Sie sind nicht angemeldet.

Root Server gehackt!!!

Viper2

Anfänger

  • »Viper2« ist der Autor dieses Themas

Beiträge: 39

  • Nachricht senden

1

Dienstag, 15. Juni 2010, 17:52

Root Server gehackt!!!

Hi ich hoffe mir kann jemand weiterhelfen ich verzweifel langsam!

Und zwar wurde mein Rootserver gehackt ich nehme an letzten freitag allerdings hat diejenige Person alle gelassen wie es war hat sich halt nur zugriff verschafft um andere server zu atackieren was ich dann per mail von hetzner bekommen habe.

Quellcode

 
1
2
3
4
5
6
7
8
9
10

Direction OUT
Internal 188.40.34.67
Threshold Packets 30.000 packets/s
Sum 42.436.000 packets/300s (141.453 packets/s), 49 flows/300s (0 flows/s), 1,150 GByte/300s (31 MBit/s)
External 204.188.201.77, 42.420.000 packets/300s (141.400 packets/s), 41 flows/300s (0 flows/s), 1,146 GByte/300s (31 MBit/s)
External 62.248.132.104, 7.000 packets/300s (23 packets/s), 2 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)
External 77.118.184.45, 6.000 packets/300s (20 packets/s), 3 flows/300s (0 flows/s), 0,003 GByte/300s (0 MBit/s)
External 62.167.90.163, 1.000 packets/300s (3 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)
External 109.91.56.162, 1.000 packets/300s (3 packets/s), 1 flows/300s (0 flows/s), 0,001 GByte/300s (0 MBit/s)
External 78.35.54.107, 1.000 packets/300s (3 packets/s), 1 flows/300s (0 flows/s), 0,000 GByte/300s (0 MBit/s)


Die mail dazu habe ich am 12.6 bekommen jedoch leider erst am 14 gegen mittag gelesen wo mein Rootserver schon von Hetzner gesperrt wurde. Seit dem versuche ich rauszufinden wo die lücke im System ist durch die der hacker zugriff erlangt hat. Leider bin ich immernoch nicht fündig geworden wie er das gemacht hat. Aktuelle sicherheitsupdates sind immer auf dem server drauf und per ssh eingeloggt haben kann er sich nicht da ich das extra mal so eingerichtet habe das man ein Authorisierungsfile auf dem Pc haben muss damit man drauf zugriff bekommt also muss er irgendeine Lücke ausgenutzt haben! Ich hoffe mir kann jemand helfen! Wer noch informationen brauch ich kann gerne alles posten einfach sagen was genau ihr für infos braucht!

Danke schonmal im Voraus
Gruß Martin

DeaD_EyE

Administrator

Beiträge: 3 980

Wohnort: Hagen

Beruf: Mechatroniker (didaktische Systeme)

Rootserver vorhanden: Nein

  • Nachricht senden

2

Dienstag, 15. Juni 2010, 18:56

Re: Root Server gehackt!!!

Ggf. wurde irgendein Server-Dienst komrpomitiert. Apache2-Server mit schlechten PHP-Scripts und unsicheren Einstellungen gefährden den ganzen Host. Viele andere Serverdienste sind auch ziemlich lückenhaft. Z.B. der File-Upload-Exploit beim srcds. Ich weiß jetzt leider nicht ob man damit auch aus dem Serververzeichnis auch ausbrechen kann (../../.bashrc). Dies würde dann viele Möglichkeiten offen lassen. So könnte der Hacker z.B. ein Shellscript hochladen, dass dann beim nächsten Login z.B. mit wget das Schadprogramm runterlädt und dieses ausführt. Die Ideen der Hacker sind meistens ziemlich genial. Schade, dass dies dazu genutzt wird, um anderen zu schaden.

Interessant wäre erstmal herauszufinden, womit der Root befallen ist.

Hast du zugriff auf die Serielle Konsole? Ansonsten kannst du auch ein rescue-System starten, die Sys-Platte mounten und mit rkhunter -r <mountpoint> dann testen. am besten auch mal calmav benutzen.

