Hilfe - mein Server wurde (angeblich) gehackt

    Hi



    bekomme eben eine Mail von Strato, daß mein Server gehackt sei:


    Zitat


    hiermit informieren wir Sie darüber, dass Ihr Server (81.169.173.176) mit dem Hostnamen h2323416.stratoserver.net für Hack-Attacken missbraucht wird. Hierauf haben uns Dritte aufmerksam gemacht, deren Systeme attackiert worden sind.


    es folgen weitere Hinweise, u.A., daß ich den Server Nei installieeren soll und daß0 Backups möglicherweise beriets infiziert seien....


    anschließend folgt sowas:




    jemand anwesend, der mir unter die Arme greift und dabei hilft das zu beheben???

    Moin,


    du hast da ja offensichtlich ein Wordpress auf dem Server laufen? Falls du das wirklich benötigst, würde ich zuerst mal auf die aktuellste Version updaten...das Ding kann übelst als Spamschleuder missbraucht werden. Meine Frau musste mal 300€ an Trafficgebühren nachzahlen, weil wir damit etwas "schlampig" umgegangen sind :( Wenn du WP nicht brauchst, würde ich es sofort runterschmeissen, ich würde mir diese Software nicht mehr antun ;)


    Ciao Louis

    Zitat von sigiberlin

    die 18 WP-Installationen sind immer auf dem neuesten Stand...


    Tja...aufgrund der Verbreitung ist WP eben ein dankbares Ziel, da wird von den bösen Jungs viel investiert.


    Ciao Louis

    Ich muss ja arbeiten, deshalb ein paar Dinge die ich tun würde.

    Check ob die IP 81.169.173.176 wirklich deine ist.
    Wenn ja, dann prüfen ob du einen Prozess sehen kannst der für den Angriff verantwortlich sein könnte, falls es nicht durch ein rootkit versteckt ist. Wenn du den Prozess siehst, dann stoppen.
    Sichere die Daten, die du unbedingt brauchst und mach den Server platt.


    Gerald


    HP Proliant MicroServer Gen8, Xeon E3-1230, 12 GB RAM, 3xWD red 2TB im RAID 5, 2xSundtek MediaTV Home DVB-C/T, L4M TWIN-C/T, Ubuntu Server 14.04.1, Plex Media Server
    Samsung UE55H6470

    ansonsten sehe ich da das was ich erwarte: diverse mysqld, diverse php-fpm, diverse nginx...



    na Klasse - jetzt ist der Server nicht mehr erreichbar. Wahrscheinlich nur über die Wartungskonsole, aber der Kundenservicebereich bei Strato ist "aufgrund von kurzfristigen Wartungsarbeiten " nicht erreichbar...

    sigiberlin


    Bis Du den Server wieder in Betrieb hast, sieht ja leider nach einem kompletten Start-Over aus, soll ich ein temporäres Upload-Angebot bei mir implementieren?


    Regards
    fnu

    HowTo: APT pinning

    Klar, gerne. Für die abgebrochenen Downloads müsste dann erst nochmal der Upload erfolgen ...


    Mach mich dran. Wenn jemand aber Space auf seinem Root-Server mit viel Plattenplatz hat darf er gerne vortreten. Meiner ist zwar flott aber begrenzt ...


    Gruß
    Frank

    HowTo: APT pinning

    2 Mal editiert, zuletzt von fnu ()

    Das erklärt einiges
    Wollte am Samstag das Glastonbury hochladen
    und irgendwie spann der Server als rum.


    Verbindung unterbrochen, unterirdisch langsam.


    fnu ich hab 200 GB frei und hat unlimited traffic (aber da schieb ich jetzt erst mal das glastonbury drauf)


    (188GB)



    @ sigi
    wieviel GB an aufnahmen sind den zu zeit auf dem server wenn nicht kopiere ich die erst einmal per ssh auf meinen (wenns unter 200GB sind damit die uploads nicht um sonst waren)


    dann müssen die mit dem glastonbury erst einmal warten

    so ganz nett...


    Strato hat eine Remote Console, mit der man über die serielle Schnittstelle noch an den Server kommt, wenn der sonst nicht mehr erreichbar ist (aber noch läuft...).


