Hey,

ich steh hier gerade dran und weiß nicht mehr ein noch aus. Ich hab gerade festgestellt, dass man root-Server gehackt wurde und scheinbar wurden rund 1,2 GB an Spam verschickt. Mein Server-Admin (ich bin ein ziemlicher Linux-DAU) ist erst morgen verfügbar.

root-Passwort hab ich erstmal geändert, auth.log gesichert und alle kritischen Websites bei denen ich die Befüchtung habe, dass irgendwelcher Fremdcode eingestreut wurde sind vom Netz genommen.

Nun steh ich vor dem Problem: Ruf ich bei der Polizei an und melde es? Ich hab keine Lust morgen um 7 ne Hausdurchsuchung zu haben... deutsche Spammer sind ja sicher ein gefundenes Fressen (würd ich ehrlich gesagt nicht anders machen) oder warte ich einfach ab. Bin grad sowieso in ner scheiß Situation und just im Moment kurz vorm Nervenzusammenbruch...

Irgend jemand Tipps was ich im Moment machen kann?

[vmk]

Wenn es nur Spam war, dann ist das so üblich wie ein Autounfall. Manchmal hat es Konsequenzen, manchmal nicht.

Du sagst, du hast einen Admin für den Server. Der scheint ja nicht so die Ahnung zu haben, wenn man über den Server 1,2GB Spam rausblasen darf.

Das was du machen solltest: Server ausmachen und dann jemanden mit Ahnung die Logfiles untersuchen lassen. In der Regel wirst du so die Sicherheitslücke finden können.

Wenn dein Server wirklich gehackt wurde (und nicht nur zum Spammen missbraucht), dann setzt man den Server komplett neu auf.

Sicherlich kannst du die Poliezei anrufen, nur die werden sagen: Server? Gibt es das in der Bank? oder Klar, sagen sie mal woher der Hacker kam. Oh, anonymer VPN-Server aus Hawaii. Tja, fliegen sie hin und erstatten dort Anzeige.

[DrFuture]

Wenn du IP Adressen im Mail-server log hast - kannst du über ripe.net mal gucken aus welchem Netz / Land die ip kommt...

nur weil Emails über den Server verschickt wurden - wurde er nicht gehackt.
Wenn der Mailserver falsch konfiguriert ist (dann hat dein Admin aber auch nicht die Ahnung) dann fungiert *dein* mailserver als open-relay und kann von jedem als Mailsversender verwendet werden. - Ob so etwas möglich ist prüft man aber normal nach der konfiguration eines Servers.

[Hassel]

also
a) gib den server ab, leute die sich damit nicht auskennen sollten einfach keinen haben
b) isses egal was du machst, alles ausser neu aufsetzen hat keinen sinn
c) isses nur spam und kein völkermord, du wirst wahrscheinlich auf einigen rbls gelandet sein aber das ist kein beinbruch
d) las den aufwand mit der anzeige, bringt fast nie was und kostet dich nur nerven, schreibs einfach unter eigener dummheit ab
e) erwähnte ich schon das du keinen server betreiben solltest?

Danke. Ich sichere gerade erstmal Log-Files.

Im Auth-Log sind heute root-Logins heute zu einer Uhrzeit zu der ich nicht da war und Server-Admin war die letzten beiden Tage nicht online, von daher war der Hacker wohl drin. Waren auch mehrere Login-Versuche per SSH und den dümmlichsten Benutzernamen im Log.

Polizei lediglich aus dem Grund um nicht morgen um 7 Uhr von 2-3 BKA-Menschen geweckt zu werden... "Hilfe" erhoff ich mir dann doch weniger...!

Server ausmachen? Ich hatte gelesen, man sollte ihn "vom Netz nehmen, aber nicht rebooten". Nur: Wie? Mehr als den Apache restarten ist bei mir im Grunde nicht drin...

Das Mail-Log ist für mich recht schwer auszuwerten, da auf dem Server sowieso verdammt viel Spam landet. Mir ist nur aufgefallen, dass die Mail-Logs von heute verdammt riesig sind im Vergleich zu den sonstigen... wie gesagt: Linux-DAU

Zitat:

Zitat von Hassel 

also
a) gib den server ab, leute die sich damit nicht auskennen sollten einfach keinen haben
b) isses egal was du machst, alles ausser neu aufsetzen hat keinen sinn
c) isses nur spam und kein völkermord, du wirst wahrscheinlich auf einigen rbls gelandet sein aber das ist kein beinbruch
d) las den aufwand mit der anzeige, bringt fast nie was und kostet dich nur nerven, schreibs einfach unter eigener dummheit ab
e) erwähnte ich schon das du keinen server betreiben solltest?

Erwähnte ich schon, dass ich den Server nicht administriere? Er läuft auf meinen Namen und ich hab root-Zugriff. Um die Administration, abgesehen von ab und an mal nen Virtualhost anlegen kümmert sich jemand der eigentlich Ahnung von der Materie hat... wie der Zugriff per SSH als root erfolgt ist versteh ich nicht ganz. Das Passwort ist weder "Liebe" noch "Sex" sondern wirrer Zeichenbrei...

[vmk]

Wenn du wirklich gehackt wurdest und ein rootkit haben solltest, dann würdest du es mit rebooten simpelst löschen und man würde kaum noch Spuren finden.

Zitat:

Das Passwort ist weder "Liebe" noch "Sex" sondern wirrer Zeichenbrei...

Entlass den Admin.

Zitat:

Zitat von vmk 

Wenn du wirklich gehackt wurdest und ein rootkit haben solltest, dann würdest du es mit rebooten simpelst löschen und man würde kaum noch Spuren finden.

Also Server aus und fertig?


PS: Der Server landet von meiner Seite aus sowieso im Müll. Die Webprojekte die darauf laufen werd ich sicher nicht als Backup mal eben wieder einspielen... weiß der Teufel was dieser Hühnerficker mit den Scripten angestellt hat...

[vmk]

Ja und nein.

Zieh den Netzstecker raus, das ist das übliche vorgehen bis ein kompetenter Mensch da ist. Da du das nicht machen kannst, könntest du den Server mit einer externen Firewall bei deinem Hoster sichern, aber die gibt es es sicher nicht.

Kurz: Ruf den admin an, das ist sein Problem. Wenn er Ahnung hat, dann hätte er es mitbekommen das man den Server zum Spammen missbraucht.

Der Admin ist nicht da.
Supporthotline würde mich Geld kosten, dass ich nicht habe.

[vmk]

Wenn der ein Admin nicht da verfügbar ist, dann hätte st du man den Server einfach abschalten sollen. So einfach ist das.

Server ist aus, soll sich dann sonst wer drum kümmern... danke für die Hilfe.

[trojan]

und du bist dir sicher, dass darüber nur gespammt wurde? [ironie off]

[0tozero]

Schon lustig zu lesen, wie sich manche Leute um die Sicherheit kümmern.
Wenn du keinen Root verwalten kannst, dann solltest du einen Menaged-Server mieten und keinen Root um den du dich selbst kümmern musst.

Bei so einem Problem könnte man sich ja auch einfach an seinen Hoster wenden, der einem da bestimmt auch - kompetent - weiter helfen kann. Den geht es nämlich auch etwas an, wenn seine Server als Spam-Schleuder missbraucht werden.

Und wenn ich mich nicht irre werden bei Spam recht schnell die IP's blacklisted.. oder ? *überleg

[Kugelfisch23]

Zitat:

Zitat von 0tozero 

Schon lustig zu lesen, wie sich manche Leute um die Sicherheit kümmern.
Wenn du keinen Root verwalten kannst, dann solltest du einen Menaged-Server mieten und keinen Root um den du dich selbst kümmern musst.

Darüber hat ein ehemaliger gulli:techmin vor kurzem einen - wie ich finde - recht guten Artikel geschrieben.

[trojan]

Zitat:

Zitat von Kugelfisch23 

... - wie ich finde - recht guten Artikel geschrieben.

Mit Grüssen aus'm Ozean
Kugelfisch

der artikel sagt alles thx4tipp