Gehacked? - Wie abschotten?

Chris · 9. November 2019 um 19:35

Hallo,

ich vermute, dass einer unserer Server (Redhat 8) gehacked wurde und ich moechte dies nun in Ruhe untersuchen.

Dafuer will ich den Server erst einmal nach aussen fuer jedermann abblocken, da er momentan keine externen Aufgaben hat.
Wir brauchen aber weiter Remote Zugriff von unserem Home-Computer der mit einer Einwahl im Internet ist, fuer unsere Checks.

Ein direkter Zugriff ist nicht moeglich, da der Server bei einer Telefon-Gesellschaft steht in USA steht.

Kann uns jemand Tips geben wie wir den Server sicher nach aussen hin abblocken koennen? Oder geht das garnicht?

Herzliche Gruesse
Chris

pumpkin_1768a9 · 9. November 2019 um 19:35

Moien

ich vermute, dass einer unserer Server (Redhat 8) gehacked
wurde und ich moechte dies nun in Ruhe untersuchen.

Wie weit geht der Hack ? Ist der root-account betroffen ? Wurde ein Rootkit verbaut ?

Kann uns jemand Tips geben wie wir den Server sicher nach
aussen hin abblocken koennen?

Wenn du eine fixe IP irgendwo hast könntest du iptables alles wegschmeissen lassen was nicht von der einen IP kommt. Nützt dir bei einem Rootkit gar nix, hilft aber bei vielen anderen Hacks weiter.

Und mach als erstes ein Speicherabbild (/dev/mem) von der Kiste bevor du Reparaturen machst. Plattenimage ist auch nicht schlecht.

Oder geht das garnicht?

Bei Rootkitbefall kann man es völlig vergessen. Da hilft gar nix mehr.

cu