Linux Server gehackt

[dieter.fl]

Hallo

Einem Freund von mir wurde heute leider der Server gehackt. Vermutlich werden Emails oder sonstige Daten über die Leitung des kleinen Unternehmens versendet.

Dadurch...ist natürlich der Server ziemlich langsam geworden und jetzt suche ich jemanden, der da privat helfen könnte.

Es ist ein sehr kleines Unternehmen, deshalb kann er nicht ein grosses Systemhaus beauftragen, das System zu cleanen.

Ich wäre sehr froh, über einen Kontakt in Frankfurt am Main, der soviel Freak ist, sich das anzusehen.

Vielen Dank und lieben Gruss

Dieter.FL

[flashpixx]

Wie wäre es, wenn er den Server vom Netz nimmt. Außerdem würde man hier dann auch eine entsprechende Anzeige aufgeben und zusätzlich würde ich auch nicht meine Firmenserver von jedem beliebigen betreuen lassen, sondern hier fachlich (und vertraglich) mich entsprechend absichern

Phil

[dieter.fl]

Hi

Ja...das wäre möglich, wenn man das System nicht braucht. Jetzt über Nacht, wäre das möglich.

Nur, es hilft natürlich nichts, das System vom Netz zu nehmen, ausser - dass das Büro nicht mehr arbeiten kann.

Auf Windows Basis wäre das ein leichtes für mich, das Teil zu cleanen. Bei Linux würde ich den Prozess abschiessen, root und admin passwort ändern und mich danach - mal um die Firewall kümmern.

Das System ist gehostet, jedoch, hat die Firewall von dem Systemhaus wohl nicht so gut funktioniert. Und das Haus fühlt sich für Sicherungen und den Betrieb der Hardware zuständig und nicht dafür, dass ein System gehackt wird.

Was ich selbst wiederum verstehe. Nur, hätte ich mir die FW etwas genauer erklären lassen und ggf. selbst eine Checkpont da hin gestellt.

Nu...jetzt ist es zu spät für schlaue Worte. Hilfreich wäre jemand, der via ssh da drauf geht und weiss - wie er den Proz killt und dafür sorgt, dass die Passwörter geändert sind.

Backup gibt es. Nur...ist nicht klar, seit wann der System gehackt ist, gestern oder heute wohl.

Ist es im Linux so schwer, jemand zu finden, der so einen kleinen Angriff cleaned?

Dachte (hoffte)...dass ist dort noch einfacher, wie im Windows.

Eine Anzeige wird morgen Früh geschalten, gegen Unbekannt. Hilft...auch nicht weiter :-(

[flashpixx]

*scnr*

Poste doch mal bitte IP und root Passwort

Dann wird Dir sicher jemand helfen. Ich vertraue auch jedem meinen PIN meiner EC Karte und meinen Haustürschlüssel an :upps

Phil

P.S. Wenn Dir jemand ein Rootkit installiert hat, würde ich einmal das System neu installieren

Bearbeitet 3. Februar 2009 von flashpixx
P.S.

[dieter.fl]

Ich poste hier, weil ich jemanden in Frankfurt suche, der sich das ansehen kann.

Dass wir das Passwort ändern, wenn er fertig ist, ist ja klar. Wir sind keine Kinder mehr.

Und das einloggen ist vor Ort, nicht irgendwer von irgendwo zuhause, sonst hätt ich hier in Zürich jemand suchen können.

Vielleicht...bekomm ich mal nicht nur Ratschläge, sondern eine Email von jemanden, der etwas Ahnung hat von Linux.

Ich hätte mal erwartet, dass jemand nach der Linux Version fragt oder dem Teil in Frankfurt, wo der Server steht....

Mann, zu meiner Zeit haben wir in Frankfurt Dinge bewegt und nicht hinterfragt und das Brötchen noch mit Ratschlägen serviert, wenn die Bestellung so oder so abgelehnt wird.

Haben sich die Zeiten wirklich so geändert? scheint so.

gruss

D

[hades]

Wenn eine aktuelle (hoffentlich virenfreie) Sicherung des Systems existiert:

Ruf beim Systemhaus und lasse die Sicherung einspielen.

Denn dafuer sind die -so wie ich es verstanden habe- zustaendig.

Auch muss ich Dir diesen Zahn ziehen:

Eine Firewall -auch eine, die bis Layer7 geht- kann nicht so viel ausrichten, wenn das dahinter veroeffentlichte System nicht regelmaessig gewartet wird.

Denn auch diese Dinge gehoeren in ein Sicherheitskonzept:

- stets aktuelle Sicherheits-Updates des Linux-Kernels

- stets aktuelle Sicherheits-Updates der eingesetzen Software

- Config-Reviews

- Pflege der Benutzerkonten (welche werden mit welchen Berechtigungen benoetigt?)

- ggfl. auch der Einsatz von Penetrationstests

Das was Du meinst ist eher ein Intrusion Prevention System.

Bearbeitet 3. Februar 2009 von hades

[dieter.fl]

Also, darauf kam der Chef schon selbst. Ohne IT Wissen.

Die Frage ist - wann wurde das System gehackt?

Antwort: nicht bekannt

Also, kann man eventuell die nächsten Tage damit verbringen, festzustellen, dass die Sicherung auch schon befallen ist.

Himmel, einen so einfachen Virus runter zu hauen ist doch nicht schwierig?

Wofür gibt es Linux Groups...wenn man auf Sicherungen verwiesen wird.

Anscheinend haben die heutigen Cracks einfach zuviel Geld oder nur Zeit zum Gamen.

[flashpixx]

Also, kann man eventuell die nächsten Tage damit verbringen, festzustellen, dass die Sicherung auch schon befallen ist.

Sicher und an welchen objektiven Kriterien soll ich das bitte fest machen?

Himmel, einen so einfachen Virus runter zu hauen ist doch nicht schwierig?

Mir wäre es neu, wenn es einen Virus für Linux geben würde!

Deshalb mein Hinweis auf Rootkit und damit kann so gut wie jede Datei von betroffen sein.

Anscheinend haben die heutigen Cracks einfach zuviel Geld oder nur Zeit zum Gamen.

Du solltest vielleicht Deinem Bekannten raten, dass er einen kompetenten Ansprechpartner für seine IT Probleme suchen sollte, der ihm das System von Grund auf neu installiert, damit keine Reste von einem Rootkit o.ä. vorhanden sind. Den Zugang sicher auch nicht via Passwort zu realisieren, sondern mit Key. Wenn das Kind wie hier in den Brunnen gefallen ist. Server formatieren, neu installieren, Daten händisch kontrollieren (oder ein Backup verwenden das nicht betroffen ist) und auf den neu installierten Server kopieren.

Einen eigenen Server zu betreuen hat nun mal was mit Verantwortung zu tun und wer davon keine Ahnung hat, sollte die Finger davon lassen. Sich einfach irgendwo einen Root Server mieten und darauf hoffen, das nichts passiert, ist Wahnsinn. Auch einen Kontakt in FFM zu suchen, halt ich für bedenklich, lass es von einer geschulten IT Firma machen, das kostet Geld, aber dann ist es auch in soliden Händen (es gibt nicht umsonst auch Manged Root Server)

Phil

[christian1979]

Ich kann leider nicht vor Ort helfen.

Möchte Dir aber den Rat geben, den Server bis zur Lösung des Problems vom Netz zu nehmen.

Damit grenzt Du den Schaden ein.

Denn da der Server eh überlastet ist , ist er kaum verfügbar und möglicherweise Teil eines Botnetzes.

Also Schaden gering halten und Server vom Netz nehmen.

Hoffe ich konnte helfen.

Bearbeitet 3. Februar 2009 von christian1979

[hades]

Sorry, so hart es jetzt auch klingt:

Der erste Schritt ist Abschalten, um nicht selbst eine Gefaehrdung anderer darzustellen. Sonst hast Du bei sowas ganz schnell selbst eine Anzeige am Hals.

Und das Abschalten macht man sofort nachdem man es mitbekommen hat, dass der Server befallen ist. Und nicht erst dann wenn es den Mitarbeitern genehm ist.

Denn Dein System stellt eine Gefahr fuer andere da (Viren/Malware/Teil eines Botnetzes/was auch immer), die durchaus andere Dimensionen annehmen kann als Deinen Arbeitszeitausfall.

Dann gehts hier weiter:

- Sicherung nehmen und einspielen

oder

a) Das System vor Ort mit einer Linux Live-CD booten und versuchen, die Produktiv-Daten zu sichern.

Ich schreibe hier mit Absicht den Versuch der Datensicherung.

Hier brauchst Du die Dokumentation des Systems, sonst vergisst Du garantiert irgendwas.

und

Die gesicherten Daten mit mehreren unabhaengigen Scannern auf Schaedlingsbefall pruefen.

Du hast aber auch dann keine 100%ige Garantie, dass diese sauber sind.

Und schliesslich:

System neu installieren und die (hoffentlich) sauberen Daten wieder einspielen.

Denn nur dann kannst Du einigermassen sicher sein, dass Dein System wieder sauber ist.

