Gehackt?? Was ist denn da los???

Dieses Thema im Forum "Anwendungen" wurde erstellt von luusbueb, 09.10.2006.

  1. #1 luusbueb, 09.10.2006
    luusbueb

    luusbueb unverhofft kommt oft

    Dabei seit:
    16.12.2005
    Beiträge:
    54
    Zustimmungen:
    0
    Ort:
    CH - Schaffhausen
    Wollte heute auf meinem Root-Server per ssh etwas installieren.
    Dafür musste ich die install-Datei chmodden...
    bash: chmod: command not found

    chmod gibt's nicht in /bin

    Zb. chgrp gibt's, aber die Berechtigungen sind unzureichend
    bash: /bin/chown: cannot execute binary file

    Und was mich nun so erschreckt: das Datum von diversen Binaries: Oct 8 15:15
    ????????? Wie kommt das?

    Ausserdem wird bei der Ausgabe von ls immer zu erst folgendes ausgegeben.
    /bin/ls: unrecognized prefix: do
    /bin/ls: unparsable value for LS_COLORS environment variable

    Bitte sagt mir, dass das normal ist, und wie ich das Problem beheben kann! :(
     

    Anhänge:

    • ls.txt
      Dateigröße:
      13,9 KB
      Aufrufe:
      34
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 Keruskerfürst, 09.10.2006
    Keruskerfürst

    Keruskerfürst Kaiser

    Dabei seit:
    12.02.2006
    Beiträge:
    1.366
    Zustimmungen:
    0
    Server im Eimer.
    Vom Netz nehmen und neu installieren.
     
  4. brahma

    brahma Netzpirat

    Dabei seit:
    06.12.2005
    Beiträge:
    709
    Zustimmungen:
    0
    Ort:
    Münsterland
    Auf jden Fall erstmal vom Netz nehmen. Hast du erhöhten Traffic? Oder macht sich das sonst irgendwie bemerktbar?

    Teilweise lassen sich durch php-seiten, hatte das mal mit phpBB, codezeilen ins system schleusen, meistens sind die dann unter tmp zu finden. reboot, bei 1un1 gibts z.B. eine Resttunskonsole über die du dann ran kommst, direkt alles wegsichern, umsehen, vlt. kann man den server retten, besser aber neu-install.
     
  5. #4 luusbueb, 09.10.2006
    luusbueb

    luusbueb unverhofft kommt oft

    Dabei seit:
    16.12.2005
    Beiträge:
    54
    Zustimmungen:
    0
    Ort:
    CH - Schaffhausen
    Verd... naja, ich habs mir gedacht...

    Wird zwar sehr mühselig sein, den Server aufsetzten zu lassen und alles... meine Kunden werden sich über den Ausfall auch nicht gerade freuen! :(

    Was kann ich tun, um etwas Prävention zu betreiben? Wenn sich durch ein PHP-Script Zugriff verschafft werden kann, dann nützt eine Firewall ja nicht viel. Da muss ich meine PHP-Scripts nach Sicherheitsaspekten prüfen...

    Seht ihr das anders?

    Ich komme mir ziemlich hilflos vor!
     
  6. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Zuerstmal Cross-Site-Scripting unterbinden. Das schaffst du mit folgenden Zeilen in den VirtualHosts:
    Code:
        RewriteEngine on
        RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
        RewriteRule .* - [F]
    
    Damit werden die TRACE- und TRACK-HTTP-Methoden im Server für das VHost deaktiviert, was XSS-Angriffe enorm erschwert.

    Weiterhin solltest du ein IDS wie Snort einsetzen um potentiell schädlichen Traffic auszufiltern und bei einem erfolgreichen Angriff im Nachhinein nachvollziehen zu können, wie der Angreifer in's System gekommen ist.

    Mit Tools wie AIDE oder Tripwire kannst du regelmässig die Datei-Integrität überprüfen (z.B. per Cronjob) um Änderungen an Systemdateien schnellstmöglich zu merken und nach einem Angriff nachvollziehen zu können, was genau am System verändert wurde.

