Verzweiflung macht sich breit!

[Olly]

Guten Abend,
mein Name ist Olly und ich bin 42 Jahre alt.
Wir haben gerade erst ein Webradio für Behinderte und Sozial benachteiligte Menschen erstellt und einen Rootserver bei 1 & 1 gemietet.
Leider hat jemand wohl das Forum oder die bereitgestellten Spiele benutzt um den Server zu "hacken?" . Leider ist es jetzt so das unser Server Phishingmails versendet und ich kann nichts dagegen tun da ich absoluter Neuling auf dem Gebiet bin.
Man hat den Server nun gesperrt damit er keinen Schaden mehr anrichten kann.
1&1 sagte mir ich könne über SSH auf den Server zugreifen und soll mal in den Logfiles suchen und diese Schreibschützen.
Leider weiss ich nicht was die eigentlich von mir wollen und kann also nicht reagieren.
Im Sinne der Behinderten Menschen bitte ich HIER um Hilfe damit SHR-Radio (Social Handicap Radio ) bald wieder senden kann.

 

[Mordor]

Im Sinne der Behinderten Menschen bitte ich HIER um Hilfe damit SHR-Radio (Social Handicap Radio ) bald wieder senden kann.

Sorry, aber ich bin selbst schwehrbehindert, und das ist für mich persönlich nur ein Vorwand für mangelnde Kenntnisse, und das nötige Gefühl für Sicherheit im Umgang mit Servern. Denn ich habe bis jetzt meine Behinderung nicht vorgeschoben.
Desweiteren sollte man sich im klaren sein was man mit einem Server anrichten kann, bevor man sich einen besorgt.

Nun zu deinem Problem:
Das was 1und1 meint ist, dass du nach möglichen Einbruchversuchen in den Logfiles suchst. Wenn du sagst dass Forensoftware auf dem Server installiert war, stellt sich als erstes die Frage, ob diese aktuell gehalten wurde. Also solltest du mal in den Apache-Logfiles anfangen zu suchen.

 

[traced]

Hi,
zähl doch bitte kurz auf was auf dem Server installiert ist, das Betriebssystem, und wie schon gesagt Logfileauszüge aus dem entsprechenden Zeitraum, vielleicht lässt sich ja was herausfinden!

Wir wollen aber nicht die Arbeit für Dich machen, sondern Dir nur grob zeigen wie Du das dann selber hinkriegst Rootserver sind kein Spielzeug, egal für welchen Zweck sie angemietet wurden. Parallel solltest Du dich im Internet schlau machen wie man so eine Kiste dementsprechend absichert, die Forensuche hier wird Dich auch mit guten Ergebnissen erschlagen!

lg
Basti

 

[d4f]

Es gibt 3Moeglichkeiten ohne großen Aufwand Pishing-Mails von einem RootServer zu schicken:

1) Bruteforce auf SSH. (kriege täglich paar hundert auf meine Server)
=>Schau die SSH Zugriffslogs (sind meistens geloescht/geaendert)

2)Durch unkontrollierte Uploadformulare entsprechende PHP-Skripte hochladen
=>Schau die Apache Logs

3)Durch Openrelay Postfix (o.ae) Spams weiterleiten
=>Schau die Postfix Logs

In allen 3Faellen solltest du die Postfix Logs auslesen, da in diesen steht von wo (IP/Hostname) und an wen die Emails gingen, es also recht einfach sein sollte eine Begrenzung des Einbruchs durchzuführen.

Bitte beachte außerdem dass es sich sicherlich um eine nette Geste handelt, aber Spammer & Co keine Rücksicht darauf nehmen -Caritas & Co wurden auch schon mehrmals gehackt...
Ein guter Admin/Manager kostet nicht die Welt und könnte sich nach Erklärung des Projekts vielleicht für vergünstige Tarife oder kostenlose Arbeit entscheiden.

Bitte unbedingt die bereits erwähnten Logfiles posten!!!

 

[noto]

Da du (wie du selbst sagst) absoluter Neuling bist, wäre es am einfachsten, wenn der Hoster den Server neu installiert (Neuzustand).

