Gehackter Server?

Dieses Thema im Forum "Security Talk" wurde erstellt von @->-, 08.07.2008.

  1. @->-

    @->- Guest

    Hallo zusammen, ich brauche mal eure Meinung. Ich habe einen neuen Server gemietet, heute meine Zugangsdaten bekommen. Ich wunderte mich gleich das kein root Login möglich war. Also meldete ich mich zum ersten mal als alternativer User an (so wird es bei dem Anbieter genannt).

    Natürlich habe ich erst einmal den Zustand vom Server geprüft und war natürlich richtig begeistert von der Prozessliste... Wir reden über Auslieferungszustand!

    Code:
     PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND            
     9693 root      15   0   976  508  412 S    2  0.1   0:02.83 brute              
     9819 root      15   0   968  560  472 S    2  0.1   0:00.43 brute              
     9712 root      15   0   968  516  428 S    2  0.1   0:01.49 brute              
     9753 root      15   0   968  560  472 S    1  0.1   0:00.93 brute              
     9821 root      15   0   968  516  428 S    1  0.1   0:00.55 brute              
     9842 root      15   0   968  560  472 S    1  0.1   0:00.05 brute              
     5352 root      15   0  2148  132    0 R    1  0.0   1:20.01 ls                 
     9557 root      15   0   968  560  472 S    1  0.1   0:01.39 brute              
     9709 root      15   0   968  560  472 S    1  0.1   0:01.04 brute              
     9766 root      15   0   968  560  472 S    1  0.1   0:00.79 brute              
     9784 root      15   0   968  560  472 S    1  0.1   0:00.47 brute              
     7615 root      15   0   976  508  412 S    1  0.1   0:02.57 brute              
     8771 root      15   0   964  556  472 S    1  0.1   0:01.64 brute              
     9422 root      15   0   968  560  472 S    1  0.1   0:01.54 brute              
     9492 root      15   0   964  556  472 S    1  0.1   0:01.48 brute              
     9531 root      15   0   964  556  472 S    1  0.1   0:00.98 brute              
     9549 root      15   0   968  516  428 S    1  0.1   0:00.91 brute
    Natürlich habe ich auch die Logs angesehen, der Server wurde bereitgestellt am 8 Juli um 14:00 Uhr. Die Logs gehen aber schon zurück bis zum 2 Juli und sehen sehr wüst aus :)
    Es kann ja eigentlich nicht sein das ein Server gehackt ist bevor er bereitgestellt wird. Was meint ihr? Ich habe jetzt erst einmal alle Logs gesichert um nach zu weisen das mit dem Server schon z.B Spawn versendet wurde bevor ich überhaupt Zugang hatte. Das praktische an der Geschichte ist auch das sich der Server nicht herunterfahren lässt (weder über ssh wegen fehlenden root Zugang, noch über die Oberfläche vom Anbieter) und der Support regiert nicht.

    Ich hatte noch nie Probleme mit meinen Servern, da ich bis jetzt immer bei großen Anbietern mit Qualität war. Wie ihr euch bestimmt denken könnt habe ich auf eine weitere "Zusammenarbeit" mit diesem Anbieter keine Lust mehr. Wie sieht das Rechtlich aus? Kann ich fristlos Kündigen, wenn ich den Nachweis erbringen kann das ein Server bereitgestellt wurde der bereits mit rootkits usw. ausgestattet war?

    In diesem Sinne
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 flugopa, 08.07.2008
    flugopa

    flugopa Der lernwillige

    Dabei seit:
    27.05.2006
    Beiträge:
    739
    Zustimmungen:
    0
    Ort:
    München
    Ich bin kein Rechtsexperte und kann Dir auch keine rechtsverbindliche Auskunft geben, aber wenn Du den IQ besitzt diesen Nachweis zu erbringen, dann hast Du auch den IQ diese Manipulation selbst durch zu führen bzw. durch führen zu lassen.

    Schone Deine Nerven und lerne daraus.
     
  4. #3 supersucker, 08.07.2008
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Von welchem Anbieter sprechen wir hier?

    Haben die keine Notfall-Hotline?

    Billig-Anbieter?
     
  5. @->-

    @->- Guest

    Notfallnummer ja, geht aber keiner dran :)

    Billig-Anbieter ist es nicht, er ist aber auch nicht so sehr teuer. Eigendlich hatte er auch bei http://www.webhostlist.de ausschließlich positive Bewertungen. Einen Namen möchte ich bis zur Klärung erst einmal nicht nennen.

    Was mich aber interessieren würde, was genau der Prozess "brute" ist. Das er nicht gut ist, ist mir schon klar :) aber ich konnte noch keine Infos dazu finden. Laut den Logs sind schon 2 Tage bevor der Server bereitgestellt wurde root Logins aus Japan verzeichnet (laut isp angabe)....

    In diesem Sinne
     
  6. #5 supersucker, 08.07.2008
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Naja,

    wir leben noch nicht in 1986, von daher.....

    Such mal nach "brute" auf dem filesystem, evtl. findest du was.

    P.S.:

    Das man keinen root-login per SSH erlaubt, gehört zu den absoluten Mindestanforderungen von Seiten der Security, das ist also soweit normal.
     