    Also Putty angeworfen, den Remote Server, den zugewiesenen benutzer und das selbst vergebene Passwort eingetütet. Dort soll man dann einam enter drücken und sich dann auf dem eigenen Server als root anmelden.


    Dumm nur, daß der Remote Server das weiterleiten zum eigenen Server verweigert und danach das Passwort angeblich falsch ist...

    @all


    => Temporärer ftp Alternative für sigiberlin, ftp (TLS), sftp.


    Moorviper


    Mehr als eine Alternative ist sicher hilfreich, damit Siegfried in Ruhe den Server recovern kann.


    Regards
    fnu

    HowTo: APT pinning

    Zitat von sigiberlin

    so wies scheint hab ich jetzt Zugriff über die Remote Console.
    jemand hier, der mal einen Blick über den Rechner werfen könnte?


    Na ja, wenn du nur noch über die Remote Console dran kommst, dann kannst du ja keine Backups mehr machen. Zumindest nicht über rsync, oder scp. Dann kannst ihn auch gleich platt machen, oder hast du da irgendwie ein Backup-Drive angebunden?


    Gerald


    HP Proliant MicroServer Gen8, Xeon E3-1230, 12 GB RAM, 3xWD red 2TB im RAID 5, 2xSundtek MediaTV Home DVB-C/T, L4M TWIN-C/T, Ubuntu Server 14.04.1, Plex Media Server
    Samsung UE55H6470

    sigiberlin:


    Ich bin mir nicht sicher, ob Dir das hilft, aber da Du ja eh über die Konsole und nicht über Netzwerk drauf bist, könntest Du als Sofortmaßnahme erstmal sämtlichen eingehenden und ggf. auch ausgehenden Datenverkehr stoppen.


    Code
    iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT



    Dann könntest Du Deiner eigenen IP wieder Zugang erlauben, z.B. für Backups.


    Code
    iptables -A INPUT -s 123.123.123.123/32 -j ACCEPTiptables -A OUTPUT -d 123.123.123.123/32 -j ACCEPT


    Aber um das Neuaufsetzen kommst Du wahrscheinlich nicht drumherum.

    CafeDelMar

    zum Thema Neuaufsetzen:


    es sind knapp 30 Domains mit entsprechenden Datenbanken und Mailaccounts auf der Kiste. Alle DBs und alle Wordpress-Dateien werden tägich auf den FTP-Backup gesichert, dort sollte mindestens eine Woche zurück alles liegen.


    Das Neuaufsetzen des Server ist ja recht flott gemacht, aber alle Domains wieder herstellen und die Postfächer von ~ 100 Nutzern rekonstruieren - da bin ich ja 2 Wochen beschäftgt...



    gibts nicht die Möglichkeit, die vorhandenen Dateien zu checken ob da was ist? rkhunter findet keine rootkits...

    Das wird schwierig werden ...
    Das rkhunter gar nix anmeckert ist komisch, er sollte zumindest anschlagen das einige Systemdateien verändert wurden. Aber wenn jemand root Zugriff hat hindert ihn ja auch niemand daran rkhunter --propupd auszuführen.
    Hast du denn jetzt Zugriff auf die Platte? Womit machst du das Backup? Hast du die Möglichkeit dir die Änderungen der inkrementellen Backups anzuschauen um vielleicht herauszufinden wann sich viel geändert hat um vielleicht zu erkennen wann der Server noch clean war? Wobei verlassen würde ich mich darauf auch nicht.


    Ich denke um ein komplettes neu aufsetzen wirst du nicht drum herum kommen wenn du wirklich sicher gehen willst. Wer weiß schon wo sich noch etwas versteckt hat was vielleicht erst in ein paar Wochen oder Monaten aktiv wird und du glaubst alles ist wieder ok!


    Es wäre natürlich auch schön herauszufinden wie der Angriff erfolgte, nicht das du den Server exakt gleich aufsetzt und die Schwachstelle immer noch besteht, sei es in WP oder wo auch immer.


    Sorry für dich :)


    Grüße
    Martin

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden