Ausgeführte Datei anhand von Kernelinformation finden

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
droelfvonelf
Beiträge: 3
Registriert: 10.01.2013 20:12:48

Ausgeführte Datei anhand von Kernelinformation finden

Beitrag von droelfvonelf » 10.01.2013 20:20:11

Hallo erst mal :-),

ich bin neu hier in der Community und habe mich registriert, weil ich mir von euch fachmännischen Rat zum Thema Debian als Server Distribution holen will - besonders akut aus gegebenem Anlass: Mein vServer wurde gehackt und wurde für DDoS-Attacken genutzt.
Da nun die Gefahr erst mal dadurch gebannt ist, dass der Server rechtzeitig gestoppt wurde und in den Rettungsmodus versetzt wurde, befinde ich mich nun auf der Fehlersuche. Von meinem Provider habe ich eine E-Mail mit folgenden Informationen bekommen:
Jan 8 18:10:16 ne412 kernel: [2994477.335871] outgoing rate exceeded: IN= OUT=eth0 SRC=[meine Server-IP] DST=[IP des Opfers] LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=63608 DF PROTO=TCP SPT=35284 DPT=443 WINDOW=5840 RES=0x00 SYN URGP=0
Da mir ja Kernel Informationen gegeben wurden, würde mich nun interessieren ob man anhand derer beispielsweise in einem LogFile nachschauen kann wo die Datei dazu liegt, die dies verursacht hat. Könnt ihr mir diese Frage beantworten?
Oder könnt ihr mir andere Methoden nennen mit denen ich leicht an weitere Informationen zu dem Vorfall komme?

Für Antworten wäre ich euch sehr dankbar :hail:
Gruß
droelfvonelf
Nach oben
DeletedUserReAsG

Re: Ausgeführte Datei anhand von Kernelinformation finden

Beitrag von DeletedUserReAsG » 10.01.2013 20:31:43

Da mir ja Kernel Informationen gegeben wurden, […]
Da kann ich mir nichts drunter vorstellen. Magst du diese „Kernelinformationen“ mal hochladen? Oder meinst du diesen Logschnipsel? Der dokumentiert nur die Auswirkung, nichts weiter.

cu,
niemand
Nach oben
droelfvonelf
Beiträge: 3
Registriert: 10.01.2013 20:12:48

Re: Ausgeführte Datei anhand von Kernelinformation finden

Beitrag von droelfvonelf » 10.01.2013 20:45:28

oh okay. ja ich meinte den Loginschnipsel da :oops:
Ich dachte die Information "[2994477.335871]" würde irgendetwas bringen....
Wie sieht es sonst aus, besteht die Möglichkeit über den Apache Log da was raus zu finden? Oder sind Informationen dazu auf jeden Fall in den Apache Logs zu finden und die sind gelöscht worden?

Danke für eure Hilfe im Voraus
Gruß
droelfvonelf
Nach oben
DeletedUserReAsG

Re: Ausgeführte Datei anhand von Kernelinformation finden

Beitrag von DeletedUserReAsG » 10.01.2013 21:01:10

Ich dachte die Information "[2994477.335871]" würde irgendetwas bringen....
Das ist ein Timestamp.
Wie sieht es sonst aus, besteht die Möglichkeit über den Apache Log da was raus zu finden? Oder sind Informationen dazu auf jeden Fall in den Apache Logs zu finden und die sind gelöscht worden?
Nachdem eine Kiste geknackt wurde, sind die Logs auf keinen Fall noch vertrauenswürdig. Es hindert dich natürlich keiner daran, mal reinzuschauen und zu gucken, ob was Auffälliges drinsteht. Wie man Logs interpretiert, wirst du als Serverbetreiber ja nun wissen – oder?

cu,
niemand
Nach oben
Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: Ausgeführte Datei anhand von Kernelinformation finden

Beitrag von Cae » 10.01.2013 21:21:57

Wenn man ein klein wenig Ahnung von der Sache haette, dann wuerde man erkennen, dass dein Webserver absolut keine Rolle spielt, zumindest nicht primaer (sekundaer, wenn's um das Einfallstor geht, schon). DPT=443 bedeutet, dass das ein HTTPS-Server war, den du angegriffen hast. Wahrscheinlich syn-Flood, laesst sich aber nicht sicher sagen.
  • Nichts anfassen. Read-only mounten, besser Image ziehen.
  • alles kann gefaelscht sein. Binaries, Logs, whatever.
  • Verursacher finden. Wer hatte Zugriff? Welche Serverdienste liefen? Welche weitere Software lief?
  • auth.log durchgucken. Wo hat sich der Verursacher eingenistet? find auf /var/tmp, /tmp loslassen. /home/ durchgucken.

    Code: Alles auswählen

    # find / -type d -perm /o+w 2>/dev/null
    findet weltweit beschreibbare Verzeichnisse.
  • War der Angriff ueberhaupt persistent, oder z.B. komplett im RAM/tmpfs?
  • .bash_history von allen Usern mit denen vom letzten Backup vergleichen. Ist eine auffaellig leer/kuerzer, als sie sein sollte?
  • sudoers pruefen. shadow pruefen. sha1sum fuer alle systemrelevanten Dateien mit den vorherigen Backups vergleichen.
  • find / -ls insbesondere im Hinblick auf Rechteaenderungen gegen ein verlaessliches System diffen
  • init.d-Skripte, rc.local vergleichen
Damit solltest du erstmal ein Dutzend Stunden beschaeftigt sein.

Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier
Nach oben
droelfvonelf
Beiträge: 3
Registriert: 10.01.2013 20:12:48

Re: Ausgeführte Datei anhand von Kernelinformation finden

Beitrag von droelfvonelf » 10.01.2013 22:09:00

Oh, das war mir nicht bekannt.
Dass dem Ganzen nicht mehr zu 100% getraut werden kann ist mir klar. Trotzdem wollte ich mich mal nach Auffälligkeiten auf die Suche machen... Wie ich die Interpretiere ist mir bekannt (Timestamp nicht erkannt: Fauxpas - peinlich :D )

Meine Vermutung galt auch eher der Möglichkeit des Zugangs für den "Einbrecher".
Habe den Server im Rettungsmodus des Providers starten lassen.
Ja, das ist mir bekannt, dass so etwas sein kann.
Okay, werde ich durchführen.
Das weiß ich nicht. Kannst du mir eine Möglichkeit nennen herauszufinden worum es sich handelt?
Werde ich tun.
Nach oben
Antworten

Zurück zu „weitere Dienste“