hallo
meine website wurde gestern gehacked. ich habe gesehen, dass die hacker eine shell-datei auf meinem server hochgeladen haben (r57shell).
ich habe die datei downgeloaded und auf dem server gelöscht.
nun weiss ich aber nicht, ob es noch mehr solche dateien auf meinem server gibt.
gibts eine möglichkeit den servern nach einer datei suchen zu lassen ?
danke
Security Frage
-
meandtheshell
- Beiträge: 4054
- Registriert: 14.01.2005 17:51:30
Hier muss man zwei Fälle unterscheiden:
- suchen von Files im normalen Alltagsgeschäft mittels z.B. "locate" oder
- suchen nach auffälligen Veränderungen etc. mittels "chkrootkit", "integrit" oder ähnlichem
Das Packet "tiger" sollte man sich auch einmal ansehen - dies macht Sinn noch bevor etwas geschehen ist. Ich empfehle Dir auf jeden Fall die Maschine vom Netz zu nehmen bis geklärt ist ob noch bösartiger Code auf Ihr liegt oder nicht.
markus
- suchen von Files im normalen Alltagsgeschäft mittels z.B. "locate" oder
- suchen nach auffälligen Veränderungen etc. mittels "chkrootkit", "integrit" oder ähnlichem
Das Packet "tiger" sollte man sich auch einmal ansehen - dies macht Sinn noch bevor etwas geschehen ist. Ich empfehle Dir auf jeden Fall die Maschine vom Netz zu nehmen bis geklärt ist ob noch bösartiger Code auf Ihr liegt oder nicht.
markus
hallo und danke für die schnelle antwort.
also, nach der datei habe ich suchen lassen, hatte aber wohl alles runtergeschmissen.
jetzt habe ich mit chkrootkit alles prüfen lassen und er hat 1 eintrag gefunden
muss ich die kiste jetzt platt machen ?
oder gibts da verdächtige hinweise?
bin leider nur die aushilfe
danke
Edit by Snoopy:
Code-Tags für die Leserlichkeit eingefügt.
also, nach der datei habe ich suchen lassen, hatte aber wohl alles runtergeschmissen.
jetzt habe ich mit chkrootkit alles prüfen lassen und er hat 1 eintrag gefunden
Code: Alles auswählen
checking 'bindshell' INFECTED (ports 465)
Checking `lkm'... You have 1 process hidden for readdir command
You have 1 process hidden for ps command
Warning: Possible LKM Trojan installedoder gibts da verdächtige hinweise?
bin leider nur die aushilfe
danke
Edit by Snoopy:
Code-Tags für die Leserlichkeit eingefügt.
jetzt habe ich mal das hackertool auf meinem server installiert um zu sehen wa DIE sehen. da kann man files hochladen und nach ports scannen, das habe ich auch mal gemacht, ergebnis:
heisst das nun, das bestimmte ports auf sind und der server zu hacken ist?
danke
Code: Alles auswählen
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:783 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:8880 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN
tcp 0 0 62.75.188.183:53 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:8443 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:995 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:106 0.0.0.0:* LISTEN
unix 2 [ ACC ] STREAM LISTENING 3535311657 /tmp/spamd_light.sock
unix 2 [ ACC ] STREAM LISTENING 3535448618 /var/run/mysqld/mysqld.sock
unix 2 [ ACC ] STREAM LISTENING 3535311411 /tmp/spamd_full.sock
unix 2 [ ACC ] STREAM LISTENING 3546793202 /var/run/fpcgisock
danke
Ja, unabhängig davon, ob du was findest oder nicht; es kann immer neue unbekannte Rootkits oder ähnliches geben.vsitor hat geschrieben:muss ich die kiste jetzt platt machen ?
oder gibts da verdächtige hinweise?
Nach einem Hackerangriff immer neu aufsetzen! (Und natürlich die Lücke schließen, durch der der Hacker eingedrungen ist)
hallo,
das problem ist wie gesagt, das ich nur die aushilfe bin und der eigentliche admin 2 wochen im urlaub ist (prost mahlzeit!)
auf dem server gibt es verzeichnisse wie zb var/www/vhosts/meinewebsite.de
reicht es, wenn ich die domain in plesk lösche und neu aufsetze, oder muss der ganze server plattgemacht werden - mit allen domains ?
wenn es darum geht, die ordner im var/www zu löschen und neu zu machen, da hat er backups von gemacht. wenn der ganze server plattgemacht werden muss, wäre richtig übel .....
ich hatte das script wie gesagt auf dem server getestet und konnte so gut wie nichts machen, ausser ein paar dateien zu lesen in denen configurationen waren. dadurch war eine anbindung an sql möglich und die mamboseite wurde geknackt.
wär es möglich das man über so ein script gleich den ganzen server plattmacht ?
danke für die hilfe
PS: die rechte sind jetzt natürlich anders gesetzt !
das problem ist wie gesagt, das ich nur die aushilfe bin und der eigentliche admin 2 wochen im urlaub ist (prost mahlzeit!)
auf dem server gibt es verzeichnisse wie zb var/www/vhosts/meinewebsite.de
reicht es, wenn ich die domain in plesk lösche und neu aufsetze, oder muss der ganze server plattgemacht werden - mit allen domains ?
wenn es darum geht, die ordner im var/www zu löschen und neu zu machen, da hat er backups von gemacht. wenn der ganze server plattgemacht werden muss, wäre richtig übel .....
ich hatte das script wie gesagt auf dem server getestet und konnte so gut wie nichts machen, ausser ein paar dateien zu lesen in denen configurationen waren. dadurch war eine anbindung an sql möglich und die mamboseite wurde geknackt.
wär es möglich das man über so ein script gleich den ganzen server plattmacht ?
danke für die hilfe
PS: die rechte sind jetzt natürlich anders gesetzt !
-
jhr-online
- Beiträge: 2186
- Registriert: 18.09.2005 15:52:02
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
-
meandtheshell
- Beiträge: 4054
- Registriert: 14.01.2005 17:51:30
Du hast hier völlig Recht. Das möchte natürlich niemand. Wenn aber aufgrund von irgenwelchen Dingen die dein Server machtvsitor hat geschrieben:wenn der ganze server plattgemacht werden muss, wäre richtig übel ...
- SPAM Relay
- WAREZ Server
- etc.
rechtliche Konsequenzen ins Haus stehen ist das Server neu aufsetzen das weit geringere Übel.
markus