wie vorgehen - Server nicht erreichbar

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
Colttt
Beiträge: 3012
Registriert: 16.10.2008 23:25:34
Wohnort: Brandenburg
Kontaktdaten:

wie vorgehen - Server nicht erreichbar

Beitrag von Colttt » 31.01.2012 17:20:10

Hallo,

wie geht man vor wenn der Server nicht mehr von aussen erreichbar ist? Hab jetzt ein Rettungssystem gebootet, in den Logs steht nichts verwertbares drin.. was macht man da am besten?
Debian-Nutzer :D

ZABBIX Certified Specialist

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: wie vorgehen - Server nicht erreichbar

Beitrag von rendegast » 31.01.2012 17:57:13

Einfach aus ohne Logeinträge deutet doch immer auf hardware.

Wenn ein KVM-Zugang besteht, kann memtest86+ laufen gelassen werden.
Laufendes System beobachten, zBsp. Sensorwerte der Temperaturen.

Vom Rettungssystem aus SMART prüfen.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Colttt
Beiträge: 3012
Registriert: 16.10.2008 23:25:34
Wohnort: Brandenburg
Kontaktdaten:

Re: wie vorgehen - Server nicht erreichbar

Beitrag von Colttt » 31.01.2012 18:02:16

das ist nen root-server mit CentOS drauf..

verdächtig finde ich:

Code: Alles auswählen

ls -lah var/log/
total 380M
drwxr-xr-x  5 root root  4.0K Nov  9  2010 .
drwxr-xr-x 21 root root  4.0K Jan 14  2010 ..
-rw-------  1 root root   174 Jun 30  2010 boot.log
-rw-------  1 root root   18M Jan 31 17:25 cron
-rw-r--r--  1 root root   36K Jan 31 17:24 dmesg
-rw-------  1 root root  313K Jul  3  2010 faillog
drwxr-xr-x  2 root root  4.0K Apr 20  2010 httpd
-rw-r--r--  1 root tty   2.8M Nov  9  2010 lastlog
-rw-------  1 root root  5.1M Jan 31 17:24 messages
-rw-r-----  1   27 sudo  9.4K Jan 31 17:24 mysqld.log
drwxr-x---  2 news proxy    6 Oct 30  2009 news
-rw-r--r--  1 root root   22K Nov  9  2010 rpmpkgs
-rw-r--r--  1 root root   763 Jul  3  2010 scrollkeeper.log
-rw-------  1 root root  357M Jan 31 17:25 secure
-rw-------  1 root root     0 Oct 30  2009 spooler
drwxr-xr-x  2   91    91   25 Nov 15  2009 tomcat5
-rw-rw-r--  1 root voice 279K Jan 31 17:26 wtmp
-rw-r--r--  1 root root   11K Feb  1  2010 yum.log
da existiert keine syslog und so.. einbruch??
Debian-Nutzer :D

ZABBIX Certified Specialist

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: wie vorgehen - Server nicht erreichbar

Beitrag von rendegast » 31.01.2012 19:22:08

Eventuell eine Eigenheit von centos,
bei mir steht in syslog und messages ja größtenteils dasselbe.
-rw------- 1 root root 18M Jan 31 17:25 cron
-rw------- 1 root root 357M Jan 31 17:25 secure
Rotation deaktiviert?
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Colttt
Beiträge: 3012
Registriert: 16.10.2008 23:25:34
Wohnort: Brandenburg
Kontaktdaten:

Re: wie vorgehen - Server nicht erreichbar

Beitrag von Colttt » 01.02.2012 09:18:11

von centos hab ich nicht soo die Ahnung, aber ich hab festgestellt das große lücken festzustellen sind von Datum her.. es wurden die Daten wohl gelöscht..

gibts irgendwo eine gute anleitung was man tun kann nach einem evtl angriff um fest zu stellen ob es wirklich ein angriff war/ist?! Ich finde immer nur das ich das dateisystem etc prüfen soll^^ .. will ich aber nicht

denn es sind dateien/libarys verschwunden (die für sshd notwendig sind) und sowas passiert ja nicht einfach so..
Debian-Nutzer :D

ZABBIX Certified Specialist

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: wie vorgehen - Server nicht erreichbar

Beitrag von rendegast » 01.02.2012 10:34:38

das ist nen root-server mit CentOS drauf..
....
von centos hab ich nicht soo die Ahnung,
Naja,
hier und woanders wird bei root-Servern immer darauf hingewiesen, Dir bekannte Systeme zu verwenden.

Und ob das System einbruchsgefährdet ist,
hängt wohl größtenteils mit der verwendeten centos-Version, Software und getätigten Unsicherheits-Optionen zusammen.
ZBsp. unbedingt altes php zu verwenden "damit die website funktioniert".
drwxr-xr-x 2 91 91 25 Nov 15 2009 tomcat5

-rw-r--r-- 1 root root 22K Nov 9 2010 rpmpkgs
-rw-r--r-- 1 root root 11K Feb 1 2010 yum.log
http://centos.westmancom.com/5/updates/i386/RPMS/ resp.
http://centos.westmancom.com/5.7/updates/i386/RPMS/ tomcat5 5.5.23, 20.12.2011
http://centos.westmancom.com/6/updates/i386/Packages/ resp.
http://centos.westmancom.com/6.2/updates/i386/Packages/ tomcat6 6.0.24-35, 21.12.2011
Die Dateien müßten vom upgrade also zumindest 20.12.2011 sein,
vom kernel 2.6.18-274.17... sogar 10.01.2012.
Upgrades deaktiviert?
Vergleiche

Code: Alles auswählen

$ apt-cache policy tomcat[67]$
tomcat6:
  Installiert: (keine)
  Kandidat:    6.0.28-9+squeeze1
  Versionstabelle:
     6.0.35-1 0
        -35 http://ftp2.de.debian.org/debian/ unstable/main amd64 Packages
        -25 http://ftp2.de.debian.org/debian/ testing/main amd64 Packages
     6.0.28-9+squeeze1 0
        500 http://security.debian.org/ squeeze/updates/main amd64 Packages
        500 http://ftp2.de.debian.org/debian/ squeeze/main amd64 Packages
solr-tomcat6:
  Installiert: (keine)
  Kandidat:    (keine)
  Versionstabelle:
tomcat7:
  Installiert: (keine)
  Kandidat:    (keine)
  Versionstabelle:
     7.0.23-1 0
        -35 http://ftp2.de.debian.org/debian/ unstable/main amd64 Packages
        -25 http://ftp2.de.debian.org/debian/ testing/main amd64 Packages


denn es sind dateien/libarys verschwunden (die für sshd notwendig sind) und sowas passiert ja nicht einfach so..
Warum sollte ein Einbrecher libs löschen?
Lese SMART aus, mach einen Dateisystem-Check.
Ich gehe davon aus, daß nichts mehr zu reparieren ist,
das soll nur Sicherheit geben, damit der Service die Platte wechselt und Du Dein Backup einspielen kannst.
Oder gleich squeeze aufspielen?
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Antworten