Erfolgreich angegriffen?

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
Antworten
pcace
Beiträge: 239
Registriert: 28.08.2011 01:08:55

Erfolgreich angegriffen?

Beitrag von pcace » 27.04.2015 14:08:37

Hallo,

ich habe eine Dringende Frage:
ich habe hier einen debian server stehen, der gerade das upgrade auf jessie bekommen hat. einen tag später habe ich eine mail von unserem netzwerkadministrator bekommen, dass der Rechner in den letzten 2 wochen 400gb traffic erzeugt hat. Ich bin aus allen wolken gefallen und habe erstmal /etc/init.d/networking stop gemacht.

ich habe nun große angst, dass der server dinge tut, die ich nicht möchte!
Was habe ich getan:
- "nethogs" zeigt mir keinen traffic an bzw. wenige kb/s bei denen ich weis was das ist.
- ufw ist so eingerichtet, dass ich nur port 80/443; 22 und 1194 von aussen erreichen kann. Andere Ports sind nur aus dem OpenVPN (über 1194) zu erreichen.
- updates sind natürlich immer eingespielt.
- spannend ist nun, wenn ich die kiste neustarte und mir per ethstatus den traffic ansehe, ist meine Leitung VOLL ausgelastet (10mbyte hoch und runter...)

Was zur Hölle passiert da und wie kann ich das beenden?

Ich würde mich extrem über jegliche Hilfe freuen!!!!

Gruß,

Pcace
Nach oben
uname
Beiträge: 12474
Registriert: 03.06.2008 09:33:02

Re: Erfolgreich angegriffen?

Beitrag von uname » 27.04.2015 14:22:20

Fangen wir ganz vorne an. Deine gesamten Sicherheitsmaßnahmen waren natürlich sinnlos, wenn dein Client (Windows?) mit einer Malware oder Trojaner verseucht ist. Da hat dann der Angreifer einfach den erlaubten Weg per openVPN oder SSH genutzt. Also analysiere vielleicht erst mal dein Windows-System. Dann kann alles auch ein Fehler deines Netzwerkadministrators gewesen sein und es besteht überhaupt kein Problem. Und wenn das System doch verseucht ist könnte es sein, dass sämtliche Analyse-Tools gar nicht korrekt funktionieren. Insgesamt schwierig. Vor allem würde ich erst mal alle Passwörter und Zugangsschlüssel ändern. Und solange du unsicher bist bleibt sowieso nur die Neuinstallation aller betroffenen Systeme (Client und Server). Vielleicht schau dir noch ein paar netstat- und lsof-Angaben an. Vielleicht sagen die mehr aus als das von dir genannte Tool. Für den Webserver (80/443) wäre noch interessant was du so an Apache2-Anwendungen installiert hast wie z.B. malwareanfällige CMS-Systeme und vor allem deren Plugins.
Nach oben
pcace
Beiträge: 239
Registriert: 28.08.2011 01:08:55

Re: Erfolgreich angegriffen?

Beitrag von pcace » 05.05.2015 15:35:30

Hallo,

ich habe mich jetzt für eine komplette Neuinstallation entschieden.

Gruß,

Pcace
Nach oben
Antworten

Zurück zu „Einstiegsfragen“