Nach Serverhack kein Syslog mehr

andre.ballensiefen · Beitrag von **andre.ballensiefen** » 16.03.2008 14:32:46

Hallo zusammen,

ich habe letzte Woche einen neuen Webserver mit Etch aufgesetzt. Aus Zeitgründen hatte ich es noch nicht geschafft alle Sicherungen einzubauen. So kam es das in der Nacht von Donnerstag auf Freitag der Server "gehackt" wurde. Ich hatte ca. 1000 Prozesse "ssh-scan" auf dem System. Naja nach einem Neustart und den entsprechenden Anpassungen im sshd ist wieder alles in Ordnung. Merkwürdigerweise funktioniert das syslog nicht mehr. Alle Logdateien enden am 14.03. um 00:30. Auch ein neustart der Deamons bzw. ein Serverneustart zeigen keine Wirkung.

Das Backup was jede Nacht läuft (mit backup-manager) gibt folgende Fehlermeldung:

Code: Alles auswählen

no connection to syslog available
	- unix dgram connect: Connection refused at /usr/share/perl5/BackupManager/Logger.pm line 165

Hat jemand eine Idee was das sein kann ?
Ich kann den Server nicht nochmal neuinstallieren weil schon 2 Webs auf dem System laufen.

Danke im Voraus.

Andre

neuss · Beitrag von **neuss** » 16.03.2008 14:38:16

Hallo,

andre.ballensiefen hat geschrieben:Ich kann den Server nicht nochmal neuinstallieren weil schon 2 Webs auf dem System laufen.

Das ist egal, du musst den Server neu aufsetzten!

gruss neuss

Saxman · Beitrag von **Saxman** » 16.03.2008 14:40:20

Kann mich neuss nur anschließen. Neu Aufsetzen..Alles andere ist fahrlässig.
Den server 100% rein zu bekommen ist im nachhinein nicht mehr drin.

gms · Beitrag von **gms** » 16.03.2008 15:55:55

andre.ballensiefen hat geschrieben:Ich hatte ca. 1000 Prozesse "ssh-scan" auf dem System.

hast du wenigstens geschaut, unter welchem User Account diese Prozesse gelaufen sind ?

andre.ballensiefen hat geschrieben: Naja nach einem Neustart und den entsprechenden Anpassungen im sshd ist wieder alles in Ordnung.

wie kommst du darauf, daß der Eindringling über sshd reingekommen ist ?

andre.ballensiefen hat geschrieben: no connection to syslog available
- unix dgram connect: Connection refused at /usr/share/perl5/BackupManager/Logger.pm line 165
Hat jemand eine Idee was das sein kann ?

Hast du schon versucht den Syslog neu zu starten ?

andre.ballensiefen hat geschrieben: Ich kann den Server nicht nochmal neuinstallieren weil schon 2 Webs auf dem System laufen.

das ist zwar ein Grund, aber kein Hindernis! Nachdem du die Schwachstelle nicht kennst, wirst dir eher früher als später gar nichts anderes über bleiben

Gruß
gms

andre.ballensiefen · Beitrag von **andre.ballensiefen** » 17.03.2008 09:37:58

@gms

last gibt folgenden Hinweis:

Code: Alles auswählen

ftp      ftpd20885    panzio.ohb.hu    Fri Mar 14 04:58 - 04:58  (00:00)
root     pts/2        85.121.98.10     Fri Mar 14 00:07 - 00:07  (00:00)
root     pts/1        85.121.98.10     Fri Mar 14 00:07 - 00:07  (00:00)
root     pts/1        85.186.131.228   Fri Mar 14 00:04 - 00:04  (00:00)

Frage 1: root und ftp
Frage 2: wg. pts/1+2
Frage 3: Mittlerweile ca. 100x (inkl. ca. 10 Server Neustarts)

Das Hauptproblem ist, dass das 2 Seiten sind mit einem aufkommen von. ca. 15.000-20.000 Aufrufen am Tag und der 2. Server die Last alleine nicht übernehmen kann. Ich habe einen Ersatzserver bestellt. Dauert aber noch eine Woche bis der da ist.

Ich hatte den Loadbalancer zum Test auf "Alle Ports offen" gesetzt und vergessen den wieder zurückzustellen. Das ist jetzt alles wieder ok und keiner kommt mehr auf die ssh ports.

Wenn es halt nicht anders geht, wird das ding nächste Woche getauscht und damit hat sich das. Wäre nur gut gewesen wenn es anders funktioniert hätte.

Trotzdem danke für Eure Hilfe !

Viele Grüße,

Andre

ckoepp · Beitrag von **ckoepp** » 17.03.2008 15:34:26

andre.ballensiefen hat geschrieben:Das Hauptproblem ist, dass das 2 Seiten sind mit einem aufkommen von. ca. 15.000-20.000 Aufrufen am Tag und der 2. Server die Last alleine nicht übernehmen kann. Ich habe einen Ersatzserver bestellt. Dauert aber noch eine Woche bis der da ist.

Also sei mir nicht böse: aber es gibt keinen einzigen Grund gegen eine sofortige Neuinstallation. Keinen! Und es ist auch vollkommen egal ob du sshd sperrst oder nicht - es ändert nicht daran, dass du keine Kontrolle mehr über deinen Rechner mehr hast. Und dir ist klar, dass du ab jetzt für alles voll haftest gegenüber deinen Kunden - und Datenklau ist nicht billig

Du handelt wissentlich und damit absolut fahrlässig.

Letztendlich bist du dafür verantwortlich was du tust. Wir hier können nur an deine Professionalität appelieren und dir sagen, dass du gerade auf sehr dünnem Eis wandelst

Schade nur, dass so viele keine Ahnung haben was sie mit einem solchen Server anrichten und wie verrückt die Annahme ist noch irgendetwas zu kontrollieren. In solchen Fällen hilft nur noch eine Kapitulation und eben die Erfahrung fürs nächste Mal mitzunehmen.

gms · Beitrag von **gms** » 17.03.2008 15:48:00

andre.ballensiefen hat geschrieben: Frage 1: root und ftp

dann erübrigt sich eigentlich jegliche Diskussion, ein Weitermachen, so als ob nichts gewesen wäre, ist grob fahrlässig

debianforum.de

Nach Serverhack kein Syslog mehr

Nach Serverhack kein Syslog mehr

Re: Nach Serverhack kein Syslog mehr