    Nicht vergessen sollte man, dass bestimmte Angriffstechniken schon durch eine geschickte Manipulation der Dateien im procfs verhindert werden können:
    Code:
            ### PROC MANIPULATION ###
            # auf Broadcast-Pings nicht antworten
            echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
            # halt die Klappe bei komischen ICMP Nachrichten
            echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
            # Kicke den ganzen IP Spoofing Shit
            # (Source-Validierung anschalten)
            echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
            # Setze Default-TTL auf 61 (Default fuer Linux ist 64)
            echo 61 > /proc/sys/net/ipv4/ip_default_ttl
            # sende RST-Pakete wenn der Buffer voll ist
            echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow
            # warte max. 30 secs auf ein FIN/ACK
            echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
            # unterbreche Verbindungsaufbau nach 3 SYN-Paketen
            # Default ist 6
            echo 3 > /proc/sys/net/ipv4/tcp_syn_retries
            # unterbreche Verbindungsaufbau nach 3 SYN/ACK-Paketen
            # Default ist 6
            echo 3 > /proc/sys/net/ipv4/tcp_synack_retries
    
    Ausserdem sollte man regelmässig chkrootkit und rkhunter einsetzen um evtl. installierte Rootkits zu entdecken.

    Und zu guter Letzt: Die Datei-Rechte auf Servern sollten möglichst stark restriktet werden. Ein Systemuser darf nur an die Dateien kommen, die er auch nutzen soll/darf.

    Diverse weitere Massnahmen sind möglich, aber das hier aufgezählte ist in meinen Augen das Minimum an Sicherung, die ein Server erhalten sollte.

    Im übrigen finde ich es extrem sch..., dass du mit so wenig Wissen über System- und Datensicherheit einen eigenen Server betreibst. "Deine armen Kunden" kann ich da nur sagen. An deren Stelle würde ich mir einen anderen Admin suchen.
     
  7. #6 luusbueb, 09.10.2006
    luusbueb

    luusbueb unverhofft kommt oft

    Dabei seit:
    16.12.2005
    Beiträge:
    54
    Zustimmungen:
    0
    Ort:
    CH - Schaffhausen
    Danke für die Tipps...
    Werde das nach nem Neu-Install berücksichtigen

    Bezüglich unerfahrenheit als Sys-Admin... Da muss ich dir recht geben. So lerne ich aber dazu.
     
  8. #7 gropiuskalle, 09.10.2006
    gropiuskalle

    gropiuskalle terra incognita

    Dabei seit:
    01.07.2006
    Beiträge:
    4.857
    Zustimmungen:
    0
    Ort:
    Berlin
    Ich finde 'trial and error' ja auch nicht schlecht, aber ein im www stehender Server eignet sich für sowas nun wirklich nicht.
     
  9. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Es wäre nur schön, wenn du deine Lernversuche auf deinem heimischen PC machen würdest und nicht auf einem 100MBitler, der binnen weniger Sekunden zig tausende Spammails durch die Gegend schicken und damit andere Server behindern kann. Über die rechtliche Seite habe ich mich hier im Board ja schon zig Mal ausgelassen. Ich hoffe, dass dir deine Kunden genug Geld zahlen, so dass du im Fall einer Klage gegen dich (wegen Spam, Verteilen von Warez u.ä.) einige tausend Euro als Rücklage hast.
     
  10. #9 luusbueb, 09.10.2006
    luusbueb

    luusbueb unverhofft kommt oft

    Dabei seit:
    16.12.2005
    Beiträge:
    54
    Zustimmungen:
    0
    Ort:
    CH - Schaffhausen
    Naja, wenn ich einen fertig installierten Root-Server miete, dann darf ich schon davon ausgehen, dass der Server einigermassen gut konfiguriert ist.

    Natürlich wäre es optimal, wenn ich ein Unix-Crack wäre. Ich kann einiges, aber ein Crack bin ich nicht, trotzdem miete ich einen Root-Server, trotzdem versuche ich's so gut als möglich zu machen. Ein Risiko ist immer dabei.
     
  11. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Nein, darfst du nicht. Die Hoster wollen in erster Linie ihre Server vermieten. Der Kunde selbst ist für die Sicherheit des Servers verantwortlich. Das steht im übrigen auch in den AGBs der meisten Hoster. Wenn dich jemand verklagt, weil dein Server gehackt und zum Verteilen von Spam, Viren, Warez u.ä. missbraucht wird, wirst du dafür zur Verantwortung gezogen. Deinen Hoster interessiert das, gelinde gesagt, einen Scheiss.
     