PS: Ein befallenes System sollte man nicht einfach so wieder starten. Dann wird der Root wieder schnell weg sein. Dafür sorgen die Scripts automatisch, die auf dem Router/Switch laufen und trennen die Netzwerkverbindung bei Flooding-Attacken, wonach es hier auch aussieht. Ich denke mal, dass sich der Hacker eine Hintertür offen gelassen hat.
SkyRadar Youtube Channel - Die neue S7-1500 - Youtube-Kanal

Viper2

Anfänger

  • »Viper2« ist der Autor dieses Themas

Beiträge: 39

  • Nachricht senden

3

Dienstag, 15. Juni 2010, 19:42

Re: Root Server gehackt!!!

Also an sich läuft der root immernoch und wird auch nich ausgeschlatet wie denn auch sonnst könnte ich ja dieses problem nich beheben! ^^ Es is aber halt so das nur derjenige zugriff bekommt dem ich das erlaube also ich muss bei hetzner ne ip angeben und nur von dieser ip kann dann auf den server zugegriffen werden ansonnsten kann weder der server selber nach außen hin kommunizieren noch ein ander von außen auf den server zugreifen!

Die Serielle konsole?? Wasn das bitte? Ich hab zugriff auf den kompletten root is ja meiner bzw ich hab ihn ja gemietet also denke ich mal ich hab auch auf sowas zugriff! Allerdings muss ich auch ehrlich dazu sagen das mein wissen über linux sehr berenzt is leider hab nich soviel zeit um mich mit der gesammten Materie auseinanderzusetzen!

rkhunter hab ich schonmal drüber laufen lassen ich poste einfach mal das logfile vielleicht wirste ja drauß schlau!

Ok das komplette logfile is zu lang soviel text darf man nich posten ich machs einfach mal innen anhang!

P.S. Vielleicht könnten wir uns beide ja mal auf nem Ts server zusammen setzen oder so dann wärs vielleicht einfacher ich könnt wirklich ne gute hilfe gebrauchen! ^^
»Viper2« hat folgende Datei angehängt:
  • rkhunter.log (104,94 kB - 112 mal heruntergeladen - zuletzt: 24. April 2024, 20:44)

DeaD_EyE

Administrator

Beiträge: 3 980

Wohnort: Hagen

Beruf: Mechatroniker (didaktische Systeme)

Rootserver vorhanden: Nein

  • Nachricht senden

4

Dienstag, 15. Juni 2010, 19:59

Re: Root Server gehackt!!!

Eine Serielle Konsole ist eine Hardware, die am seriellen Port des Servers angeschlossen ist. Man verbindet sich dann mit der Seriellen Konsole über Putty. So kann man den Server steuern, auch wenn dieser gar keine Internetverbindung hat. Eine andere Möglichkeit wäre noch eine KVM, die etwas anders arbeitet.

Der Log sieht schonmal ganz gut aus. Es wird sicherlich einfach ein Programm sein, dass irgendwie gestartet wurde. Was sagt ps aux ? Da müssten doch Prozesse laufen, die unbekannt sind. netstat -tulpen kann auch hilfreich sein. Mächtiger ist der Befehl lsof. Der zeigt die PIDs der Prozesse an, was netstat eigentlich auch können sollte. lsof -i zeigt offenen Ports und Verbindungen an. Wenn nötig mittels apt-get install lsof
SkyRadar Youtube Channel - Die neue S7-1500 - Youtube-Kanal

Viper2

Anfänger

  • »Viper2« ist der Autor dieses Themas

Beiträge: 39

  • Nachricht senden

5

Dienstag, 15. Juni 2010, 20:06

Re: Root Server gehackt!!!

