Hilfe habe eine Dos Attacke hinter mir auslesen logfiles

H

hystuttgart

Grünschnabel
Bitte Helfen Sie mir,

eine Dos Attacke ist von meinen Server aus veranstaltet worden, der Täter ist in der Türkei gestellt brauche unbedingt Daten über meine eigene Logfiles als Beweis für die Türkischen Behörden,
sagen Sie mir Bitte die Befehlreihen folge wie ich an diese Daten Komme

vieln Dank für Ihre Unterstützung
.
.
.
EDIT (autom. Beitragszusammenführung) :
.
irgend jemand wo mir helfen könnte?????
 
Zuletzt bearbeitet:
Alle Logfiles findest du in /var/log/ aber was willst du jetzt damit machen? Per SCP auf deinen Rechner übertragen, per Mail verschicken, etc.?

Aber warum fragst du nicht deinen Serveradmin, der sollte sowas doch mit Sicherheit können oder nicht :think:
 
Vor allem wenn man nicht einmal in der Lage ist Logfiles aufzufinden/auszuwerten, sollte man sich überlegen ob ein eigener Server wirklich diesen Nutzen bringt.
 
ich bin selbst der Admin, jeder fängt mal von null an
.
.
.
EDIT (autom. Beitragszusammenführung) :
.
ich möchte die Dateien auf den eigenen Pc überspielen, diese anschließend an die örtliche Polizei in der Türkei weitergeben, damit diese selbst sehen das Die momentan inhaftierte Person schuldig ist, war mein ex - techniker, nur er hatte die Daten über IP, root - Passwort etc.
 
Zuletzt bearbeitet:
Lol. Die örtliche Polizei in der Türkei will Deine Logs. Wahrscheinlich auch Deine Passwörter und Pin-Nummern. ;)
 
@hystuttgart, dumm sein verhilft zu arbeit. Muss man halt das PW ändern. Aus meiner Sicht hat er gar nichts gemacht da er ja berechtigt war. Er wusste das Passwort von dir. Also bitte. tztztztztztzztztz.
Nebenbei, ich kauf die die Geschichte nicht wirklich ab da die trükische Polizei wohl lieber ein Bier trinken geht! Und falls doch, lass deine Finger von der Tastatur, nimm den Zeigefinger und stell den Server ab, steck die Kabel aus und geh nach Hause. Jeder fängt mal klein an, aber nicht mit einem Server und schon gar nicht einen öffentlichen!

EDIT

Weiss der Typ auch deine E-Banking Login Daten.. Einfach das du den Account nicht vergisst :P
 
Danke für die ernsthaften Antworten,
und für unsere spassvögel, ich hoffe Ihr verübt keine Straftat in der Türkei, Ihr werdet sehen das diese Sehr ernsthaft Arbeiten.

Es ist schade zu sehen wie einige Deutsche über die Türkei denken. insbesondere deshalb ist das schade weil generell in der Türkei Deutschland sehr angesehen ist.
 
hystuttgart schrieb:
Danke für die ernsthaften Antworten,
und für unsere spassvögel, ich hoffe Ihr verübt keine Straftat in der Türkei, Ihr werdet sehen das diese Sehr ernsthaft Arbeiten.

Es ist schade zu sehen wie einige Deutsche über die Türkei denken. insbesondere deshalb ist das schade weil generell in der Türkei Deutschland sehr angesehen ist.
Zum Vergrößern anklicken....

Na nu mal langsam ;) - bitte Ontopic bleiben!
 
offtopic zur Richtigstellung: Meinereiner hat nix gegen die Türkei gesagt. Und ich laß mir das auch nicht unterstellen.

Ontopic: Ich bin aber fest der Meinung, dass die Türkische Polizei in Deutschland keine Befugnisse hat, irgendwelche Logs einzufordern. Dies könnte höchstens die deutsche Polizei, und selbst da gibt es Grenzen.

Was aber eher hier das Problem ist, dass Du als Administrator eines öffentlichen Servers arbeitest und keinen Schimmer davon hast. Das Argument "Jeder fängt mal bei Null an" zählt nicht, da man es lernen/studieren kann. Ich fahr ja auch kein Auto ohne Führerschein im öffentlichen Strassenverkehr, weil ja jeder schließlich bei Null anfängt.

Verwirrend ist außerdem: Du redest von einem DOS-Angriff, sagst aber außerdem, dass der Beschuldete alle Passwörter hat, die natürlich nie geändert worden. Wenn ich derartige Informationen über Dein Netzwerk hätte, wäre ein DOS-Angriff das letzte, was ich zum Schädigen einsetzen würde.
 
hystuttgart schrieb:
eine Dos Attacke ist von meinen Server aus veranstaltet worden, der Täter ist in der Türkei gestellt
Zum Vergrößern anklicken....