  12. hex

    hex Lebende Foren Legende
    Moderator

    Dabei seit:
    10.12.2003
    Beiträge:
    1.775
    Zustimmungen:
    0
    Ort:
    Stuttgart
    Da hat theton recht! Ein Root-Server ist DEIN Server und der Hoster übernimmt NULL Verwortung für dein Handeln! Ich teste mein Zeug auch erst lokal bevor es auf den vServer kommt ;)

    mfg hex
     
  13. #12 slasher, 09.10.2006
    slasher

    slasher König

    Dabei seit:
    22.03.2006
    Beiträge:
    827
    Zustimmungen:
    0
    blauäugig, Mr. luusbueb. Dank dir habe ich nun ganz viele Mails in meinem Postfach ;).
     
  14. #13 luusbueb, 09.10.2006
    luusbueb

    luusbueb unverhofft kommt oft

    Dabei seit:
    16.12.2005
    Beiträge:
    54
    Zustimmungen:
    0
    Ort:
    CH - Schaffhausen
    Ok, ich werd mir mal das Buch "Linux Server Sicherheit" beschaffen.

    Danke für euren Rat und eure Direktheit! (Auch wenns schmerzt!) ;(


    P.S. Bitte kommt jetzt nicht mit "das reicht nicht" oder "Symptom-Bekämpfung"... ist mir schon klar... Ich versuch nur das beste für den Weiterbetrieb des Servers zu erreichen... meinen Kunden und mir zuliebe.
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. #14 Echtor2oo3, 09.10.2006
    Echtor2oo3

    Echtor2oo3 Mitglied

    Dabei seit:
    22.05.2006
    Beiträge:
    45
    Zustimmungen:
    0
    debian.org wurde wurde gehackt, winrar.de CCC etz alles keine newbs und nur weil er nicht den mörderplan hat heulen alle rum... es kann genauso einen von euch treffen da is keiner 100% sicher =) nur würdet ihr es nicht hier reinschreiben
     
  17. brahma

    brahma Netzpirat

    Dabei seit:
    06.12.2005
    Beiträge:
    709
    Zustimmungen:
    0
    Ort:
    Münsterland
    Jo, aber es ist immer eine Frage wie einfach es ist. Mein Webserver wurde 2x gehackt, oder besser infiltriert. 2x durch ähnliche lücken, nämlich in den oben angesprochenen phpBB-Lücken, und 2x weil ich zu faul war das dringende Update sofort zu machen und das auf Montags verschoben hatte, naja, Fr-So., und es war zu spät....

    Beim ersten Mal hab ich neu installiert, beim zweiten mal reichte ein ein reboot und dann eine offline-Reinigung mit Beseitigung der Lücken aus.

    Dein Provider wird dir wenn Du fragst sicher ein paar Tips geben können was du machen kannst, was er empfiehlt. Lücken wirds immer wieder geben, das nicht deine Schuld, nur wenn du diese nicht stopfst muss dir an Kopp packen.....
     
Thema:

Gehackt?? Was ist denn da los???

Die Seite wird geladen...

Gehackt?? Was ist denn da los??? - Ähnliche Themen

  1. Linux.com gehackt

    Linux.com gehackt: Nachdem bereits Anfang des Monats die Betreiber von kernel.org ein Sicherheitsleck in der Infrastruktur der Seite vermelden mussten, gaben nun...
  2. SUSE / Apache gehackt ???

    SUSE / Apache gehackt ???: Brauche dringend Hilfe. Ich habe seit heute folgendes Problem. Kann meinen Apache nicht mehr erreichen. Weder lokal noch übers Internet. Mein...
  3. FTP Usernamen werden abgehackt

    FTP Usernamen werden abgehackt: Hallo zusammen. ich habe auf der Arbeit als Webprogrammier viel mit FTP zu tun. Ich nutze Krusader und Konqueror für die FTP Verbindungen. Nun...
  4. CCC-Kongress: Gehackte Websites...

    CCC-Kongress: Gehackte Websites...: Man mag ja vom CCC halten, was man möchte, aber die gerade gelaufene Aktion hat schon was finde ich: http://events.ccc.de/congress/2007/Hacks...
  5. Meine guildwars account wurde gehackt

    Meine guildwars account wurde gehackt: Hi leute ich spiele gw und meine gw account wurde gehackt das prob ist das ich den acc erstellungs key net mehr habe und ich weiß zwar die e- mail...