Hier einmal die prozessliste:

clanesg
Prozess-ID CPU Gestartet Befehl
2486 4.6 % Jun14 ./srcds_i686 -game cstrike +map aim_deagle.bsp -maxplayers 20 +ip 188.40.34.67 - ...
2663 4.1 % Jun14 ./srcds_i686 -game cstrike +map ze_ApertureScience_final.bsp -maxplayers 30 +ip ...
2476 4.0 % Jun14 ./srcds_i686 -game cstrike +map mg_bob2_fix.bsp -maxplayers 22 +ip 188.40.34.67 ...
2459 3.8 % Jun14 ./srcds_i686 -game cstrike +map bhop_-4-.bsp -maxplayers 20 +ip 188.40.34.67 -po ...
2468 3.1 % Jun14 ./srcds_i686 -game cstrike +map de_dust -maxplayers 24 -ip 188.40.34.67 -port 27 ...
664 0.0 % Jun14 SCREEN -A -m -d -L -S server25-X ./srcds_run -game cstrike +map bhop_-4-.bsp -ma ...
674 0.0 % Jun14 /bin/sh ./srcds_run -game cstrike +map bhop_-4-.bsp -maxplayers 20 +ip 188.40.34 ...
835 0.0 % Jun14 SCREEN -A -m -d -L -S server7-X ./srcds_run -game cstrike +map de_dust -maxplaye ...
840 0.0 % Jun14 /bin/sh ./srcds_run -game cstrike +map de_dust -maxplayers 24 -ip 188.40.34.67 - ...
935 0.0 % Jun14 SCREEN -A -m -d -L -S server22-X ./srcds_run -game cstrike +map mg_bob2_fix.bsp ...
940 0.0 % Jun14 /bin/sh ./srcds_run -game cstrike +map mg_bob2_fix.bsp -maxplayers 22 +ip 188.40 ...
1035 0.0 % Jun14 SCREEN -A -m -d -L -S server26-X ./srcds_run -game cstrike +map aim_deagle.bsp - ...
1041 0.0 % Jun14 /bin/sh ./srcds_run -game cstrike +map aim_deagle.bsp -maxplayers 20 +ip 188.40. ...
1135 0.0 % Jun14 SCREEN -A -m -d -L -S server27-X ./srcds_run -game cstrike +map ze_ApertureScien ...
1142 0.0 % Jun14 /bin/sh ./srcds_run -game cstrike +map ze_ApertureScience_final.bsp -maxplayers ...
root (root)
Prozess-ID CPU Gestartet Befehl
14713 0.8 % 20:05 /usr/sbin/apache2 -k start
1 0.0 % Jun14 init [2]
2 0.0 % Jun14 [kthreadd]
3 0.0 % Jun14 [migration/0]
4 0.0 % Jun14 [ksoftirqd/0]
5 0.0 % Jun14 [watchdog/0]
6 0.0 % Jun14 [migration/1]
7 0.0 % Jun14 [ksoftirqd/1]
8 0.0 % Jun14 [watchdog/1]
9 0.0 % Jun14 [migration/2]
10 0.0 % Jun14 [ksoftirqd/2]
11 0.0 % Jun14 [watchdog/2]
12 0.0 % Jun14 [migration/3]
13 0.0 % Jun14 [ksoftirqd/3]
14 0.0 % Jun14 [watchdog/3]
15 0.0 % Jun14 [migration/4]
16 0.0 % Jun14 [ksoftirqd/4]
17 0.0 % Jun14 [watchdog/4]
18 0.0 % Jun14 [migration/5]
19 0.0 % Jun14 [ksoftirqd/5]
20 0.0 % Jun14 [watchdog/5]
21 0.0 % Jun14 [migration/6]
22 0.0 % Jun14 [ksoftirqd/6]
23 0.0 % Jun14 [watchdog/6]
24 0.0 % Jun14 [migration/7]
25 0.0 % Jun14 [ksoftirqd/7]
26 0.0 % Jun14 [watchdog/7]
27 0.0 % Jun14 [events/0]
28 0.0 % Jun14 [events/1]
29 0.0 % Jun14 [events/2]
30 0.0 % Jun14 [events/3]
31 0.0 % Jun14 [events/4]
32 0.0 % Jun14 [events/5]
33 0.0 % Jun14 [events/6]
34 0.0 % Jun14 [events/7]
35 0.0 % Jun14 [khelper]
76 0.0 % Jun14 [kblockd/0]
77 0.0 % Jun14 [kblockd/1]
