• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Rootserver gehackt -> finde Serverprog nicht .-(

S

s4ger

Newbie
Hallo zusammen

seit einigen Tagen wir mein Server als Spamversender missbraucht.
Ich bekomme täglich knapp 10.000 Mails mit "Mailbox voll" "delivery error" etc.

Das sich jmd Zugang verschafft hat, habe ich durch die Befehlshistory im Webmin festgestellt, hier wurden folgende befehle eingegeben:

webmin.JPG


Unter badpak.be/.bash_history/tshd findet sich ein, meiner Meinung nach, Server-Client Programm.

Was nun tun?

Habe Webmin geupdatet auf 1.30, port für SSH und Webmin geändert und die Passwörter und alles was mit tshd zutun hat gelöscht.

Aber kein Erfolg, jede Sek. gehen weiter Mails raus, kann Postfix aber nicht abschalten, da meine Webprojekte ebenfalls einige Mails rausschicken.

OS ist Debian 3.1

Danke im vorraus![/b]
 
Y

Yehudi

Guru
Als erste wäre wichtig auszumachen, wo die Schwachstelle liegt. 'allow_url_fopen' ist eine php Feature, welches für solches Angriffe gerne genutzt wird. Das vielleicht mal abschalten. Sonst würde ich Dir in Deinem Fall ganz dringend raten professionelle Hilfe in Anspruch zu nehmen, da jedes Warten Dir sonst das Genick brechen kann.
http://www.linux-club.de/faq/Root-Server
 
I

iXman

Member
s4ger schrieb:
Was nun tun?
Zum Vergrößern anklicken....
da hilft nur folgendes:

1.) Daten sichern (nur archivieren!! nichts aber auch gar nichts wiederverwenden - außer eventuell nach einer gründlichen Kontrolle wichtige Datenbanken) alles andere aus einer Sicheren Quelle neu installieren!
2.) Server komplett neu aufsetzen (auch die Partitionen neu formatieren), oder ein sauberes Image einspielen
3.) alles auf den neuesten Stand bringen
4.) überall neue Passwörter benutzen
5.) eine Firewall einrichten nur die wirklich benötigten Ports öffen (Port 21,22,25,80,110)
5.a) kein SSH-Zugriff für Root erlauben, Telnet sowieso nicht...
6.) ein IDS system einrichten und gut konfigurieren und täglich aktuell halten
7.) logfiles regelmäßig kontrollieren (täglich)
8.) (Web-) Anwendungen nur in gesicherten Umgebungen laufen lassen und auch nicht als root
9.) ... viele weitere Tipps - das kann man nicht so in einem Thread abhandeln, über Serversicherheit wurden schon viele Bücher geschrieben. Eins der Standartwerke die man fast auswendig kennen sollte ist zB: "Sichere Server mit Linux" aus dem oreilly-Verlag

ein guter Tipp sind zB auch Reverse Proxys, ist aber ein wenig aufwändiger... :wink:

Wenn man sich dazu nicht in der Lage fühlt, dann sollte man besser keinen Rootserver betreiben, denn das ist kein Spielzeug, das ist richtig harte Arbeit, für die man jeden Tag und zu jeder Zeit zur Verfügung stehen muß.
In so einem Fall ist es dann besser wenn man sich bei einem guten Hoster einen "Managed Server" anmietet.




s4ger schrieb:
Habe Webmin geupdatet auf 1.30, port für SSH und Webmin geändert und die Passwörter und alles was mit tshd zutun hat gelöscht.
Zum Vergrößern anklicken....
das alleine bring gar nichts, denn die Angreifer haben längst alle möglichen Programme ausgetauscht um auf deinen Server ständig Zugriff zu haben. da kannst Du Passwörter und Ports wechseln wie Du willst, die haben sich eigene Zugangswege geschaffen. Und webmin ist was für Anfänger, damit gibt sich niemand ab der nen Server wirklich umkonfigurieren will sowas hat auf nem Webserver eigentlich nichts zu suchen, denn jede weitere Anwendung ist ein Angriffspunkt mehr.
Hier hilft wirklich nur was ich oben geschrieben habe . Platt machen und neu aufsetzen....
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben