Hallo,
wie geht man vor wenn der Server nicht mehr von aussen erreichbar ist? Hab jetzt ein Rettungssystem gebootet, in den Logs steht nichts verwertbares drin.. was macht man da am besten?
wie vorgehen - Server nicht erreichbar
wie vorgehen - Server nicht erreichbar
Debian-Nutzer 
ZABBIX Certified Specialist
ZABBIX Certified Specialist
Re: wie vorgehen - Server nicht erreichbar
Einfach aus ohne Logeinträge deutet doch immer auf hardware.
Wenn ein KVM-Zugang besteht, kann memtest86+ laufen gelassen werden.
Laufendes System beobachten, zBsp. Sensorwerte der Temperaturen.
Vom Rettungssystem aus SMART prüfen.
Wenn ein KVM-Zugang besteht, kann memtest86+ laufen gelassen werden.
Laufendes System beobachten, zBsp. Sensorwerte der Temperaturen.
Vom Rettungssystem aus SMART prüfen.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: wie vorgehen - Server nicht erreichbar
das ist nen root-server mit CentOS drauf..
verdächtig finde ich:
da existiert keine syslog und so.. einbruch??
verdächtig finde ich:
Code: Alles auswählen
ls -lah var/log/
total 380M
drwxr-xr-x 5 root root 4.0K Nov 9 2010 .
drwxr-xr-x 21 root root 4.0K Jan 14 2010 ..
-rw------- 1 root root 174 Jun 30 2010 boot.log
-rw------- 1 root root 18M Jan 31 17:25 cron
-rw-r--r-- 1 root root 36K Jan 31 17:24 dmesg
-rw------- 1 root root 313K Jul 3 2010 faillog
drwxr-xr-x 2 root root 4.0K Apr 20 2010 httpd
-rw-r--r-- 1 root tty 2.8M Nov 9 2010 lastlog
-rw------- 1 root root 5.1M Jan 31 17:24 messages
-rw-r----- 1 27 sudo 9.4K Jan 31 17:24 mysqld.log
drwxr-x--- 2 news proxy 6 Oct 30 2009 news
-rw-r--r-- 1 root root 22K Nov 9 2010 rpmpkgs
-rw-r--r-- 1 root root 763 Jul 3 2010 scrollkeeper.log
-rw------- 1 root root 357M Jan 31 17:25 secure
-rw------- 1 root root 0 Oct 30 2009 spooler
drwxr-xr-x 2 91 91 25 Nov 15 2009 tomcat5
-rw-rw-r-- 1 root voice 279K Jan 31 17:26 wtmp
-rw-r--r-- 1 root root 11K Feb 1 2010 yum.logDebian-Nutzer
ZABBIX Certified Specialist
ZABBIX Certified Specialist
Re: wie vorgehen - Server nicht erreichbar
Eventuell eine Eigenheit von centos,
bei mir steht in syslog und messages ja größtenteils dasselbe.
bei mir steht in syslog und messages ja größtenteils dasselbe.
Rotation deaktiviert?-rw------- 1 root root 18M Jan 31 17:25 cron
-rw------- 1 root root 357M Jan 31 17:25 secure
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: wie vorgehen - Server nicht erreichbar
von centos hab ich nicht soo die Ahnung, aber ich hab festgestellt das große lücken festzustellen sind von Datum her.. es wurden die Daten wohl gelöscht..
gibts irgendwo eine gute anleitung was man tun kann nach einem evtl angriff um fest zu stellen ob es wirklich ein angriff war/ist?! Ich finde immer nur das ich das dateisystem etc prüfen soll^^ .. will ich aber nicht
denn es sind dateien/libarys verschwunden (die für sshd notwendig sind) und sowas passiert ja nicht einfach so..
gibts irgendwo eine gute anleitung was man tun kann nach einem evtl angriff um fest zu stellen ob es wirklich ein angriff war/ist?! Ich finde immer nur das ich das dateisystem etc prüfen soll^^ .. will ich aber nicht
denn es sind dateien/libarys verschwunden (die für sshd notwendig sind) und sowas passiert ja nicht einfach so..
Debian-Nutzer
ZABBIX Certified Specialist
ZABBIX Certified Specialist
Re: wie vorgehen - Server nicht erreichbar
Naja,das ist nen root-server mit CentOS drauf..
....
von centos hab ich nicht soo die Ahnung,
hier und woanders wird bei root-Servern immer darauf hingewiesen, Dir bekannte Systeme zu verwenden.
Und ob das System einbruchsgefährdet ist,
hängt wohl größtenteils mit der verwendeten centos-Version, Software und getätigten Unsicherheits-Optionen zusammen.
ZBsp. unbedingt altes php zu verwenden "damit die website funktioniert".
http://centos.westmancom.com/5/updates/i386/RPMS/ resp.drwxr-xr-x 2 91 91 25 Nov 15 2009 tomcat5
-rw-r--r-- 1 root root 22K Nov 9 2010 rpmpkgs
-rw-r--r-- 1 root root 11K Feb 1 2010 yum.log
http://centos.westmancom.com/5.7/updates/i386/RPMS/ tomcat5 5.5.23, 20.12.2011
http://centos.westmancom.com/6/updates/i386/Packages/ resp.
http://centos.westmancom.com/6.2/updates/i386/Packages/ tomcat6 6.0.24-35, 21.12.2011
Die Dateien müßten vom upgrade also zumindest 20.12.2011 sein,
vom kernel 2.6.18-274.17... sogar 10.01.2012.
Upgrades deaktiviert?
Vergleiche
Code: Alles auswählen
$ apt-cache policy tomcat[67]$
tomcat6:
Installiert: (keine)
Kandidat: 6.0.28-9+squeeze1
Versionstabelle:
6.0.35-1 0
-35 http://ftp2.de.debian.org/debian/ unstable/main amd64 Packages
-25 http://ftp2.de.debian.org/debian/ testing/main amd64 Packages
6.0.28-9+squeeze1 0
500 http://security.debian.org/ squeeze/updates/main amd64 Packages
500 http://ftp2.de.debian.org/debian/ squeeze/main amd64 Packages
solr-tomcat6:
Installiert: (keine)
Kandidat: (keine)
Versionstabelle:
tomcat7:
Installiert: (keine)
Kandidat: (keine)
Versionstabelle:
7.0.23-1 0
-35 http://ftp2.de.debian.org/debian/ unstable/main amd64 Packages
-25 http://ftp2.de.debian.org/debian/ testing/main amd64 Packages
Warum sollte ein Einbrecher libs löschen?denn es sind dateien/libarys verschwunden (die für sshd notwendig sind) und sowas passiert ja nicht einfach so..
Lese SMART aus, mach einen Dateisystem-Check.
Ich gehe davon aus, daß nichts mehr zu reparieren ist,
das soll nur Sicherheit geben, damit der Service die Platte wechselt und Du Dein Backup einspielen kannst.
Oder gleich squeeze aufspielen?
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")