Gehackter Server?

@

@->-

Hallo zusammen, ich brauche mal eure Meinung. Ich habe einen neuen Server gemietet, heute meine Zugangsdaten bekommen. Ich wunderte mich gleich das kein root Login möglich war. Also meldete ich mich zum ersten mal als alternativer User an (so wird es bei dem Anbieter genannt).

Natürlich habe ich erst einmal den Zustand vom Server geprüft und war natürlich richtig begeistert von der Prozessliste... Wir reden über Auslieferungszustand!

Code:
 PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND            
 9693 root      15   0   976  508  412 S    2  0.1   0:02.83 brute              
 9819 root      15   0   968  560  472 S    2  0.1   0:00.43 brute              
 9712 root      15   0   968  516  428 S    2  0.1   0:01.49 brute              
 9753 root      15   0   968  560  472 S    1  0.1   0:00.93 brute              
 9821 root      15   0   968  516  428 S    1  0.1   0:00.55 brute              
 9842 root      15   0   968  560  472 S    1  0.1   0:00.05 brute              
 5352 root      15   0  2148  132    0 R    1  0.0   1:20.01 ls                 
 9557 root      15   0   968  560  472 S    1  0.1   0:01.39 brute              
 9709 root      15   0   968  560  472 S    1  0.1   0:01.04 brute              
 9766 root      15   0   968  560  472 S    1  0.1   0:00.79 brute              
 9784 root      15   0   968  560  472 S    1  0.1   0:00.47 brute              
 7615 root      15   0   976  508  412 S    1  0.1   0:02.57 brute              
 8771 root      15   0   964  556  472 S    1  0.1   0:01.64 brute              
 9422 root      15   0   968  560  472 S    1  0.1   0:01.54 brute              
 9492 root      15   0   964  556  472 S    1  0.1   0:01.48 brute              
 9531 root      15   0   964  556  472 S    1  0.1   0:00.98 brute              
 9549 root      15   0   968  516  428 S    1  0.1   0:00.91 brute

Natürlich habe ich auch die Logs angesehen, der Server wurde bereitgestellt am 8 Juli um 14:00 Uhr. Die Logs gehen aber schon zurück bis zum 2 Juli und sehen sehr wüst aus :)
Es kann ja eigentlich nicht sein das ein Server gehackt ist bevor er bereitgestellt wird. Was meint ihr? Ich habe jetzt erst einmal alle Logs gesichert um nach zu weisen das mit dem Server schon z.B Spawn versendet wurde bevor ich überhaupt Zugang hatte. Das praktische an der Geschichte ist auch das sich der Server nicht herunterfahren lässt (weder über ssh wegen fehlenden root Zugang, noch über die Oberfläche vom Anbieter) und der Support regiert nicht.

Ich hatte noch nie Probleme mit meinen Servern, da ich bis jetzt immer bei großen Anbietern mit Qualität war. Wie ihr euch bestimmt denken könnt habe ich auf eine weitere "Zusammenarbeit" mit diesem Anbieter keine Lust mehr. Wie sieht das Rechtlich aus? Kann ich fristlos Kündigen, wenn ich den Nachweis erbringen kann das ein Server bereitgestellt wurde der bereits mit rootkits usw. ausgestattet war?

In diesem Sinne
 
Wie sieht das Rechtlich aus? Kann ich fristlos Kündigen, wenn ich den Nachweis erbringen kann das ein Server bereitgestellt wurde der bereits mit rootkits usw. ausgestattet war?

Ich bin kein Rechtsexperte und kann Dir auch keine rechtsverbindliche Auskunft geben, aber wenn Du den IQ besitzt diesen Nachweis zu erbringen, dann hast Du auch den IQ diese Manipulation selbst durch zu führen bzw. durch führen zu lassen.

Schone Deine Nerven und lerne daraus.
 
Von welchem Anbieter sprechen wir hier?

Haben die keine Notfall-Hotline?

Billig-Anbieter?
 
Von welchem Anbieter sprechen wir hier?

Haben die keine Notfall-Hotline?

Billig-Anbieter?

Notfallnummer ja, geht aber keiner dran :)

Billig-Anbieter ist es nicht, er ist aber auch nicht so sehr teuer. Eigendlich hatte er auch bei http://www.webhostlist.de ausschließlich positive Bewertungen. Einen Namen möchte ich bis zur Klärung erst einmal nicht nennen.

Was mich aber interessieren würde, was genau der Prozess "brute" ist. Das er nicht gut ist, ist mir schon klar :) aber ich konnte noch keine Infos dazu finden. Laut den Logs sind schon 2 Tage bevor der Server bereitgestellt wurde root Logins aus Japan verzeichnet (laut isp angabe)....

In diesem Sinne
 
Einen Namen möchte ich bis zur Klärung erst einmal nicht nennen.

Naja,

wir leben noch nicht in 1986, von daher.....

Such mal nach "brute" auf dem filesystem, evtl. findest du was.