78 0.0 % Jun14 [kblockd/2]
79 0.0 % Jun14 [kblockd/3]
80 0.0 % Jun14 [kblockd/4]
81 0.0 % Jun14 [kblockd/5]
82 0.0 % Jun14 [kblockd/6]
83 0.0 % Jun14 [kblockd/7]
85 0.0 % Jun14 [kacpid]
86 0.0 % Jun14 [kacpi_notify]
177 0.0 % Jun14 [ksuspend_usbd]
183 0.0 % Jun14 [khubd]
186 0.0 % Jun14 [kseriod]
269 0.0 % Jun14 [pdflush]
270 0.0 % Jun14 [pdflush]
271 0.0 % Jun14 [kswapd0]
272 0.0 % Jun14 [aio/0]
273 0.0 % Jun14 [aio/1]
274 0.0 % Jun14 [aio/2]
275 0.0 % Jun14 [aio/3]
276 0.0 % Jun14 [aio/4]
277 0.0 % Jun14 [aio/5]
278 0.0 % Jun14 [aio/6]
279 0.0 % Jun14 [aio/7]
543 0.0 % Jun14 [ata/0]
544 0.0 % Jun14 [ata/1]
545 0.0 % Jun14 [ata/2]
546 0.0 % Jun14 [ata/3]
547 0.0 % Jun14 [ata/4]
548 0.0 % Jun14 [ata/5]
549 0.0 % Jun14 [ata/6]
550 0.0 % Jun14 [ata/7]
551 0.0 % Jun14 [ata_aux]
1233 0.0 % Jun14 [scsi_eh_0]
1237 0.0 % Jun14 [scsi_eh_1]
1298 0.0 % Jun14 [scsi_eh_2]
1299 0.0 % Jun14 [scsi_eh_3]
1433 0.0 % Jun14 [md0_raid1]
1441 0.0 % Jun14 [md1_raid1]
1449 0.0 % Jun14 [md2_raid1]
1469 0.0 % Jun14 [kstriped]
1482 0.0 % Jun14 [ksnapd]
1547 0.0 % Jun14 [kjournald]
1628 0.0 % Jun14 udevd --daemon
2416 0.0 % Jun14 [kjournald]
2860 0.0 % Jun14 [kondemand/0]
2861 0.0 % Jun14 [kondemand/1]
2862 0.0 % Jun14 [kondemand/2]
2863 0.0 % Jun14 [kondemand/3]
2864 0.0 % Jun14 [kondemand/4]
2865 0.0 % Jun14 [kondemand/5]
2866 0.0 % Jun14 [kondemand/6]
2867 0.0 % Jun14 [kondemand/7]
2945 0.0 % Jun14 /usr/sbin/rsyslogd -c3
2956 0.0 % Jun14 /usr/sbin/acpid
2990 0.0 % Jun14 /usr/sbin/sshd
3043 0.0 % Jun14 /bin/sh /usr/bin/mysqld_safe
3081 0.0 % Jun14 logger -p daemon.err -t mysqld_safe -i -t mysqld
3143 0.0 % Jun14 /usr/sbin/courierlogger -pid=/var/run/courier/authdaemon/pid -start /usr/lib/cou ...
3144 0.0 % Jun14 /usr/lib/courier/courier-authlib/authdaemond
3151 0.0 % Jun14 /usr/lib/courier/courier-authlib/authdaemond
3152 0.0 % Jun14 /usr/lib/courier/courier-authlib/authdaemond
3153 0.0 % Jun14 /usr/lib/courier/courier-authlib/authdaemond
3154 0.0 % Jun14 /usr/lib/courier/courier-authlib/authdaemond
3155 0.0 % Jun14 /usr/lib/courier/courier-authlib/authdaemond
3159 0.0 % Jun14 /usr/sbin/courierlogger -pid=/var/run/courier/imapd.pid -start -name=imapd /usr/ ...
3160 0.0 % Jun14 /usr/sbin/couriertcpd -address=0 -maxprocs=40 -maxperip=20 -nodnslookup -noident ...
3171 0.0 % Jun14 /usr/sbin/courierlogger -pid=/var/run/courier/imapd-ssl.pid -start -name=imapd-s ...
3172 0.0 % Jun14 /usr/sbin/couriertcpd -address=0 -maxprocs=40 -maxperip=20 -nodnslookup -noident ...
3177 0.0 % Jun14 /usr/sbin/courierlogger -pid=/var/run/courier/pop3d.pid -start -name=pop3d /usr/ ...
3178 0.0 % Jun14 /usr/sbin/couriertcpd -maxprocs=40 -maxperip=4 -nodnslookup -noidentlookup -addr ...