Ich bewerte das mal eben juristisch:

Es handelt sich also um einen Fall nach §303a oder §303b StGB. Derartige Vergehen werden nur auf Anrtrag in Deutschland verfolgt (§303c StGB), sprich, du oder jemand anders hast deinen Ex-Mitarbeiter angezeigt.

Es könnte natürlich auch ein Fall nach §263a StGB vorliegen, der würde dann von Amts wegen verfolgt.

Was wärs denn nu (nur mal so rein Interessehalber)?
 
@Xanti: Wenn ich das richtig verstanden hab, dann ist der DoS-Angriff von seinem Server ausgegangen und nicht gegen seinen Server gerichtet gewesen.

@hystuttgart: Du willst einen Server administrieren und weißt nichtmal wo die Log-Philes liegen? Normalerweise muß man so eine Frage gar nicht stellen, weil alle Informationen auf in deinen Config-Philes enthalten sind.

Mit dem was du hier von dir gibst, würde ich dich nicht einmal meinen Kühlschrank administrieren lassen und der hat keine Verbindung zum Netz.

BTW.: Ich glaube nicht, daß die Log-Philes helfen werden.
  1. Da dein "Co-Admin" die Zugangsdaten hatte, wird er zum einen in der Lage geqwesen sein, die Logs zu frisieren (Wenn er eine DoS-Attake starten kann, dann trau ich ihm das zu)
  2. Bei dem Wissen über Server-Configuration (welches du hier zeigst), bezweifle ich, daß zu irgendeinem Zeitpunkt die Standard-Configs in Sachen Logs geändert wurden. IMHO sind aus diesem Grund die relevanten Daten überhaupt nicht erfasst.
  3. Was bitte soll mit Logs bewiesen werden, auf die der Angeklagte (Beschuldigte ist wohl das bessere Wort) uneingeschränkten Zugriff hatte.
  4. Wie willst du mit deinem Wissen beweisen, daß dein Server kein Zombie ist und via rootkit von extern gesteuert wird.

Sollte deine Mär (denn dafür halte ich es) wahr sein, dann höre ich jetzt schon das Gelächter der türkischen Polizei.
 
Zuletzt bearbeitet:
Stimmt, hab mich verlesen bezüglich des DOS-Angriffs. ;)

Dann ist auf jeden Fall die türkische Polizei kein bisschen zuständig. Sehr seltsam.
 
Troja und die Griechen

Xanti schrieb:
Dann ist auf jeden Fall die türkische Polizei kein bißchen zuständig. Sehr seltsam.
Zum Vergrößern anklicken....
Das kommt drauf an, wo der Geschädigte sitzt... wenn der in der Türkei sitzt, dann erst mal schon. Auch dann, wenn er wo anders sitzt, aber es so aussieht, als hätte jemand *von dort aus* eine Attacke gestartet, ist dabei aufgeflogen und einer der benutzten Rechner war der, über den wir reden.

Bei den anderen Argumenten kann ich nur zustimmen, aber selbst das lernen Menschen mitunter aus Erfahrung erst, und zwar hinterher und nicht vorher (was ja das Wesen der "Erfahrung" ist :O), weil sie das alles vorher falsch ein- und sich selbst deshalb überschätzen. BTW, es geht um einen "Techniker", und der ist jetzt weg. Vielleicht ist der OP ja erst seit dem der Admin und vorher der andere?!?

Zur Beweislage durch Logfiles: Ich kann nur zustimmen, daß die kaum noch Beweiswert haben. Wer will denn sagen, ob nicht noch mehr Unsicherheiten auf noch mehr Rechnern waren und der Techniker ist nur der Sündenbock? *Wir* wissen es nicht.

@hystuttgart ...
Was du hier siehst: Wenn du ein Trojanisches Pferd im Hause hast, dann ist das nicht das Problem. Das Problem sind die Griechen. Und die - wer immer - konnten inzwischen machen, was sie wollten. Egal, ob die Logfiles den Mann entlasten oder belasten, ich würde gar nichts mehr glauben, was da drin steht...
 
