Ankündigung

Einklappen
Keine Ankündigung bisher.

rootserver gehackt

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    rootserver gehackt

    Hallo,

    heute morgen erreichte mich eine mail meines rootserver providers in der logs enthalten waren ,wo von meiner serverip spam abuse und hackangriffe auf eine amerikanische uni getätigt wurden. Das ganze sieht soweit so aus:

    > Eastern Michigan University has detected inappropriate traffic
    > from source IP 213.239.220.178.
    >
    > Whois records list you as the contact for complaint. This e-mail
    > is meant to inform you that this address has been blocked at the
    > EMU firewall and will not be removed until we receive a response
    > that this traffic will cease, or an explanation for the cause.
    >
    > Below is a log (limited to 100 lines) showing some break-in attempts (timezone: EST/GMS-5)
    >
    > Thank you for your time,
    > Network Engineering
    > Eastern Michigan University
    > [email protected]
    >
    > Logs:
    > ./secure.1:Jan 28 18:34:55 www3 sshd[19911]: [ID 800047 auth.info] reverse mapping checking getaddrinfo for mach.meinen.server.nicht.aus.cc [213.239.220.178] failed - POSSIBLE BREAK-IN ATTEMPT!
    > ./secure.1:Jan 28 18:34:55 www3 sshd[19911]: [ID 800047 auth.info] reverse mapping checking getaddrinfo for mach.meinen.server.nicht.aus.cc [213.239.220.178] failed - POSSIBLE BREAK-IN ATTEMPT!
    > ./secure.1:Jan 28 18:34:55 www2 sshd[25978]: [ID 800047 auth.error] error: PAM: No account present for user for illegal user mooha from 213.239.220.178
    > ./secure.1:Jan 28 18:34:55 www3 sshd[19911]: [ID 800047 auth.info] Invalid user cstrike from 213.239.220.178
    > ./secure.1:Jan 28 18:34:55 www3 sshd[19911]: [ID 800047 auth.info] Invalid user cstrike from 213.239.220.178
    > ./secure.1:Jan 28 18:34:55 www3 sshd[19911]: [ID 800047 auth.error] error: PAM: No account present for user for illegal user cstrike from 213.239.220.178
    > ./secure.1:Jan 28 18:34:55 www3 sshd[19914]: [ID 800047 auth.info] reverse mapping checking getaddrinfo for mach.meinen.server.nicht.aus.cc [213.239.220.178]

    so geht das ganze noch ne Weile weiter. Ich habe derweil sofort alle prozesse gekillt die mir unbekannt waren sowie alle user gesperrt und die passwörter geändert. Allerdings kann ich nicht sagen wie viel schaden genau angerichtet wurde, und wenn welche Hintertürchen in mein System eingebaut worden sind.

    Betriebsystem ist SuSe Linux.
    Desweiteren sind
    4912 tty6 Ss+ 0:00 /sbin/mingetty tty6
    4915 tty1 Ss+ 0:00 /sbin/mingetty --noclear tty1
    4917 tty2 Ss+ 0:00 /sbin/mingetty tty2
    4919 tty3 Ss+ 0:00 /sbin/mingetty tty3
    4921 tty4 Ss+ 0:00 /sbin/mingetty tty4
    4923 tty5 Ss+ 0:00 /sbin/mingetty tty5

    diese Prozesse immer offen und lassen sich nicht killen. Wäre nett wenn mir jemand weiterhelfen könnte?

    Grüße

    #2
    Glaube kaum das dir hier jemand wirklich helfen kann, geh doch mal in ein Linux Server oder sowas Forum :E

    Kommentar


      #3
      bin ich bereits, aber ich suche überall :p

      Kommentar


        #4
        linux got ownd, tja mit windows wärs nicth passiert

        Kommentar


          #5
          ich lasse diese Aussage einfach mal im Raum stehen :D

          Kommentar


            #6
            king nef hat ahnung /ironie off

            Kommentar


              #7
              Hi!

              mingetty ist ein Programm um Server oder Datenbanken oder sowas per Remote zu bedienen (sprich Fernzugriff bei dem der Bildschirminhalt übertragen wird und sogar die Steuerung übernommen werden kann). Daher wird dieses Programm auch definitiv dein Problem sein. Ich nehme stark an, dass dieses Programm bei dir dazu missbraucht wird, Datenpakete von dir an diese Uni zu senden.

              http://linux.about.com/cs/linux101/g/mingetty.htm

              Kommentar


                #8
                ah danke für den Tip, braucht man um das Programm zu installieren root Rechte? Wenn ja dann hab ich ein problem :/

                Kommentar


                  #9
                  Ich weiß es ehrlich gesagt nicht, könnte auch gut sein, dass dies ein Standardprogramm ist für die Internetverbindung unter Linux. Haste schon Panda drüberlaufen lassen?

                  Kommentar


                    #10
                    In einem Linux-Forum wird er keine Hilfe finden, dort wird er gebasht, warum er sich einen root-Server holt, wenn er keine Ahnung davon hat.

                    Die von dir angesprochenen Prozesse sind die Konsolen des Servers, alles normal.
                    Wenn dein Rechner kompromitiert war hilft nur eins: Neu installieren. Es gibt zwar gute Programme (wie rkhunter), aber 100% Sicherheit, dass alles entdeckt wirst hast du nicht.

                    Da du bei Hetzner bist geht das ganz einfach: http://wiki.hetzner.de/index.php/Betriebssystem_Images_installieren
                    Installier ein Debian-Image und achte in Zukunft darauf deine Software mit dem Befehl "aptitude update" auf dem neusten Stand zu halten.

                    Kommentar


                      #11
                      Ich danke Euch recht herzlich. Vielen Dank!

                      Kommentar


                        #12
                        KING NEF postete
                        linux got ownd, tja mit windows wärs nicth passiert
                        Wahaahah...keine ahnung?

                        Kommentar


                          #13
                          Versuch doch mal die Kiste neuzustarten und direkt danach das root-Passwort zu ändern. Am besten ein Script schreiben das automatisch nach dem Booten ausgeführt wird.

                          Solange du dann keine Lücken im System und/oder andere User mit root-Rechten hast, dürfte kein Dritter mehr mit root-Rechten drauf kommen.

                          Vorrausgesetzt du hast noch Zugriff als root ... ;)

                          Kommentar

                          Lädt...
                          X