3189 0.0 % Jun14 /usr/sbin/courierlogger -pid=/var/run/courier/pop3d-ssl.pid -start -name=pop3d-s ...
3190 0.0 % Jun14 /usr/sbin/couriertcpd -address=0 -maxprocs=40 -maxperip=4 -nodnslookup -noidentl ...
3324 0.0 % Jun14 /usr/lib/postfix/master
3357 0.0 % Jun14 /usr/sbin/saslauthd -a pam -c -m /var/spool/postfix/var/run/saslauthd -r -n 5
3358 0.0 % Jun14 /usr/sbin/saslauthd -a pam -c -m /var/spool/postfix/var/run/saslauthd -r -n 5
3359 0.0 % Jun14 /usr/sbin/saslauthd -a pam -c -m /var/spool/postfix/var/run/saslauthd -r -n 5
3360 0.0 % Jun14 /usr/sbin/saslauthd -a pam -c -m /var/spool/postfix/var/run/saslauthd -r -n 5
3361 0.0 % Jun14 /usr/sbin/saslauthd -a pam -c -m /var/spool/postfix/var/run/saslauthd -r -n 5
3382 0.0 % Jun14 /usr/sbin/famd -T 0
3402 0.0 % Jun14 /sbin/mdadm --monitor --pid-file /var/run/mdadm/monitor.pid --daemonise --scan - ...
3457 0.0 % Jun14 /usr/sbin/cron
3784 0.0 % Jun14 /usr/sbin/munin-node
3981 0.0 % Jun14 /usr/bin/perl /usr/share/webmin/miniserv.pl /etc/webmin/miniserv.conf
3983 0.0 % Jun14 /sbin/getty 38400 tty1
3984 0.0 % Jun14 /sbin/getty 38400 tty2
3986 0.0 % Jun14 /sbin/getty 38400 tty3
3987 0.0 % Jun14 /sbin/getty 38400 tty4
3989 0.0 % Jun14 /sbin/getty 38400 tty5
3990 0.0 % Jun14 /sbin/getty 38400 tty6
7171 0.0 % 16:52 sshd: root@notty
7174 0.0 % 16:52 -bash
13244 0.0 % 19:39 sshd: root@notty
13246 0.0 % 19:39 -bash
14734 0.0 % 20:06 /usr/share/webmin/proc/index_user.cgi
14740 0.0 % 20:06 sh -c ps --cols 2048 -eo user:80,ruser:80,group:80,rgroup:80,pid,ppid,pgid,pcpu, ...
14741 0.0 % 20:06 ps --cols 2048 -eo user:80,ruser:80,group:80,rgroup:80,pid,ppid,pgid,pcpu,vsz,ni ...
daemon (daemon)
Prozess-ID CPU Gestartet Befehl
2547 0.0 % Jun14 /sbin/portmap
messagebus
Prozess-ID CPU Gestartet Befehl
2966 0.0 % Jun14 /usr/bin/dbus-daemon --system
avahi (Avahi mDNS daemon)
Prozess-ID CPU Gestartet Befehl
2978 0.0 % Jun14 avahi-daemon: running [esgsrv2.local]
2979 0.0 % Jun14 avahi-daemon: chroot helper
mysql (MySQL Server)
Prozess-ID CPU Gestartet Befehl
3080 0.0 % Jun14 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file ...
postfix
Prozess-ID CPU Gestartet Befehl
3332 0.0 % Jun14 qmgr -l -t fifo -u
6982 0.0 % Jun14 tlsmgr -l -t unix -u -c
12383 0.0 % 19:11 pickup -l -t fifo -u -c
ntp
Prozess-ID CPU Gestartet Befehl
3393 0.0 % Jun14 /usr/sbin/ntpd -p /var/run/ntpd.pid -u 109:112 -g
proftpd
Prozess-ID CPU Gestartet Befehl
3428 0.0 % Jun14 proftpd: (accepting connections)
www-data (www-data)
Prozess-ID CPU Gestartet Befehl
14714 0.0 % 20:05 /usr/sbin/apache2 -k start
14715 0.0 % 20:05 /usr/sbin/apache2 -k start
14716 0.0 % 20:05 /usr/sbin/apache2 -k start
14717 0.0 % 20:05 /usr/sbin/apache2 -k start
14718 0.0 % 20:05 /usr/sbin/apache2 -k start

