Re: Server gehackt
ja hallo erstmal,...
Am Mittwoch, 25. August 2004 09:19 schrieb Christian Schmied:
> Hallo,
>
> ich habe seit gestern Nacht ein über 700MB größeres Transfervolumen auf
> meinem Server.
>
> Alles Durchsehen der Log-Dateien hat nichts gebracht.
>
> Mittels nmap habe einen neuen Port entdeckt: Port 88 Kerberos-sec
> und mit top finde ich ein Programm, das seit über sechs Stunden läuft und
> scan-a heißt.
Ok.
1. Schritt Verbindung zum inet physikalisch trennen. - Rechner nicht
herunterfahren!
2. Neuen Server (anderes Gerät) mit Backups installieren Mondo - Mindi falls
verfügbar. Dieser soll die Dienste übernehmen.
3. Gehe auch ww.chkrootkit.org Lade dir das dortige Programm herunter.
Übersetze es statisch! auf einem sauberen System. Packe zudem dieses und alle
benötigten Binaries (die dortige Doku lesen!) auf eine CD / einen USB-Stick
und lasse das Programm durchlaufen.
4. Stelle fest, welche Programme im Arbeitsspeicher sind, geladen sind, checke
die IDS-Systeme (welche Dateien wurden geändert)
5. Vergleich den geladenen Kernel mit einem Memory-Abbild (guck mal
system.map) Liste alle geladenen Module, Programme, Bibliotheken auf und
druck es am besten direkt aus.
6. Boote das System mit Knoppix und untersuche das System per Hand (und
gründlich) auf Kompromitierungen.
Welche Dateien sind dort, welche müssen dort sein. Stimmen die md5-Summen der
Dateien mit denen von den aus den Debian-Paketen überein.
7. Wenn du das Loch findest, schließe es. Falls nicht, so besteht immer wieder
die Gefahr, dass dieses nochmal passiert. Solltest du es nicht finden, steige
auf OpenBSD um.
fup2
forensics@securityfocus.com
(forensics-help@securityfocus.com , www.securityfocus.com) oder
de.comp.security.misc solltest du damit Probleme haben.
> Ich musste den Server neu aufsetzen, da ich ihn heute noch für eine andere
> Sache benötige. Trotzdem würde ich gerne wissen ob mit den beiden obigen
> Aussagen jemand von euch was anfangen kann?
Siehe oben. Alles andere ist fahrlässig.
>
> Hat jemand Links oder andere Tipps, wie mein sein System 100% (na ja 99,9%)
> wasserdicht bekommt?
http://www.debian.org/doc/manuals/securing-debian-howto/
http://www.grsecurity.org
oder
http://www.openbsd.org
Trusted Solaris ist auch ganz nett.
Keep smiling
yanosz
Reply to:
- References:
- Server gehackt
- From: Christian Schmied <christian_schmied2000@yahoo.de>