkonfiguration nicht gestimmt, so dass sich ein Fremder Zugriff verschafft hat.
 
You must log in or register to reply here.
Back
Top