vServer gehackt und als Bot missbraucht

Hallo alle,
ich hab die letzten tage mails von meinem hoster netcup bekommen. Die erste eine weiterleitung direkt von hetzner inder ein honeypot betreiber erklärt das mein server wikis gespammt hat. nach dreimaliger mahnung wurde ich geblacklisted und dass ganze an netcup weitergelietet.

die haben meine virtuellen speicher jetzt auf einen anderen server geschoben auf den ich ssh zugriff habe.
Ich muss schriftlich dazu stellung nehmen was passiert ist - und dass problematische - und glaubwürdig beweisen dass alle schadsoftware deinstalliert ist. auf meinem server lief ubuntu 10.04 lte. Wie kann ich nun beweisen was passiert ist? Kennt sich irgend jemand mit den log diensten von ubuntu aus?

Ich bin kein wirklicher ubuntu profi und hab den vserver eigentlich nur für die websiten von wahlfächern die ich besuche (ich bin schüler). der hauptgrund war aber auch eine kleine Spielwiese zu haben, auf der teilweise auch kleine selbsgeschrieben chatserver etc liefen. Ich hab viel in richtung mail experimentiert und noch ein andere admin panel laufen.
ich kann mir also gut vorstellen dass mein server für einen etwas versierteren hacker offen sein muss wie ein scheunentor.

Ich weiß die Zeit der angriffe, kann ich also iwie durch die logs nachvollziehen was passiert ist?
bin grade ziemlich am verzweifeln!
gruß thedafelix

Tut mir leid, leider hab ich keine Erfahrung mit Ubuntu Server und von daher auch nicht mit den entspechenden Logs.
Viel Erfolg.

Hallo Thedafelix,

bin zwar ein eifriger User von Ubuntu, Linux Mint und testweise immer mal der einen oder anderen Linuxdistribution, aber im Bereich Server habe ich keinen Plan.

Trotzdem kann ich Dir vielleicht Hilfestellung bieten:

Ich bin Teilnehmer einer kleinen aber feinen Linux-User-Gruppe in Kaarst (www.kaalug.de) in der auch mehrere Cracks und IT-Profis sitzen.

Poste doch dort mal Dein Problem, teile nochmal den anderen Usern kurz mit dass Du über wer-weiss-was.de an mich geraten bist (mein nickname in der kaalug ist helmutturner) und stelle Deine Frage im Forum. Da unser Forumsbereich ziemlich gehärtet ist, wirst Du ein oder zwei Aufgaben (captcha und Rechenaufgabe) lösen müssen, bevor Du einen Artikel einstellen kannst.

Ich wünsche Dir auf jeden Fall viel Erfolg.

Grüße
Helmut

Hallo thedafelix,

hmm, das ne blöde Sache mit dem Hacker. :-/ Selbst wenn du dein server zu „basteln“ verwendest, solltest du zusehen, dass der Server einigermaßen sicher ist.

Die Logfiles findest du in der Regel unter „/var/log“.
ansonsten such einfach mal mit „find / -name log“

Ein „guter“ Hacker wird aber seine Spuren verwischt haben und die logs gelöscht.

Wünsch dir viel Glück auf deiner Suche und hoffe mal, dass die Hoster da nochmal ein Auge zudrücken.

Viele Grüße
Frank

Hey,
verdammt… hört sich echt nich gut an. Nur leider kenn ich mich selbst mit den Logtechniken bei Ubuntu nicht aus. Tut mir wirklich Leid.
Ich hoffe mal dass sich hier noch jemand kompetenteres meldet

lg teabag

Hej,

schaue Dir die Logs in /var/log/ für den betreffenden Zeitraum an, insbesondere auth.log und syslog. Darüberhinaus kann ich in diesem Fall wohl leider nicht weiterhelfen, Systemsicherheit im Detail und „forensische“ Analyse solcher Angriffe geht über mein Wissen hinaus.

HTH (wenigstens ein wenig).

Viele Grüße aus BOT
Karsten

Hallo thedafelix,

damit du rekonstruieren kannst was passiert ist sind die Apache2 logs ein guter Anfang ( /var/log/apache2/ ). Hier solltest du mal sehen wer wann was gespammt hat. Wenn dein Hacker kein absoluter Trottel war sind die manipuliert/gelöscht und zum Zeitpunkt des Angriffs ist nichts mehr relevantes übrig…
Dann kannst du anfangen im Systemprotokoll zu stöbern. Wenn du den Zeitpunkt der Angriffe kennst musst du nur dort nach Abnormalitäten suchen. Du könntest nachsehen wie der Angreifer in dein System gekommen ist. Vielleicht hat er auch dein root-password gekannt ( Warst du vorsichtig genug und hast verschiedene PW’s genommen bei deinen verschiedenen Diensten? ). Wenn du herausgelesen hast was genau auf deinem Server passiert ist weist du auch wie du es zukünftig verhinderst.

Grüße,
Peter

Hallo,

kann Dir da leider nicht weiterhelfen.

ubuntuusers.de hast du schon versucht?

Gruß

Thomas

Hallo Felix,

deine Infos sind leider sehr loechtrig. Eine richtige Analyse ist daher nicht morglich. Du scheinst auf alles Faelle sehr viele Fehler in Sachen Administration gemacht zu haben. Fuer dich waere es sicher besser, einen Rechner (oder eine VMWare-Machine) auf deinem heimischen PC zu installieren incl deiner Testtools/Programme und dann zB mit nmap erst einmal zu testen, welche Ports du mit deinen Programmen oeffnest. Das du als Spamschleuder geblacklistet wirst, dich dein Anbieter zwingt, zu deinen „Vergehen“ Stellung zu nehmen, ist einfach vorbildlich.

Helfen kann man dir ohne mehr Hintergrundwissen so nicht. Besser helfen werden dir da wohl eher auch Foren wie http://ubuntuusers.de

Und sorry, wenn ich das so sage - einen Server ohne das notwendige Hintergrundwissen zu betreiben ist, wie ohne Fuehrerschein im offentlichen Berufsverkehr ein Auto zu fahren - einfach unverantwortlich. Besser du setzt dich mit der Thematik Linux/Ubuntu gruendlich auseinander eh du dich an die BETRAEUUNG eines oeffenlichen Servers heranwagst.

Wenn du noch Fragen hast, frag ruhig! Aber dann mit etwas mehr Hintergrundinfos (zB welche Programme du zusaetzlich installiert hast, etc)

MfG Marco

Hallo alle,
ich hab die letzten tage mails von meinem hoster netcup
bekommen. Die erste eine weiterleitung direkt von hetzner
inder ein honeypot betreiber erklärt das mein server wikis
gespammt hat. nach dreimaliger mahnung wurde ich geblacklisted
und dass ganze an netcup weitergelietet.

Das ist für Dich eine gute Sache, weiteren Ärger zu vermeiden.

die haben meine virtuellen speicher jetzt auf einen anderen
server geschoben auf den ich ssh zugriff habe.
Ich muss schriftlich dazu stellung nehmen was passiert ist -
und dass problematische - und glaubwürdig beweisen dass alle
schadsoftware deinstalliert ist. auf meinem server lief ubuntu
10.04 lte. Wie kann ich nun beweisen was passiert ist? Kennt
sich irgend jemand mit den log diensten von ubuntu aus?

Die Logs helfen erfahrungsgemäß nur eingeschränkt. Erfolgsversprechender ist eine Suche nach Dateiänderungsdatum oder ein Vergleich zwischen Original-Software und dem, was auf dem Server liegt (z.B. mit diff).

Die schriftliche Erklärung würde ich tatsächlich nur abgeben, wenn Du überzeugt bist, alle Backdoors beseitigt zu haben und Du alle Software in der aktuellesten Version neu installiert hast.

Ich bin kein wirklicher ubuntu profi und hab den vserver
eigentlich nur für die websiten von wahlfächern die ich
besuche (ich bin schüler). der hauptgrund war aber auch eine
kleine Spielwiese zu haben, auf der teilweise auch kleine
selbsgeschrieben chatserver etc liefen. Ich hab viel in
richtung mail experimentiert und noch ein andere admin panel
laufen.

Die selbstgeschriebene Software kann man mit ziemlicher Sicherheit ausschließen, nahezu alle Server-Hacks basieren auf bekannten Schwachstellen von üblicher Software.

ich kann mir also gut vorstellen dass mein server für einen
etwas versierteren hacker offen sein muss wie ein scheunentor.

Häufiges Update der Software und Abschalten nicht benötigter Services sind die wichtigsten Punkte, die mir dazu einfallen.

Ich weiß die Zeit der angriffe, kann ich also iwie durch die
logs nachvollziehen was passiert ist?

Mit dem Programm „find“ kann man nach Änderungsdatum suchen.

bin grade ziemlich am verzweifeln!

Das Wichtigste ist jetzt: Keine Panik. Der Server ist sozusagen in Quarantäne, da kann nichts mehr anbrennen. Du bist in einer sehr komfortablen Situation und kannst eine Menge lernen, was im Job später unmöglich wäre: Bei kommerziell betriebenen Servern ist jede Minute Downtime eine Katastrophe, bei Dir jede Minute ein Erkenntnisgewinn.

Gruß, Hartmut

Sorry! Lange war ich nicht hier. Hoffe dass es erledigt ist.
Da habe ich gar keine Erfahrung.

Du solltest den Rechner neu aufsetzen
Hilfe hier www.ubuntuusers.de
Beste Grüße