Viper2

Anfänger

  • »Viper2« ist der Autor dieses Themas

Beiträge: 39

  • Nachricht senden

6

Dienstag, 15. Juni 2010, 20:08

Re: Root Server gehackt!!!

Und hier einmal netstat -tulpen:

esgsrv2:~# netstat -tulpen
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 188.40.34.67:27040 0.0.0.0:* LISTEN 5023 119255 2486/srcds_i686
tcp 0 0 188.40.34.67:27013 0.0.0.0:* LISTEN 5023 118825 2468/srcds_i686
tcp 0 0 188.40.34.67:27015 0.0.0.0:* LISTEN 5023 118886 2476/srcds_i686
tcp 0 0 188.40.34.67:27050 0.0.0.0:* LISTEN 5023 119313 2663/srcds_i686
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 102 6740 3080/mysqld
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 0 5841 2547/portmap
tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN 0 9535 3981/perl
tcp 0 0 0.0.0.0:4949 0.0.0.0:* LISTEN 0 8911 3784/munin-node
tcp 0 0 127.0.0.1:1014 0.0.0.0:* LISTEN 0 7483 3382/famd
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 6646 2990/sshd
tcp 0 0 188.40.34.67:27001 0.0.0.0:* LISTEN 5023 118786 2459/srcds_i686
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 0 7264 3324/master
tcp6 0 0 :::993 :::* LISTEN 0 6987 3172/couriertcpd
tcp6 0 0 :::995 :::* LISTEN 0 7010 3190/couriertcpd
tcp6 0 0 :::110 :::* LISTEN 0 6985 3178/couriertcpd
tcp6 0 0 :::143 :::* LISTEN 0 6988 3160/couriertcpd
tcp6 0 0 :::80 :::* LISTEN 0 211720 14713/apache2
tcp6 0 0 :::21 :::* LISTEN 103 7658 3428/proftpd: (acce
tcp6 0 0 :::22 :::* LISTEN 0 6644 2990/sshd
tcp6 0 0 :::443 :::* LISTEN 0 211724 14713/apache2
udp 0 0 188.40.34.67:27008 0.0.0.0:* 5023 119254 2486/srcds_i686
udp 0 0 188.40.34.67:27009 0.0.0.0:* 5023 119312 2663/srcds_i686
udp 0 0 188.40.34.67:27013 0.0.0.0:* 5023 118822 2468/srcds_i686
udp 0 0 188.40.34.67:27015 0.0.0.0:* 5023 118883 2476/srcds_i686
udp 0 0 188.40.34.67:27020 0.0.0.0:* 5023 118784 2459/srcds_i686
udp 0 0 188.40.34.67:27021 0.0.0.0:* 5023 118823 2468/srcds_i686
udp 0 0 188.40.34.67:27022 0.0.0.0:* 5023 118884 2476/srcds_i686
udp 0 0 188.40.34.67:27023 0.0.0.0:* 5023 119253 2486/srcds_i686
udp 0 0 188.40.34.67:27024 0.0.0.0:* 5023 119311 2663/srcds_i686
udp 0 0 0.0.0.0:10000 0.0.0.0:* 0 9536 3981/perl
udp 0 0 188.40.34.67:26901 0.0.0.0:* 5023 118808 2459/srcds_i686
udp 0 0 188.40.34.67:26902 0.0.0.0:* 5023 118865 2468/srcds_i686
udp 0 0 188.40.34.67:26903 0.0.0.0:* 5023 118917 2476/srcds_i686
udp 0 0 188.40.34.67:26904 0.0.0.0:* 5023 119298 2486/srcds_i686
udp 0 0 188.40.34.67:26905 0.0.0.0:* 5023 119353 2663/srcds_i686
udp 0 0 188.40.34.67:27040 0.0.0.0:* 5023 119252 2486/srcds_i686
udp 0 0 0.0.0.0:45222 0.0.0.0:* 108 6617 2978/avahi-daemon:
udp 0 0 188.40.34.67:27050 0.0.0.0:* 5023 119310 2663/srcds_i686
udp 0 0 0.0.0.0:5353 0.0.0.0:* 108 6615 2978/avahi-daemon:
udp 0 0 0.0.0.0:111 0.0.0.0:* 0 5823 2547/portmap
udp 0 0 188.40.34.67:27001 0.0.0.0:* 5023 118783 2459/srcds_i686
udp 0 0 188.40.34.67:123 0.0.0.0:* 0 7515 3393/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 0 7514 3393/ntpd
udp 0 0 0.0.0.0:123 0.0.0.0:* 0 7507 3393/ntpd
udp 0 0 188.40.34.67:27005 0.0.0.0:* 5023 118785 2459/srcds_i686
udp 0 0 188.40.34.67:27006 0.0.0.0:* 5023 118824 2468/srcds_i686
udp 0 0 188.40.34.67:27007 0.0.0.0:* 5023 118885 2476/srcds_i686
udp6 0 0 :::33547 :::* 108 6618 2978/avahi-daemon:
udp6 0 0 :::5353 :::* 108 6616 2978/avahi-daemon:
udp6 0 0 fe80::224:21ff:fe29:123 :::* 0 7513 3393/ntpd
udp6 0 0 ::1:123 :::* 0 7512 3393/ntpd
udp6 0 0 :::123 :::* 0 7508 3393/ntpd

