Toon posts:

[Debian] server mogelijk gehacked

Pagina: 1
Acties:

dinsdag 22 juli 2003 17:21

Acties:
  • GrimaceODespair
  • Registratie: December 2002
  • Nu online

GrimaceODespair

eens een tettenman, altijd ...

Topicstarter
Situatie:Gehackte server
Gebruikte exploit:Waarschijnlijk SSL
Gevonden bestanden:/usr/share/locale/ifconfig/.ifconfig/inetd
/usr/share/locale/ifconfig/.ifconfig/.sniffer
/usr/share/locale/ifconfig/.ifconfig/sk
Netstat:tcp 0 0 xxx.xxx.xxx.xxx:yyyy xxx.xxx.xxx.xxx:ircd ESTABLISHED
Ondernomen acties:
  1. iptables het IP v/d hacker laten blocken
  2. sk u (uninstall optie van de sk rootkit, hoewel je dat natuurlijk nooit 100% zeker weet)
  3. gevonden bestanden verwijderd
  4. /etc/init.d/inetd reload
Probleem:Bepaalde processen laten geen enkele bestandsoperatie meer toe. Dat wil zeggen: ps, psreal, lsof, een uitgebreide netstat, chkrootkit, ... hangen allemaal.
Ik kan middels een strace wel achter de process id's komen, maar ik durf die dingen niet zomaar killen, omdat de server nog altijd live is, en ik niet achter de process-informatie kan komen (ik weet dus niet of het over kritische processen gaat). Ik ben me ervan bewust dat de machine nu "seriously compromised" is, maar vroeg me af of iemand een andere manier dan reboot (wat ik vannacht sowieso zal doen) weet waar ik voorlopig verder mee zou kunnen.

Wij onderbreken deze thread voor reclame:
http://kalders.be

dinsdag 22 juli 2003 17:55

Acties:
  • wouzer
  • Registratie: Maart 2000
  • Niet online

wouzer

Het uninstallen van de rootkit en een reboot lijkt me geen oplossing. Er is nog steeds maar een oplossing wanneer je gehacked bent.

Je weet denk ik wel wat ...

dinsdag 22 juli 2003 18:49

Acties:
  • _JGC_
  • Registratie: Juli 2000
  • Nu online

_JGC_

Leegflikkeren en opnieuw beginnen. Ook geen configuraties overnemen van de oude server, alleen dingen zoals een webroot en een mailspool en wat userdirectories meenemen.
een geroote bak kan je niet meer vertrouwen.

dinsdag 22 juli 2003 19:14

Acties:

Verwijderd

1) ik heb je topictitel aangepast
2) heb je al eens door alle andere topics over "gehacked'de" server gebladerd? Dan kom je n'n tot dezelfde concluse als wouzer en _JGC_

dinsdag 22 juli 2003 19:22

Acties:
  • Teckna
  • Registratie: Mei 2002
  • Laatst online: 03-05 02:22

Teckna

(jarig!)
Op het moment dat een hack gevonden is houd ik het op een oplossing, heb je een reservemachine dan gooi je die direct met een backup online en haal je de hoofdserver eruit. deze formatteer je en maakt van de grond af aan een nieuwe server. de machine is simpelweg niet meer te vertrouwen.

dinsdag 22 juli 2003 20:29

Acties:
  • Leon
  • Registratie: Maart 2000
  • Laatst online: 10-04 09:12

Leon

Rise Of The Robots

Bewaar eventueel een image waar je wat post-mortem onderzoek kan doen van wat de hacker nou precies heeft gedaan en hoe hij dit gedaan heeft.

Vooral bij debian systemen is het reuze makkelijk om alles up-to-date te houden. Voor het updaten kun je eventueel cron-apt gebruiken of eventueel een script dat elke dag draait en je eventuele updates mailt :)

Eeuwige n00b

dinsdag 22 juli 2003 21:38

Acties:
  • _JGC_
  • Registratie: Juli 2000
  • Nu online

_JGC_

BTW: Waarom die progsels allemaal hangen is ook heel erg simpel:
ze zijn vervangen door alternatieven die de rootkit verbergen.

Ik installeer persoonlijk chkrootkit nooit op een schone server, heeft helemaal geen zin, dat ding wordt toch vervangen. Pas als je dat ding nodig hebt haal je dat ding op, op een eerder tijdstip heeft dat toch geen zin nml.

apt-get install --reinstall chkrootkit en je zult zien dat je nog meer rommel tegenkomt ;)

dinsdag 22 juli 2003 23:32

Acties:

Verwijderd

je kan ook ff iets zoals tcpdump op een andere machine installeren en kijken wat er over het netwerkt heen gaat. ook iptraf kan daar interessant voor zijn.

woensdag 23 juli 2003 00:18

Acties:
  • GrimaceODespair
  • Registratie: December 2002
  • Nu online

GrimaceODespair

eens een tettenman, altijd ...

