Re: OT: "You system was hacked !!! Sorry."

To: ml_debian-user-german <debian-user-german@lists.debian.org>
Subject: Re: OT: "You system was hacked !!! Sorry."
From: Daniel Leidert <daniel.leidert.spam@gmx.net>
Date: Tue, 21 Feb 2006 18:29:17 +0100
Message-id: <[🔎] 1140542957.6253.22.camel@localhost>
In-reply-to: <[🔎] dtfgvp$6sg$1@sea.gmane.org>
References: <[🔎] dtfgvp$6sg$1@sea.gmane.org>

Am Dienstag, den 21.02.2006, 18:00 +0100 schrieb Claudius Hubig:

> als ich heute morgen gegen 8:00 Uhr meine Homepage aufrief war noch
> alles i. O., als ich es eben tat hatte ich eine schöne neue index.html
> mit folgendem Text (und einem ebenso schönen Bild):
> 
> <snip>
[..]
> Nunja, den betroffenen "Server" habe ich sofort vom Netz getrennt,
> und mich lokal eingeloggt um zumindest einen kleinen Überblick zu
> bekommen.
> 
> In der /var/log/auth.log fand sich keinerlei login seit gestern abend,
> und das war ich selbst.
> 
> Das Verzeichnis /var/www/limbo (auf das meine Domain verwies) enthielt
> besagte HTML-Datei sowie ein Bild, alle anderen Verzeichnisse
> in /var/www (es liegen hier noch zwei 'Websites') waren jedoch unberüht.
> 
> Die /var/log/apache2/access.log ist komplett leer.
> 
> 
> Die Versionen der Pakete auf dem Server sind aktuelles Debian-Testing,
> ich möchte hier im Hinblick auf das Dartenvolumen nicht riesig lange
> Listen verschicken.
> 
> Jetzt liegt es natürlich im Bereich des möglichen das diese "Hacker"
> die entsprechenden Angaben gelöscht bzw. geändert haben, doch halte ich
> dies nicht für sehr wahrscheinlich.

Das ist, IMHO, eine sehr gefährliche Meinung. Zum Säubern der Logs gibt
es genauso Tools. Das ist kaum Arbeit (selbst für Sciptkiddies).

> Genauso wäre es möglich, dass sie
> irgendwo auf dem System ein rootkit installiert haben bzw. eine der
> ausführbaren Dateien geändert haben. Überprüfen kann ich dies nicht.

Dann ...

> Doch wie soll ich jetzt weiter vorgehen? Der Angriff muss heute Mittag
> geschehen sein, heute nacht war ich vom Netz getrennt.
> 
> Eine Neuinstallation der zu diesem Zeitpunkt laufenden Systeme
> (Hardwarerouter; Linux-Router; Server) würde ich gerne vermeiden,
> Backups habe ich nur von den Konfigurationsdateien erstellt, nicht von
> von den gesammten Partitionen.
> 
> Was sollte ich jetzt noch überprüfen, was sollte ich neu installieren
> (der Aufwand sollte sich jeweils lohnen, ich bin nicht paranoid[1])

... gehört das System platt gemacht und neu aufgesetzt. Du weißt eben
nicht, was dein Server im Moment alles tut. Vorher würde ich aber
versuchen, das Einfallstor zu ermitteln (das betroffene System auf
offene Ports scannen, wenn du MD5-Summen oder Aide-Daten der
Installation hast, diese mal prüfen, evtl. chkrootkit und rkhunter
laufen lassen, nach bekannten Sicherheitslücken der installierten
Programme suchen oder gleich jemanden beauftragen, der von Forensik
Ahnung hat), sonst hat deine nä. Installation kaum Chancen auf ein
längeres Leben. Und beim nä. Versuch würde ich dir regelmäßige und
vernünftige Backups dringend anraten. Denn das ist dein eigentliches
Problem. Hättest du eine vernünftige Backupstrategie, dann würdest du
nicht von "Neuinstallation vermeiden" etc. sprechen und hättest schnell
wieder ein laufendes System ohne großen Datenverlust.

MfG Daniel

Reply to:

References:
- OT: "You system was hacked !!! Sorry."
  - From: Claudius Hubig <claudiushubig@gmx.net>

Prev by Date: Re: [Sarge] Absturz beim Booten beim Initialisieren von USB
Next by Date: Re: OT: "You system was hacked !!! Sorry."
Previous by thread: Re: OT: "You system was hacked !!! Sorry."
Next by thread: Re: OT: "You system was hacked !!! Sorry."
Index(es):
- Date
- Thread