@Jabo: Ich hab es vermutet, dass der Rechner in Deutschland steht, da man den Namen einer deutschen Großstadt im Nick hat. Dass mit den Griechen ist sehr witzig. :)
 
Jabo schrieb:
[...] BTW, es geht um einen "Techniker", und der ist jetzt weg. Vielleicht ist der OP ja erst seit dem der Admin und vorher der andere?!? [...]
Zum Vergrößern anklicken....
Dann hätte hystuttgart dies von Anfang an klarstellen sollen. Nach dem Motto
Ich habe für meine Firma (whatever) einen Server gemietet. Bis vor kurzem wurde dieser von meinem Techniker verwaltet. Nachdem der Techniker sich verdrückt hat, sitze ich nun mit dem Teil hier und weiß nicht weiter. Hier mein Problem: <Story vom bunten Elch>
Zum Vergrößern anklicken....
Bei so einer Aussage wäre ihm die "bösen" Schelte erspart geblieben und der Wille zu helfen, wäre wahrscheinlich um ein vielfaches höher.
 
grey schrieb:
Bei so einer Aussage wäre ihm die "bösen" Schelte erspart geblieben und der Wille zu helfen, wäre wahrscheinlich um ein vielfaches höher.
Zum Vergrößern anklicken....

Nein, denn in dem Fall hätte er auch unbedingt als erstes das root-passwort ändern sollen. Ansonsten ist da nichts mit Sicherheit...
 
Xanti schrieb:
@Jabo: Ich hab es vermutet, dass der Rechner in Deutschland steht,
Zum Vergrößern anklicken....
Ja, der hier, um den es geht. Aber es ist ja möglicherweise von dort aus passiert - der Zugang war ja nun mal nicht geändert.

Dass mit den Griechen ist sehr witzig. :)
Zum Vergrößern anklicken....
Das ist mir so rausgerutscht überigens, aufgeschnappt habe ich das wenn ich mich recht erinnere in einem Video-Vortrag vom CCC über "Personal Firewalls". Ziemlich sicher da, die Formulierung ist so schön, daß wirklich jeder sofort schnallt, was er an der Backe hat, wenn sowas passiert und auch Windows & Trojaner nicht mal eben durch einen Virenscan wieder für "sauber" gehalten werden kann. Kann auch im Usenet gewesen sein, aber ich meine in dem Video.

Man müßte halt die Griechen finden, und zwar alle. Wehe du übersiehst einen, der macht sofort in der nächsten Nacht die Tore wieder auf...
 
gattschardo schrieb:
Nein, denn in dem Fall hätte er auch unbedingt als erstes das root-passwort ändern sollen. Ansonsten ist da nichts mit Sicherheit...
Zum Vergrößern anklicken....
Du hast nicht ganz unrecht, ABER ...

... wenn wir die Geschichte, die ich versucht hab anzusprechen, weiterspinnen (so wie sie in meinem chaotischen Hirn kurz aufblitzte), dann wirst du merken, das es nicht so einfach ist.
Da der "Techniker" vollen Zugriff zum System hatte, wäre es ihm ein leichtes
  1. selbst ein rootkit zu installieren (root-pwd geändert ... na und)
  2. einen Account anzulegen, der ihm vollen Zugriff gewährt, unabhängig vom root-Account (root-pwd geändert ... na und)
  3. einen Daemon einzurichten, der ihn über eine eventuelle Änderung des root-pwds informiert (root-pwd geändert ... na und)
  4. ...
Wenn der "Techniker" soviel "kriminelle" [Energie/Dummheit] aufbringt, einen DoS-Angriff vom Server aus zu starten, dann trau ich ihm zu, eine der oben genannten Vorkehrungen zu treffen.

Um es mal ganz klar zu sagen: "Dieses System ist kompromitiert und ich würde nicht mal den kleinen Finger für die Integrität der Daten ins Feuer legen.

Der einzig sichere Weg wäre meiner Ansicht nach
  1. Server vom Netz
  2. die Daten zu sichern
  3. den Server neu aufzusetzen
  4. die Konfigurationen neu machen
  5. nach genauer Überprüfung der Daten, diese wieder aufzuspielen. (keine Binaries, keine Config-Philes, ...)
Mit Daten meine ich in dem Fall reine Textdateien (ohne Macros). Selbst entwickelte Software sollte aus einem überprüften Source neu kompiliert werden und diese neuen Binaries zum Download angeboten werden. ... etc.

Und mal ganz unter uns: Welcher [Laie/HobbyLinuxUser/...] ist in der Lage, diese Probleme ohne Hilfe zu lösen?

@hystuttgart: Du siehst, mit einem einfachen Überspielen der Logfiles ist die Arbeit nicht getan. Mein Tip, such dir einen Admin dem du vertraust (und der Ahnung hat) und überlasse es seinem fachlichen Können.
 
Die Strafanzeige stellten die Mitarbeiter die noch nicht weg sind:) in meinem Auftrag, die Daten liefere ich denen freiwillig und ja der Angriff ging von unserem Server aus.
Ich bin normalerweise nicht für die Technik zuständig wollte es aber selbst machen, :).
 
Anmelden, um zu antworten.

Neueste Themen

Zurück
Oben