P.S. Vielleicht sollte ich aber auch sicherheitshalber dazu sagen das ich anfangs den root neugestartet habe bevor ich gemrkt habe das er gesperrt worden is also ist denke ich mal die möglichkeit das der prozess immernoch läuft bestimmt ziemlich gering oda?

P.P.S. Vielleicht können wir uns ja wirklich mal in nem Ts zusamensetzen dann könnte ich dir auch mal zugriff auf den server geben dann kannste mal selber schaun! Wäre echt nice da wie gesagt mein wisen doch relativ begrenzt is! ^^

DeaD_EyE

Administrator

Beiträge: 3 980

Wohnort: Hagen

Beruf: Mechatroniker (didaktische Systeme)

Rootserver vorhanden: Nein

  • Nachricht senden

7

Dienstag, 15. Juni 2010, 21:27

Re: Root Server gehackt!!!

Bin bei uns im TS3: silent-attack.eu:9991
Bin afk, kannst mich ja im TS3 oder IRC anschreiben, wenn du da bist.
SkyRadar Youtube Channel - Die neue S7-1500 - Youtube-Kanal

Terrorkarotte

Super Moderator

Beiträge: 708

  • Nachricht senden

8

Dienstag, 15. Juni 2010, 22:18

Re: Root Server gehackt!!!

Welche PHP Scripte waren/sind installiert? Von den Startbefehlen her würde ich tippen, dass du auch ein Webinterface wie Teklab, oder mein-webinterface nutzt?

Dazu nutzt du ja auch so alles, was es an Tools gibt. Wenn du den root neu aufsetzt, solltest du dir überlegen, auf alles zu verzichten, was man nicht unbedingt braucht.
Munin z.B. sagt dem Angreifer sehr viel, wenn du es öffentlich zugänglich machst.

Dazu solltest du dir mod_security usw. mal genau angucken, weil es, richtig konfiguriert, in der Lage ist viele PHP/SQL Injections abzufangen wenn die Webanwendung mal ne Schwachstell haben sollte.
Webbasierender Config Ersteller: www.ulrich-block.de für CS 1.6, CSS, DODS und TF2.