  7. #6 supervisor, 08.07.2008
    supervisor

    supervisor Eroberer

    Dabei seit:
    15.06.2008
    Beiträge:
    61
    Zustimmungen:
    0
    Ort:
    Bayern
    versuch mal 'man brute', sollte das aber wirklich was böses sein, bezweifele ich, dass die hacker ne man-page eingefügt haben....:-)
     
  8. #7 saeckereier, 09.07.2008
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    IANAL, Zur Vertragskündigung ist das keine Grundlage. Wenn online bestellt, kannst du innerhalb von 14 Tagen zurücktreten vom Vertrag. Ansonsten hat der Anbieter wohl ersteinmal Recht auf Nachbesserung liest man so im Netz
     
  9. Buchi

    Buchi Routinier

    Dabei seit:
    25.05.2006
    Beiträge:
    375
    Zustimmungen:
    0
    Ort:
    Wien
    [offtopic]
    @supersucker:

    Ich denke du meinst 1984 oder? :D
    [/offtopic]
     
  10. #9 HPollak, 09.07.2008
    HPollak

    HPollak Foren As

    Dabei seit:
    21.12.2007
    Beiträge:
    93
    Zustimmungen:
    0
    versuch mal:

    whereis brute

    dann kannst du wenigsten lokalisieren wo sich das programm befindet.
    weiters versuchmal ein programm das root-kits erkennt laufen zu lassen ( falls dein account root-berechtigungen hat ) - findest du im internet so weit ich weiß gibts da was, was chkrootkit oder so heißt.

    lg
    Harry
     
  11. #10 supersucker, 09.07.2008
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Hrhr, das Ding steht neben mir und ich hab's trotzdem noch falsch geschrieben.....

    Naja, er hat ja oben geschrieben, das er eben keinen root-Login hinkriegt.

    @ @->-

    Wer ist denn nu der Anbieter? Wir können ja ein Rätselspiel draus machen.........:devil:

    Hat der support nun endlich reagiert?
     
  12. niLs

    niLs òle òle

    Dabei seit:
    10.06.2004
    Beiträge:
    153
    Zustimmungen:
    0
    Ort:
    Hannover
    Was sagt der Traffic der Maschine? Nicht, dass du am Ende eventuell noch Zusatztraffic zahlen sollst...

    Das mit dem Anbieter wäre wirklich mal interessant :) Wer hat Maschinen über mehrere Wochen leer rumstehen? :)
     
  13. Ticha

    Ticha Linux Missionar

    Dabei seit:
    21.07.2006
    Beiträge:
    814
    Zustimmungen:
    0
    Das mit den eigenen Root Servern is eh eine viel zu heisse Sache für Privatleute...
     
  14. #13 saeckereier, 09.07.2008
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Kann man nicht pauschal so sagen. Wenn du dir mal die Threads des Threadstarters anguckst, wirst du feststellen, dass er a) schon lange überlegt, es also keine Hals-über-Kopf Entscheidung war und b) wohl auch genügend Wissen vorhanden ist. Aber wer denn jetzt der Anbieter ist würde mich auch interessieren.
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. @->-

    @->- Guest

    Naja, zumindest ist der Server jetzt offline, der Support hat zwar nicht reagiert aber zum Glück konnte ich herausbekommen wo der Server steht, habe mich dann mit dem Betreiber des Rechenzentrums in verbindung gesetzt, die Situation geschildert und gebeten den Stecker zu ziehen. Da der Anbieter der Meinung ist mich nicht aus dem Vertrag lassen zu wollen, habe ich die Sache jetzt an einen Anwalt abgegeben, warum soll ich mich damit herum ärgern? Der Anwalt meinte auch das es keine Probleme geben sollte.

    Ja, in der Regel weiß ich was ich tue :) Nein ich verdiene mir auch ein paar Euro dazu, in dem ich ein paar Server verwalte. Bis jetzt hatte ich in 4 Jahren noch keine Zwischenfälle, aber wenn ein Server mit Rootkits bereitgestellt wird kann ich auch nichts machen.

    In diesem Sinne
     
  17. #15 saeckereier, 09.07.2008
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Eben deshalb :-) Viel Glück beim Rauskommen aus dem Vertrag. Wenn du einen anderen Anbieter suchst, mit manitu habe ich ganz gute Erfahrungen gemacht, insbesondere was Reaktionszeiten angeht.
     
Thema:

Gehackter Server?

Die Seite wird geladen...

Gehackter Server? - Ähnliche Themen

  1. CentOS 7: Falsche Metric bei regelbasiertem Routing nach Server-Reboot

    CentOS 7: Falsche Metric bei regelbasiertem Routing nach Server-Reboot: Hallo zusammen Ich möchte unseren existierenden SFTP Server durch einen neuen Server mit CentOS 7 ersetzen. Da der Server einerseits direkt via...
  2. Empfehlung für Server Distribution

    Empfehlung für Server Distribution: Hallo, ich habe hier zu Hause einen kleinen Heimserver, auf welchem ich ein paar Daten für den Zugriff im Haus, einen kleinen Web Service für...
  3. Buch-Weitergabe: Linux-Server mit Debian 6 (Squeeze)

    Buch-Weitergabe: Linux-Server mit Debian 6 (Squeeze): Autor des Buches: Eric Amberg ISBN: 3-8266-5534-0 Praxisumpfang: Backoffice-Server, Root-Server, Linux als Gateway, Server-Security Viele...
  4. Hundertserver sucht Dich: Linux Spezialisten in Berlin.

    Hundertserver sucht Dich: Linux Spezialisten in Berlin.: Hundertserver sucht einen Linuxspezialiten in Berlin Hundertserver über sich: "Hundertserver bietet Unternehmen die Möglichkeit, digitale...
  5. Autehtifizierung gegen Password Server nach Update SAMBA 3.6.6

    Autehtifizierung gegen Password Server nach Update SAMBA 3.6.6: Hi... ich bekomme einfach den "Dreh" nicht an meine Recherche/Suche nach einer Lösung: Ein Samba 3.5.6 (läßt sich leider z.Z. nicht updaten) läuft...