Ich hatte im Fileserver-Forum schon mal ein Problem wegen einem "geklauten" ProFTPd-Prozess gepostet, jetzt hat sich die Lage auf meinem Rootserver in den letzten Stunden so rapide verschlechtert, dass ich ihn vorerst mit INIT 0 in einen Dornröschenschlaf versetzt habe. Folgende Hinweise begründen meine Meinung, dass der Server "feindlich übernommen wurde"
+ In der auth.log sind seit 2 Stunden im Minutentakt Logins von root zu verzeichnen, obwohl ich nie per root über SSH anmelde (bzw. das auch in der ssh-config unterbinde)
+ Auf allen CMS-Systemen, die auf meinem Rootserver laufen sind Emails eingegangen, dass jemand per Password-Rücksetzung Zugriff als Root-User für die CMS-se erhalten hat.
+ Der geklaute ProFTPd-Prozess war erst der Anfang.
+ Ich habe auf meine private Emailadresse eigenartige Drohungen erhalten
Nun meine eigentlich Frage. Momentan ist der Server erst mal komplett offline, also noch nicht mal mehr anpingbar. Ich verspreche mir davon, dass für jemanden, der immer noch versucht den Server für seine Zwecke zu missbrauchen das Ziel inattraktiv wird. (Bswp. für ein Botnetz)
Wie sollte ich vorgehen, wenn ich den Server in den nächsten Tagen wieder hochfahre? Natürlich werde ich bis auf SSH erst mal alle Dienste beenden, die nicht benötigt werden. Dann chkrootkit und rkhunter nochmal aktualisieren und laufen lassen und die Logfiles auswerten. Das war mein Plan bis dahin.
Was ist Eurer Meinung nach noch sinnvoll? Passwörter verändern ist natürlich auch schon geplant. Kennt hier noch jemand andere gute Scanner und Tools zum überprüfen der Sicherheit? Welche Files sollte ich auf jeden Fall noch von Hand checken?
Eure schnelle Mithilfe währe wirklich sehr hilfreich!
Vielen Dank
Nico
Was tun nach Hacker-Angriff
-
blueflidge
- Beiträge: 1414
- Registriert: 31.01.2005 10:16:49
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: bei Bonn
Auf jeden Fall ist eine Neuinstallation fällig. Je nachdem was bisher durch den "Angriff" vorgefallen ist, kannst du dich an folgende Anleitung halten:
http://www.rootforum.de/faq/content/14/ ... erver.html
http://www.rootforum.de/faq/content/14/ ... erver.html
-
crazyed
Ja, bei deinem Wissensstand(?) ist das Betreiben eines Rootservers schon grob fahrlässig. Üb' mal mit einem Homeserver wie man so was richtig absichert. Dann erst einen Rooty öffentlichen betreiben. Es gibt schon genug Spamschleudern im Netz...noiz hat geschrieben: Jemand einen anderen Vorschlag?
Tschuldigung für die harten Worte
Servus
Da bin ich der gleichen meinung.
Ich selber kann nur empfehlen, alles notwendige sichern und dann den Server löschen und neu installieren.
Denn ssh port sehr hoch setzen und alle anderen Dienste kurz abschalten danach gewisse Programme wie Cruft installieren und Versuchen eine Firewall als UML laufen lassen. (Das war mein aller erster Debian Server von der C´t Zeitschrift *ach* der war geil
).
Ach ja Permit root login auf no setzen und StrictMode auf yes, dann ist man schon ein bischen sicherer.
Ein schweres root Passwort verwenden von min 13 stellen mit Zahlen, Buchstaben und sonderzeichen. (Benutzer sollten natürlich auch kein leichtes Passwort haben, vor allem Wörter nicht benutzen).
Vielleicht das Prgramm was ja jetzt bei etch dabei ist SeLinux noch benutzen.
Jedenfalls das ist meine meinung, denn wenn das ein halbwegs guter hacker war wird eer sowieso deine Distri komplett umgekrempelt und mit root-kits voll geballert haben.
Viel Glück !!
Da bin ich der gleichen meinung.
Ich selber kann nur empfehlen, alles notwendige sichern und dann den Server löschen und neu installieren.
Denn ssh port sehr hoch setzen und alle anderen Dienste kurz abschalten danach gewisse Programme wie Cruft installieren und Versuchen eine Firewall als UML laufen lassen. (Das war mein aller erster Debian Server von der C´t Zeitschrift *ach* der war geil
).Ach ja Permit root login auf no setzen und StrictMode auf yes, dann ist man schon ein bischen sicherer.
Ein schweres root Passwort verwenden von min 13 stellen mit Zahlen, Buchstaben und sonderzeichen. (Benutzer sollten natürlich auch kein leichtes Passwort haben, vor allem Wörter nicht benutzen).
Vielleicht das Prgramm was ja jetzt bei etch dabei ist SeLinux noch benutzen.
Jedenfalls das ist meine meinung, denn wenn das ein halbwegs guter hacker war wird eer sowieso deine Distri komplett umgekrempelt und mit root-kits voll geballert haben.
Viel Glück !!
Vielen Dank, genau sowas habe ich gesucht.salnet hat geschrieben:Auf jeden Fall ist eine Neuinstallation fällig. Je nachdem was bisher durch den "Angriff" vorgefallen ist, kannst du dich an folgende Anleitung halten:
http://www.rootforum.de/faq/content/14/ ... erver.html
PS: Vielen Dank an Brawn für Deine Tips
PS2 an crazyed: Harte Worte in der Tat. Handlungsbedarf (Und das scheint eine menschliche Angewohnheit zu sein) entsteht leider immer erst dann, wenn "das Kind schon in den Brunnen gefallen ist"
Um den Missbrauch als Spamschleuder zu unterbinden habe ich das Ding ja komplett vom Netz genommen.100%ige Sicherheit ist wie immer eine romantische Illusion, der man sich zu schnell hingibt. Gerade vor 2 Wochen dachte ich, dass die Eingerichtet Firewall und reduzierte Dienste, sowie meine ausgesprochen ausgeprägste Updateverhalten eigentlich ein Grundmaß an Sicherheit bieten. Naja wohl falsch gedacht!
Eine Frage für mich bleibt jetzt noch: Wenn ich den Server (Natürlich ordnungsgemäß gesichert!) wieder ans Netz bringe ist meine IP ja nach wie vor die gleiche, d.h. ich bin mit Sicherheit bei dem Angreifer in einem Adressbuch möglicher Opfer gelandet.
Naja, ich gelobe Besserung bei der Sicherheits-Politik und bedanke mich vorerst bei allen Helfern!
Grüße und ein schönes Wochenende
Nico