Ebenso wird werden verschiedene Debian Gameserverkernel zum Download angeboten.

Viper2

Anfänger

  • »Viper2« ist der Autor dieses Themas

Beiträge: 39

  • Nachricht senden

9

Dienstag, 15. Juni 2010, 23:39

Re: Root Server gehackt!!!

Also bei Teklab hast du recht das nutze ich und munin auch aber das is eigentlich nich öffentlich einsehbar das is nur für mich! und mod_secrurity kenn ich garnich is aber nen guter tip werd ich mir mal anschaun! ^^ Und neu aufsetzten will ich den server eigentlich nich steckt einfach zu viel arbeit drin also will ich erstmal versuchen das problem so zu beseitigen! ^^

Alleridings bei Munin hast du eigentlich recht das kann ich eigentlich auch komplett runterhaun wirklich brauchen tu ich das eigentlich nich! ^^

Terrorkarotte

Super Moderator

Beiträge: 708

  • Nachricht senden

10

Mittwoch, 16. Juni 2010, 11:36

Re: Root Server gehackt!!!

Da wirst du leider nicht darum kommen. Gehackt bedeutet immer:
1. Sicherheitsloch ausmachen
2. Backup machen von den Teilen, die nicht betroffen sind
3. Sicherheitskonzept ausarbeiten, damit sowas nicht wieder passiert. Bei dem Apache sind das Sachen wie .htpasswd, mod_esasive, mod_security und alle nicht gebrauchten Module weg.
Grundsätzlich gilt: minimal ist optimal. Installier dir nichts, was du nicht unbedingt brauchst. Das was drauf ist vernünftig absichern.
4. Root neu aufsetzen. Und dabei das Sicherheitsloch schließen bzw gar nicht erst wieder installieren
5. Die Teile des Backups die nicht betroffen waren wieder einspielen
Webbasierender Config Ersteller: www.ulrich-block.de für CS 1.6, CSS, DODS und TF2.

Ebenso wird werden verschiedene Debian Gameserverkernel zum Download angeboten.

MadMakz

Super Moderator

Beiträge: 1 878

Wohnort: ~#

Rootserver vorhanden: Ja

  • Nachricht senden

11

Mittwoch, 16. Juni 2010, 12:24

Re: Root Server gehackt!!!

wo du gerade mod_security erwähnst,
kann mir mal jemand ne gute beispiel config geben?
als ich mod_security zum ersten mal probiert habe liefen die hälfte meiner seiten nicht mehr ordnungsgemäß (joomla, drupal, und redmine, letzteres durch mod_proxy) und PHP upload war auch nicht mehr möglich. glaube ich hatte damals nen tutorial von howtoforge benutzt.

Terrorkarotte

Super Moderator

Beiträge: 708

  • Nachricht senden

12

Mittwoch, 16. Juni 2010, 16:51

Re: Root Server gehackt!!!

Naja es gibt 3 bekannte Sachen die du nutzen kannst. Die Core Rules alt und neu und gotroot Regeln.

Die Core Rules kommen von den Machern selber. Installiert man sie gehen so gut wie alle CMS usw. Nicht. Am Anfang stellt man die Regeln deswegen auf detect only. Nach ein zwei Tagen wertest du die error logs aus und hebst die Regeln für den betrofenen Vhost für die jeweilige php datei auf und/oder schreibst eine nicht blockende, um keine false positive mehr zu verursachen.

http://www.gotroot.com">http://www.gotroot.com</a> hat schon viele CMS eingepflegt und das meiste läuft auf anhieb. Es gibt eine bezahl und eine kostenlose Version. Die kostenlose ist halt imerm 3 Monate+ älter als die Bezahl, bietet aber auh eien guten Einstieg.

Ich habe mir eine eigene Kombination aus allen dreien gebaut.
Webbasierender Config Ersteller: www.ulrich-block.de für CS 1.6, CSS, DODS und TF2.

Ebenso wird werden verschiedene Debian Gameserverkernel zum Download angeboten.