P.S.:

Das man keinen root-login per SSH erlaubt, gehört zu den absoluten Mindestanforderungen von Seiten der Security, das ist also soweit normal.
 
versuch mal 'man brute', sollte das aber wirklich was böses sein, bezweifele ich, dass die hacker ne man-page eingefügt haben....:-)
 
IANAL, Zur Vertragskündigung ist das keine Grundlage. Wenn online bestellt, kannst du innerhalb von 14 Tagen zurücktreten vom Vertrag. Ansonsten hat der Anbieter wohl ersteinmal Recht auf Nachbesserung liest man so im Netz
 
[offtopic]
@supersucker:

Ich denke du meinst 1984 oder? :D
[/offtopic]
 
versuch mal:

whereis brute

dann kannst du wenigsten lokalisieren wo sich das programm befindet.
weiters versuchmal ein programm das root-kits erkennt laufen zu lassen ( falls dein account root-berechtigungen hat ) - findest du im internet so weit ich weiß gibts da was, was chkrootkit oder so heißt.

lg
Harry
 
[offtopic]
@supersucker:

Ich denke du meinst 1984 oder?
[/offtopic]

Hrhr, das Ding steht neben mir und ich hab's trotzdem noch falsch geschrieben.....

dann kannst du wenigsten lokalisieren wo sich das programm befindet.
weiters versuchmal ein programm das root-kits erkennt laufen zu lassen ( falls dein account root-berechtigungen hat ) - findest du im internet so weit ich weiß gibts da was, was chkrootkit oder so heißt

Naja, er hat ja oben geschrieben, das er eben keinen root-Login hinkriegt.

@ @->-

Wer ist denn nu der Anbieter? Wir können ja ein Rätselspiel draus machen.........:devil:

Hat der support nun endlich reagiert?
 
Was sagt der Traffic der Maschine? Nicht, dass du am Ende eventuell noch Zusatztraffic zahlen sollst...

Das mit dem Anbieter wäre wirklich mal interessant :) Wer hat Maschinen über mehrere Wochen leer rumstehen? :)
 
Das mit den eigenen Root Servern is eh eine viel zu heisse Sache für Privatleute...
 
Das mit den eigenen Root Servern is eh eine viel zu heisse Sache für Privatleute...

Kann man nicht pauschal so sagen. Wenn du dir mal die Threads des Threadstarters anguckst, wirst du feststellen, dass er a) schon lange überlegt, es also keine Hals-über-Kopf Entscheidung war und b) wohl auch genügend Wissen vorhanden ist. Aber wer denn jetzt der Anbieter ist würde mich auch interessieren.
 
Naja, zumindest ist der Server jetzt offline, der Support hat zwar nicht reagiert aber zum Glück konnte ich herausbekommen wo der Server steht, habe mich dann mit dem Betreiber des Rechenzentrums in verbindung gesetzt, die Situation geschildert und gebeten den Stecker zu ziehen. Da der Anbieter der Meinung ist mich nicht aus dem Vertrag lassen zu wollen, habe ich die Sache jetzt an einen Anwalt abgegeben, warum soll ich mich damit herum ärgern? Der Anwalt meinte auch das es keine Probleme geben sollte.

Kann man nicht pauschal so sagen. Wenn du dir mal die Threads des Threadstarters anguckst, wirst du feststellen, dass er a) schon lange überlegt, es also keine Hals-über-Kopf Entscheidung war und b) wohl auch genügend Wissen vorhanden ist.
Ja, in der Regel weiß ich was ich tue :) Nein ich verdiene mir auch ein paar Euro dazu, in dem ich ein paar Server verwalte. Bis jetzt hatte ich in 4 Jahren noch keine Zwischenfälle, aber wenn ein Server mit Rootkits bereitgestellt wird kann ich auch nichts machen.

In diesem Sinne
 
Bis jetzt hatte ich in 4 Jahren noch keine Zwischenfälle, aber wenn ein Server mit Rootkits bereitgestellt wird kann ich auch nichts machen.
In diesem Sinne
Eben deshalb :-) Viel Glück beim Rauskommen aus dem Vertrag. Wenn du einen anderen Anbieter suchst, mit manitu habe ich ganz gute Erfahrungen gemacht, insbesondere was Reaktionszeiten angeht.
 
da wir ja unter uns sind und keiner zuschaut ;) welcher anbieter ?
 
Und selbst wenn du uns den anbieter nicht sagen willst schreib wenigstens eine gesalzene bewertung.
 
hoffen wir mal, dass er schnell aus dem Vertrag raus ist :D

ich will nämlich auch wissen wer der nette Server provider ist :D:D
 

Ähnliche Themen

X startet nichtmehr

Debian Routing Problem

JBidWatcher: Problem bei loading Auctions in Verbindung mit mySQL

Samba 4 Gast Zugang unter Ubuntu funktioniert nicht

Mein Server versendet SPAM in Massen

Zurück
Oben