Re: Server gehackt

To: debian-user-german@lists.debian.org
Subject: Re: Server gehackt
From: Jan Luehr <jluehr@gmx.net>
Date: Thu, 26 Aug 2004 14:09:19 +0200
Message-id: <[🔎] 200408261409.19768.jluehr@gmx.net>
In-reply-to: <[🔎] 20040825071905.68929.qmail@web25210.mail.ukl.yahoo.com>
References: <[🔎] 20040825071905.68929.qmail@web25210.mail.ukl.yahoo.com>

ja hallo erstmal,...

Am Mittwoch, 25. August 2004 09:19 schrieb Christian Schmied:
> Hallo,
>
> ich habe seit gestern Nacht ein über 700MB größeres Transfervolumen auf
> meinem Server.
>
> Alles Durchsehen der Log-Dateien hat nichts gebracht.
>
> Mittels nmap habe einen neuen Port entdeckt: Port 88  Kerberos-sec
> und mit top finde ich ein Programm, das seit über sechs Stunden läuft und
> scan-a heißt.

Ok.
1. Schritt Verbindung zum inet physikalisch trennen. - Rechner nicht 
herunterfahren!
2. Neuen Server (anderes Gerät) mit Backups installieren Mondo - Mindi falls 
verfügbar. Dieser soll die Dienste übernehmen.
3. Gehe auch ww.chkrootkit.org Lade dir das dortige Programm herunter.
Übersetze es statisch! auf einem sauberen System. Packe zudem dieses und alle 
benötigten Binaries (die dortige Doku lesen!) auf eine CD / einen USB-Stick 
und lasse das Programm durchlaufen.
4. Stelle fest, welche Programme im Arbeitsspeicher sind, geladen sind, checke 
die IDS-Systeme (welche  Dateien wurden geändert)
5. Vergleich den geladenen Kernel mit einem Memory-Abbild (guck mal 
system.map) Liste alle geladenen Module, Programme, Bibliotheken auf und 
druck es am besten direkt aus.
6. Boote das System mit Knoppix und untersuche das System per Hand (und 
gründlich) auf Kompromitierungen.
Welche Dateien sind dort, welche müssen dort sein. Stimmen die md5-Summen der 
Dateien mit denen von den aus den Debian-Paketen überein.
7. Wenn du das Loch findest, schließe es. Falls nicht, so besteht immer wieder 
die Gefahr, dass dieses nochmal passiert. Solltest du es nicht finden, steige 
auf OpenBSD um.

fup2
forensics@securityfocus.com
(forensics-help@securityfocus.com , www.securityfocus.com) oder 
de.comp.security.misc solltest du damit Probleme haben.

> Ich musste den Server neu aufsetzen, da ich ihn heute noch für eine andere
> Sache benötige. Trotzdem würde ich gerne wissen ob mit den beiden obigen
> Aussagen jemand von euch was anfangen kann?

Siehe oben. Alles andere ist fahrlässig.

>
> Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja 99,9%)
> wasserdicht bekommt?

http://www.debian.org/doc/manuals/securing-debian-howto/
http://www.grsecurity.org
oder
http://www.openbsd.org
Trusted Solaris ist auch ganz nett.


Keep smiling
yanosz

Reply to:

Follow-Ups:
- Re: Server gehackt
  - From: Martin Schmitz <martin-schmitz@web.de>

References:
- Server gehackt
  - From: Christian Schmied <christian_schmied2000@yahoo.de>

Prev by Date: Re: Festplatte in Rack nicht mountbar
Next by Date: Sarge: OpenOffice findet keine Sprachmodule
Previous by thread: Re: Server gehackt
Next by thread: Re: Server gehackt
Index(es):
- Date
- Thread