Danach triffst du Sicherheitsvorkehrungen wie SSH Port ändern, kein open Relay ect. (im Forum hier gibt es bereits Threads zum Thema Sicherheit).Dann installierst du die Forensoftware ect. und Patches damit alles aktuell ist.

Und!

Falls du keine Kenntnisse hast, solltest du zuerst ein wenig lesen. Kannst natürlich auch Fragen stellen.

- welche Software kommt bei einem Server zum Einsatz? Was ist Apache, Linux, Plesk

- welche Dienste laufen auf einem Server? FTP, Mail, HTTP, SSH

- Linux als Betriebsystem, Verzeichnisse, Dateien, Logfiles, Konsole, User, root

- was ist SSH, Putti, Linux Befehle und Fernwartung?

- Apache als Webserver, seine Konfigurationsdateien und Module

- der Texteditor vim und seine Befehle

Serversicherheit

 

[Olly]

Sorry, aber ich bin selbst schwehrbehindert, und das ist für mich persönlich nur ein Vorwand für mangelnde Kenntnisse, und das nötige Gefühl für Sicherheit im Umgang mit Servern. Denn ich habe bis jetzt meine Behinderung nicht vorgeschoben.

Sorry aber was sollte das für einen Sinn haben? Ich sagte bereits das ich ein Neuling bin und wieso sollte ich einen Vorwand brauchen? WIr haben Leute auf unserem Server die Körper Und/oder Geistig Behindert sind und geben uns einfach nur Mühe die Leute in unsere Runde aufzunehmen und Ihnen zuhören oder aber Ihre Musikwünsche zu spielen.
ALso nur damit keine falschen Eindrücke entstehen, der Server die Gema und GVL kosten jeden Monat ca.300€ und man kann suchen und noch so Kritisch durchforsten man wird weder bezahlte Werbung noch Spendenaufrufe in eigener Sache finden.
Wir wollen keinen Gewinn machen und es ist auch nicht beabsichtigt leute über den Leisten zu ziehen.



Zu den Phishing Mails:
Ich habe jetzt einen Mann gefunden der solche Webradios aufbaut und verkauft und dieser hat die Schwachstelle gefunden. Es war wohl eine veraltete Version unseres PHP Forums.
Danke für die Hilfe und alles Gute!

Olly

 

[keksausmainz]

Damit ist die Sache aber nicht aus der Welt!!

Irgendwann wirst Du wieder veraltete Software haben, dann brauchst Du wieder einen "Mann, der sich auskennt", und dann werden wieder tausende - vlt. Millionen - Leute Phishing-Mails von dir empfangen, und Du gerätst in Teufels Küche!

Meine (persönlichen) drei Goldenen Regeln:

1. Bevor Du was tust, weiß was du machen willst
Habe bevor ich mir meinen ersten Server zugelegt habe, Linux bereits privat benutzt. Bücher helfen da auch weiter. Bevor Du was am Server ausprobierst - so mache ich es - nimm deine Sandkasten-Installation von dem Linux und probiere es da. Dann siehst du schon, ob evtl. Fehler auftreten können.

2. Vorsicht ist besser als Nachsicht
Das Wichtigste ist die Sicherheit, eben wegen solchen Vorfällen. Strato z.B. hätte dir prompt eine Unterlassungserklärung geschickt und der Server wär futsch. Dachte eigentlich dass 1&1 das auch macht. Hast Glück. Deswegen das erste was man macht: Firewall einrichten, SSH absichern, Updates suchen, andere Software absichern (nicht unbedingt in der Reihenfolge)

3. Im Fall der Fälle: ganz auf die Schnelle
Dein Server versendet Phishing-Mails? UND DU LÄSST IHN LAUFEN????? Das ist ein starkes Stück. Bei so was ganz schnell handeln: Postfix stoppen, am besten den Apache stoppen oder ne Fehlerseite anzeigen lassen - oder gleich den ganzen Server abschalten. Dann in RUHE die Log-Dateien einsehen, und nach der Lücke suchen.

Also, verlass dich nicht zu sehr auf den "Mann, der sich auskennt", versuch dich einzuarbeiten! Es ist ein heikles Thema.