Gehackter Server?

Diskutiere Gehackter Server? im Security Talk Forum im Bereich Netzwerke & Serverdienste; Hallo zusammen, ich brauche mal eure Meinung. Ich habe einen neuen Server gemietet, heute meine Zugangsdaten bekommen. Ich wunderte mich gleich...

  1. @->-

    @->- Guest

    Hallo zusammen, ich brauche mal eure Meinung. Ich habe einen neuen Server gemietet, heute meine Zugangsdaten bekommen. Ich wunderte mich gleich das kein root Login möglich war. Also meldete ich mich zum ersten mal als alternativer User an (so wird es bei dem Anbieter genannt).

    Natürlich habe ich erst einmal den Zustand vom Server geprüft und war natürlich richtig begeistert von der Prozessliste... Wir reden über Auslieferungszustand!

    Code:
     PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND            
     9693 root      15   0   976  508  412 S    2  0.1   0:02.83 brute              
     9819 root      15   0   968  560  472 S    2  0.1   0:00.43 brute              
     9712 root      15   0   968  516  428 S    2  0.1   0:01.49 brute              
     9753 root      15   0   968  560  472 S    1  0.1   0:00.93 brute              
     9821 root      15   0   968  516  428 S    1  0.1   0:00.55 brute              
     9842 root      15   0   968  560  472 S    1  0.1   0:00.05 brute              
     5352 root      15   0  2148  132    0 R    1  0.0   1:20.01 ls                 
     9557 root      15   0   968  560  472 S    1  0.1   0:01.39 brute              
     9709 root      15   0   968  560  472 S    1  0.1   0:01.04 brute              
     9766 root      15   0   968  560  472 S    1  0.1   0:00.79 brute              
     9784 root      15   0   968  560  472 S    1  0.1   0:00.47 brute              
     7615 root      15   0   976  508  412 S    1  0.1   0:02.57 brute              
     8771 root      15   0   964  556  472 S    1  0.1   0:01.64 brute              
     9422 root      15   0   968  560  472 S    1  0.1   0:01.54 brute              
     9492 root      15   0   964  556  472 S    1  0.1   0:01.48 brute              
     9531 root      15   0   964  556  472 S    1  0.1   0:00.98 brute              
     9549 root      15   0   968  516  428 S    1  0.1   0:00.91 brute
    Natürlich habe ich auch die Logs angesehen, der Server wurde bereitgestellt am 8 Juli um 14:00 Uhr. Die Logs gehen aber schon zurück bis zum 2 Juli und sehen sehr wüst aus :)
    Es kann ja eigentlich nicht sein das ein Server gehackt ist bevor er bereitgestellt wird. Was meint ihr? Ich habe jetzt erst einmal alle Logs gesichert um nach zu weisen das mit dem Server schon z.B Spawn versendet wurde bevor ich überhaupt Zugang hatte. Das praktische an der Geschichte ist auch das sich der Server nicht herunterfahren lässt (weder über ssh wegen fehlenden root Zugang, noch über die Oberfläche vom Anbieter) und der Support regiert nicht.

    Ich hatte noch nie Probleme mit meinen Servern, da ich bis jetzt immer bei großen Anbietern mit Qualität war. Wie ihr euch bestimmt denken könnt habe ich auf eine weitere "Zusammenarbeit" mit diesem Anbieter keine Lust mehr. Wie sieht das Rechtlich aus? Kann ich fristlos Kündigen, wenn ich den Nachweis erbringen kann das ein Server bereitgestellt wurde der bereits mit rootkits usw. ausgestattet war?

    In diesem Sinne
     
  2. #2 flugopa, 08.07.2008
    flugopa

    flugopa Der lernwillige

    Dabei seit:
    27.05.2006
    Beiträge:
    739
    Zustimmungen:
    0
    Ort:
    München
    Ich bin kein Rechtsexperte und kann Dir auch keine rechtsverbindliche Auskunft geben, aber wenn Du den IQ besitzt diesen Nachweis zu erbringen, dann hast Du auch den IQ diese Manipulation selbst durch zu führen bzw. durch führen zu lassen.

    Schone Deine Nerven und lerne daraus.
     
  3. #3 supersucker, 08.07.2008
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Von welchem Anbieter sprechen wir hier?

    Haben die keine Notfall-Hotline?

    Billig-Anbieter?
     
  4. @->-

    @->- Guest

    Notfallnummer ja, geht aber keiner dran :)

    Billig-Anbieter ist es nicht, er ist aber auch nicht so sehr teuer. Eigendlich hatte er auch bei http://www.webhostlist.de ausschließlich positive Bewertungen. Einen Namen möchte ich bis zur Klärung erst einmal nicht nennen.

    Was mich aber interessieren würde, was genau der Prozess "brute" ist. Das er nicht gut ist, ist mir schon klar :) aber ich konnte noch keine Infos dazu finden. Laut den Logs sind schon 2 Tage bevor der Server bereitgestellt wurde root Logins aus Japan verzeichnet (laut isp angabe)....

    In diesem Sinne
     
  5. #5 supersucker, 08.07.2008
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Naja,

    wir leben noch nicht in 1986, von daher.....

    Such mal nach "brute" auf dem filesystem, evtl. findest du was.

    P.S.:

    Das man keinen root-login per SSH erlaubt, gehört zu den absoluten Mindestanforderungen von Seiten der Security, das ist also soweit normal.
     
  6. #6 supervisor, 08.07.2008
    supervisor

    supervisor Eroberer

    Dabei seit:
    15.06.2008
    Beiträge:
    61
    Zustimmungen:
    0
    Ort:
    Bayern
    versuch mal 'man brute', sollte das aber wirklich was böses sein, bezweifele ich, dass die hacker ne man-page eingefügt haben....:-)
     
  7. #7 saeckereier, 09.07.2008
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    IANAL, Zur Vertragskündigung ist das keine Grundlage. Wenn online bestellt, kannst du innerhalb von 14 Tagen zurücktreten vom Vertrag. Ansonsten hat der Anbieter wohl ersteinmal Recht auf Nachbesserung liest man so im Netz
     
  8. Buchi

    Buchi Routinier

    Dabei seit:
    25.05.2006
    Beiträge:
    375
    Zustimmungen:
    0
    Ort:
    Wien
    [offtopic]
    @supersucker:

    Ich denke du meinst 1984 oder? :D
    [/offtopic]
     
  9. #9 HPollak, 09.07.2008
    HPollak

    HPollak Foren As

    Dabei seit:
    21.12.2007
    Beiträge:
    93
    Zustimmungen:
    0
    versuch mal:

    whereis brute

    dann kannst du wenigsten lokalisieren wo sich das programm befindet.
    weiters versuchmal ein programm das root-kits erkennt laufen zu lassen ( falls dein account root-berechtigungen hat ) - findest du im internet so weit ich weiß gibts da was, was chkrootkit oder so heißt.

    lg
    Harry
     
  10. #10 supersucker, 09.07.2008
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Hrhr, das Ding steht neben mir und ich hab's trotzdem noch falsch geschrieben.....

    Naja, er hat ja oben geschrieben, das er eben keinen root-Login hinkriegt.

    @ @->-

    Wer ist denn nu der Anbieter? Wir können ja ein Rätselspiel draus machen.........:devil:

    Hat der support nun endlich reagiert?
     
  11. niLs

    niLs òle òle

    Dabei seit:
    10.06.2004
    Beiträge:
    153
    Zustimmungen:
    0
    Ort:
    Hannover
    Was sagt der Traffic der Maschine? Nicht, dass du am Ende eventuell noch Zusatztraffic zahlen sollst...

    Das mit dem Anbieter wäre wirklich mal interessant :) Wer hat Maschinen über mehrere Wochen leer rumstehen? :)
     
  12. Ticha

    Ticha Linux Missionar

    Dabei seit:
    21.07.2006
    Beiträge:
    814
    Zustimmungen:
    0
    Das mit den eigenen Root Servern is eh eine viel zu heisse Sache für Privatleute...
     
  13. #13 saeckereier, 09.07.2008
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Kann man nicht pauschal so sagen. Wenn du dir mal die Threads des Threadstarters anguckst, wirst du feststellen, dass er a) schon lange überlegt, es also keine Hals-über-Kopf Entscheidung war und b) wohl auch genügend Wissen vorhanden ist. Aber wer denn jetzt der Anbieter ist würde mich auch interessieren.
     
  14. @->-

    @->- Guest

    Naja, zumindest ist der Server jetzt offline, der Support hat zwar nicht reagiert aber zum Glück konnte ich herausbekommen wo der Server steht, habe mich dann mit dem Betreiber des Rechenzentrums in verbindung gesetzt, die Situation geschildert und gebeten den Stecker zu ziehen. Da der Anbieter der Meinung ist mich nicht aus dem Vertrag lassen zu wollen, habe ich die Sache jetzt an einen Anwalt abgegeben, warum soll ich mich damit herum ärgern? Der Anwalt meinte auch das es keine Probleme geben sollte.

    Ja, in der Regel weiß ich was ich tue :) Nein ich verdiene mir auch ein paar Euro dazu, in dem ich ein paar Server verwalte. Bis jetzt hatte ich in 4 Jahren noch keine Zwischenfälle, aber wenn ein Server mit Rootkits bereitgestellt wird kann ich auch nichts machen.

    In diesem Sinne
     
  15. #15 saeckereier, 09.07.2008
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Eben deshalb :-) Viel Glück beim Rauskommen aus dem Vertrag. Wenn du einen anderen Anbieter suchst, mit manitu habe ich ganz gute Erfahrungen gemacht, insbesondere was Reaktionszeiten angeht.
     
Thema:

Gehackter Server?

Die Seite wird geladen...

Gehackter Server? - Ähnliche Themen

  1. Empfehlungen für ein Partitionsschema home server

    Empfehlungen für ein Partitionsschema home server: Hallo ihr, ich möchte Debian neu installieren und überlege, wie ich meine Festplatte am sinnvollsten partitioniere Nunja dabei mache ich immer...
  2. Samba 4 Schema erweitern per LDIF - Server is unwilling to perform (53)

    Samba 4 Schema erweitern per LDIF - Server is unwilling to perform (53): Hallo zusammen, ich versuche gerade ein Samba 4 mittels LDIF zu erweitern. Die Objekte in dem LDIF stammen von einem Windows AD. Hintergrund ist,...
  3. Raspberry als Musikserver

    Raspberry als Musikserver: Ich habe einen raspi als mpd laufen. Mein raspi Version 3 hat die HiFi-Berry Karte drauf. Als Speicher habe ich intern 128 GB Micro-SD und über...
  4. Daten Convertieren und auf einen Server schieben?

    Daten Convertieren und auf einen Server schieben?: Hi Ich habe ein rriieesseennn Problem. Ja ja mit Windows gehts ned ich weiss.... Es geht darum auf meinen Web CMS möchte ich "echtzeitdaten"...
  5. Zugriff auf Samba Fileserver Freigaben verweigert(Samba 4 Active Directory Domäne)

    Zugriff auf Samba Fileserver Freigaben verweigert(Samba 4 Active Directory Domäne): Hallo, ich möchte eine Active Directory Domäne mit Samba4 erzeugen. Es handelt sich um zwei Server(Domänencontroller und Fileserver) und ca. 10...