Denn falls Du Dir ein Rootkit eingefangen hast, dann solltest Du eh dringend

alle Systemdateien austauschen. Und das geht nur sicher durch eine Neuinstallation.

Mit einem Rootkit koennten auch das ps und ls nicht mehr der urspruenglichen Version entsprechen.

D.h. Du kannst diesen Anzeige-Befehlen nicht trauen, weil es die Prozesse und Dateien des Rootkits gar nicht anzeigt.

Bearbeitet 3. Februar 2009 von hades

[lordy]

Jetzt muß ich mich auch mal einschalten.

Also erstmal zum System: Wenn es "ordentlich" gehackt wurde, ist mit ziemlicher Sicherheit ein Rootkit installiert. Dieses vom System zu entfernen ist meistens aufwendiger als eine Neuinstallation. Wenn du es entfernen möchtest solltest du zunächst alle Pakete deiner Distribution neu installieren und dabei vom Paketmanager die Prüfsummen verifizieren lassen, danach rebooten und dann bist du einem sauberen System zumindest einen Schritt näher und hast dann vielleicht die Chance, mit chkrootkit die Reste ausfindig zu machen. Die eigentliche Herausforderung ist aber, die Sicherheitslücke zu finden, und diese zu schließen.

Zum Backup: Wenn du ein Backup von, sagen wir, letzter Woche einspielst bist du auch nicht wirklich weiter, weil da natürlich auch noch die Lücke drin ist, durch die der Angreifer auf dein System kam. Hat er es auf diesem Stand einmal kompromitiert wird er es leicht wiederholen können.

Das Problem was ich hier sehe ist einfach folgendes: Du möchtest einen Experten, der dein Problem vor Ort löst, bist aber nicht bereit, diesen Service auch zu bezahlen. Einen Kasten Bier solltest du mal mindestens in Aussicht stellen...

[Guybrush Threepwood]

Auf Windows Basis wäre das ein leichtes für mich, das Teil zu cleanen.

Tatsächlich? Dann solltest du dich schnellstmöglich bei einem der großen Antivieren Hersteller bewerben, die werden sich um dich reißen

Aber mal Spaß bei Seite, du kannst ein System wenn es proffesionell gehackt wurde nicht wieder säubern. Da kann soviel geändert worden sein das du keiner Angabe über Dateien (oder Konfigurationen etc) mehr trauen kannst und selbst wenn du mit einer Life CD bootest weißt du nicht wonach du suchen musst oder ob das etwas ist das von einem entsprechendem Scannprogramm gefunden wird.

Natürlich muss das nicht so proffesionell gemachr worden sein, aber weißt du es?

Also halt dich an die Vorschläge von hades oder bzahl einen Fachmann der (hoffentlich) das macht was hades schreibt.

[setiII]

Wenn dein System sauber gehackt wurde und der Angreifer root-Rechte erhalten hat, kannst du dir jegliche Arbeit sparen.

Weil das lässt sich nicht wieder entfernen.

Da ist dann auch nix mehr mit Pakete neu installieren oder so.

Weil woher willst du wissen das dein Paketmanagment nicht auch verändert wurde.

Desweiteren zu deinen Komentaren

Eine newsgroup stellt keinen Ersatz für die Fachberatung einer Firma da.

Vielmehr soll diese Unterstützung geben, wenn die man-Pages nicht aussreichend Auskunft erteilen

[Crash2001]

Auch mein Linux Root Server wurde vor ca. 2 Jahren mal gehackt. Ich habe dann eine Kopie des Systems auf die zweite Festplatte gemacht, dann das Standardimage auf die erste Platte wieder aufspielen lassen und mich dann dran gemacht, den Server abzusichern. Dazu gibt es diverse Tutorials im Netz (teils abhängig von der Distribution, teils auch allgemein gehalten), die einem übnerhaupt erst einmal klar machen, wie unsicher so ein System ist, wenn es nicht manuell abgesichert wird.

Das fängt bei Zugriffsberechtigungen von Programmen an, geht über Sicherheitslücken z.B. im Apache oder OpenSSH und bis zur Erkennung von Hackingversuchen.

Erster Schritt sollte z.B. sein, der SSH-Dienst auf einen anderen Port als 22 zu legen, womit grob geschätzt schon einmal ca. 80-90% der Angriffe umgangen werden.

Viele Scriptkiddies scannen ganze Netze nach dem Port 22 ab und wenn sie was finden, versuchen sie mit Passwortlistenattacken o.ä. auf das System zu kommen. Das kann man immer schön beobachten, wenn man den Port auf 22 liegen hat und sich die Logs anschaut. 1000 Versuche pro Tag sind da keine Seltenheit - besonders zu Ferienzeiten...