Topicstarter
Ik had me misschien inderdaad de moeite van een topicstart kunnen besparen. Ach, soms doe je iets tegen beter weten in he :)

Alleen die server reinstall wordt een beetje vervelend met een linux-noob die naar de andere kant van het land moet reizen om de enige machine die daar staat te reinstallen... (daarom dus deze wanhoopspoging :'( )

Toch bedankt allemaal voor de moeite en tips.

Wij onderbreken deze thread voor reclame:
http://kalders.be

woensdag 23 juli 2003 01:46

Acties:
  • Mark
  • Registratie: Juni 1999
  • Laatst online: 21:45

Mark

GrimaceODespair schreef op 23 July 2003 @ 00:18:
Alleen die server reinstall wordt een beetje vervelend met een linux-noob die naar de andere kant van het land moet reizen om de enige machine die daar staat te reinstallen... (daarom dus deze wanhoopspoging :'( )
Waarom heb/beheer jij die machine dan ? Vind het een beetje vaag dat een Linux noob een linux machine heeft draaien.....

woensdag 23 juli 2003 01:50

Acties:
  • interp
  • Registratie: Augustus 2002
  • Niet online

interp

Grab het verkeer naar die ircd, weet je de nick, chan en wat er gezegt word.

woensdag 23 juli 2003 01:59

Acties:
  • Mark
  • Registratie: Juni 1999
  • Laatst online: 21:45

Mark

interp schreef op 23 July 2003 @ 01:50:
Grab het verkeer naar die ircd, weet je de nick, chan en wat er gezegt word.
Ik vermoed dat dit geen actieve chatsessie is, maar eerder een DoS client die staat te wachten op "opdrachten". Sowieso zorgen dat deze connectie gekilled word.
Beter is het gewoon om nu die server plat te leggen voordat jou server dadelijk misbruikt word voor DoS acties.

[ Voor 16% gewijzigd door Mark op 23-07-2003 02:00 ]

woensdag 23 juli 2003 03:24

Acties:
  • GrimaceODespair
  • Registratie: December 2002
  • Nu online

GrimaceODespair

eens een tettenman, altijd ...

Topicstarter
Mark schreef op 23 July 2003 @ 01:46:
Waarom heb/beheer jij die machine dan ? Vind het een beetje vaag dat een Linux noob een linux machine heeft draaien.....
Don't ask. Het ding is hier voor mijn tijd geinstalleerd geweest door een extern bedrijf, intern beheerd door iemand anders die het on-the-fly heeft moeten leren en nu weg is, waardoor ik het op mijn beurt on-the-fly moet leren. "Vuurdoop" heet zoiets.

Voordat er mensen op deze praktijk gaan flamen: don't bother. Er is denk ik voor intern beheer gekozen omdat er regelmatig gesleuteld wordt aan dat ding met specifieke eisen. Ik zit er zelf nu enkele maanden achter, en kan er ondertussen behoorlijk mee overweg (ok, n00b was mss wat te sterk uitgedrukt; de machine was bv wel helemaal up-to-date voor zover ik weet), maar jullie weten zelf ook dat ervaring de beste leermeester is. Over sommige dingen weet je gewoon heel weinig tot je er mee te maken krijgt.
Mark schreef op 23 July 2003 @ 01:59:
Beter is het gewoon om nu die server plat te leggen voordat jou server dadelijk misbruikt word voor DoS acties.
Het is mij zonet zelf gelukt: poging tot reboot mondde uit in dode machine :/

[ Voor 3% gewijzigd door GrimaceODespair op 23-07-2003 03:40 ]

Wij onderbreken deze thread voor reclame:
http://kalders.be

woensdag 23 juli 2003 03:47

Acties:
  • sebas
  • Registratie: April 2000
  • Laatst online: 16-12-2025

sebas

hmm, Welke SSL remote whole bedoel je dan?

Je spreekt je namelijk nogal tegen, de laatste kritieke bug in SSH was toch al vorig jaar? (Of loop ik hier iets mis?)

Naja, tenminste zijn er op dit moment voor zover ik het weet geen open bugs, noch in kernel, noch in ssh ...

Misschien is het een goed idee om nog eens een keer na mogelijke oorzaken te kijken, of althans, hoe die gast binnen is gekomen, op die manier heb je er misschien zelfs nog wat van.

Vuurdoop klinkt trouwens wel wat cynisch in deze context ;)

Everyone complains of his memory, no one of his judgement.

woensdag 23 juli 2003 03:51

Acties:
  • zeroxcool
  • Registratie: Januari 2001
  • Laatst online: 04-05 13:54

zeroxcool

Dan kan dat wat Mark stelde iig niet gebeuren ;)... Dat wordt na het datacenter gaan. En zoals de rest zegt, alles geheel nieuw opbouwen, MBR meteen maar erbij leeghalen. You'll never know! Eén voordeel is dat je nu enkele 'fouten' die je als Linux noob hebt gemaakt in bijvoorbeeld configs je nu kan herstellen. Zolang je je mail spool, htdocs en dergelijke maar hebt, dan is er in principe 'niet veel' aan de hand...

zeroxcool.net - curity.eu

Pagina: 1
Reageer