Hackerattacke auf Linux-Webserver

Johannes_b81aed · 4. März 2001 um 15:13

Ich habe ein kniffliges Problem: auf einem Linux-Webserver
(Cobalt RaQ-Server, vorkonfiguriertes System auf Red-Hat-Basis)
gibt es plötzlich Probleme: der ftpd ist nicht mehr da,
das Überwachungstool Swatch nimmt sich 98% der Systemleistung,
einige Befehle verhalten sich merkwürdig, nach einigem Suchen stelle ich fest, daß die Befehle ps,login,netstat,ls
offenbar ausgetauscht wurden, die Datei syslog in /var/log
läßt sich nicht mehr anzeigen. Ich vermute, daß die Kiste
gehackt wurde, kann jemand was dazu sagen?

Danke Johannes

Sebastian · 4. März 2001 um 15:34

Ich habe ein kniffliges Problem: auf einem Linux-Webserver
(Cobalt RaQ-Server, vorkonfiguriertes System auf
Red-Hat-Basis)

Kenn ich nicht

gibt es plötzlich Probleme: der ftpd ist nicht mehr da,

welcher war es denn mal?

das Überwachungstool Swatch nimmt sich 98% der Systemleistung,

Hmpf!

einige Befehle verhalten sich merkwürdig, nach einigem Suchen
stelle ich fest, daß die Befehle ps,login,netstat,ls
offenbar ausgetauscht wurden,

wie festgestellt?

Wenn die ausgetauscht wurden, hast Du mit 99,99% Sicherheit ein Root-Kit gefangen.

die Datei syslog in /var/log
läßt sich nicht mehr anzeigen.

Warum nicht?

Ich vermute, daß die Kiste
gehackt wurde, kann jemand was dazu sagen?

Mit so wenig informationen nicht viel, außer daß Deine Vermutung sehr plasibel ist.

Alles sichern - für Analyse des Problems - und ein aktuelles (!) System aufspielen… Keine alten Binaries zulassen!

Sebastian

Johannes_b81aed · 4. März 2001 um 15:49

Danke für die schnelle Antwort erstmal. Ist nicht mein Server,
ich wurde nur um Rat gefragt. Welcher ftpd lief, weiß ich nicht.
Rausgefunden haben wir, daß die Dateien ps,netstat,login,ls
im bin-Verzeichniss als Datum den 28.02.01 haben, da etwa fing das Problem an. Wenn ich ps -A eingebe, bekomme ich eine Fehlermeldung, kann mir also nicht alle Prozesse anzeigen lassen.
Die syslog zeigt nur noch kryptisches Zeugs an. Die Webmaster sind heute dabei, alles zu sichern und das Ding neu zu installieren.(aktuellen Stand) Was ist denn ein root-kit??

Sebastian · 4. März 2001 um 17:19

Was ist denn ein root-kit??

Eine Sammlung Programme, die - auf dem Rechner installiert - einem Außenstehenden root Zugriff gibt und gleichzeitig dessen Spuren verwischt. Nichts gutes also. Rechner schnell (!) vom Netz nehmen.

Sebastian