Zusätzlich sollte man den root als SSH-User prinzipiell verbieten. Wer root-Rechte braucht, meldet sich nach dem einloggen einfach als root/su am System an.

Zusätzlich habe ich bei mir noch den Zugriff per Passwort verboten und man braucht somit ein Zertifikat, um sich per SSH mit dem Server verbinden zu können.

Der nächste Schritt war dann die Absicherung des Apache-Servers und von PHP.

Nach der Analyse des Systems auf der zweiten Festplatte, mit Hilfe eines erfahrenen Linux-Admins, habe ich dann gesehen, dass ganze 10 Root-Kits installiert waren (das waren die, die mir ein Rootkit-Scanner angezeigt hat - also durchaus möglich, dass es sogar noch mehr waren), diverse Systemdateien ausgetauscht wurden und dem Logging nicht mehr vertraut werden konnte. Diverse Einträge wurden wohl aus dem Logfile entfernt - dabei wurde aber anscheinend nicht bemerkt, dass per cron-job diese wöchentlich gesichert wurden und ich somit trotzdem einen Teil nachvollziehen konnte. Der Hacker war wohl schon 2-3 Wochen lang auf dem System, ohne dass ich es bemerkt hatte, und hatte einen FTP-Server aufgemacht. Dieser wurde aber anscheinend noch nicht wirklich benutzt, sonst hätte ich das über den erhöhten Traffic bemerkt. Zusätzlich wurde jedoch auch noch ein Bot installiert. Was der genau gemacht hatte, konnte ich leider nicht nachvollziehen.

Seitdem versuche ich aber, wenn es geht, jeden Tag mindestens einmal auf meinen Server draufzuschauen und sobald mir etwas auffällt, wird er direkt gesichert für eine Analyse und ein sauberes Image wieder aufgespielt, dass ich, nachdem alles installiert war, gezogen habe. Da das auf dem Backupspace des Anbieters liegt, geht sollte das recht flott gehen.

Vertrauen kann man einem System, das gehackt wurde, jedenfalls nicht mehr und daher führt kein Weg an der Neuinstallation oder dem Einspielen eines sauberen Backups vorbei. Danach sollte man aber auch direkt versuchen, nachzuvollziehen, über welche Sicherheitslücke der Angreifer das System kompromittiert hat, und diese schliessen.

[lynxian]

hmm interessant was hier erzählt wird, öffnet mir irgendwie die augen

[milbman]

Es ist löblich, dass jemand Hilfe hier im Netz sucht, vielleicht möchte sich ein Schüler oder Student ein paar Mark dazuverdienen oder jemand ist wirklich einfach nur nett ABER:

1. Hätte ich böses im Sinn, würde ich das Virus bei dir löschen und mein eigenes RootKit aufspielen - Sei dir diese Gefahr bewusst, wenn du im Internet private Leute suchst.

2. Ein Virus wird man nicht mehr so einfach los. Da fängt es schon beim Großen-Bruder-Prinzipan , Beispiel: Du lässt ein Virenscanner laufen, dieser löscht VirusA VirusB bemerkt dies und stellt VirusA wieder her. Gelangt der Virenscanner nun zu VirusB stellt VirusA diesen wieder her. Natürlich mit varierenden Code, verschlüsselt,etc.

Zudem arbeiten moderne Viren mehr und mehr mit Virtualisierung. Dein System dient als Gastsystem und es wird ein Wirtssystem mit Viren untergeschoben. Das Gastsystem ist absolut Virenfrei.

Was ich damit sagen möchte: Es kann verdammt schwierig werden, ein Virus zu entfernen. Das ist nicht mal eben gemacht.

3. Lass die virenfreie Sicherung des Systems wieder aufspielen (Daten und System werden ja eh? getrennt gesichert) und behebe die Sicherheitslücke, möglicherweise hilft vorerst schon ein Update.

[TTP]

wo der Thread schon fast beim Thema ist:

Welchen Virenscanner und welche Firewall könnt ihr mir für meinen Server empfehlen (am besten kostenlos, da der nur Privat genutzt wird)

Benutze übrigens Debian Etch.

Was muss man überhaupt tun um ein Linuxserver gut abzusichern?

[Amstelchen]

bitte keine fremden threads mit akuten problemstellungen kapern, sondern ein neues thema eröffnen.

ebenfalls wurden notfallschritte zuhauf genannt, ich mach b.a.w. hier mal zu.

weiteres via PN an den fragesteller.

-closed-