Server wurde wohl mehrfach efolgreich gehackt

Internet Internet Sicherheit
#1

Hallo zusammen,

ich habe einen Virtuellen Server als MailServer und in den letzten Tagen wurde ich m.E. nach 2 mal erfolgreich attakiert… es wurde anscheinend über SIP irgedwie der Port 5060 geöffnet.

Ich muss sagen, auf dem Server läuft Communigate Pro. Die LOG Dateien mit den IPs habe ich gesichert.

Eine Sicherung kann ich nicht wiederherstellen, da zu lang her.

NMAP sagt folgendes:
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
106/tcp open pop3pw
110/tcp open pop3
143/tcp open imap
389/tcp open ldap
443/tcp open https
465/tcp open smtps
636/tcp open ldapssl
674/tcp open acap
993/tcp open imaps
5060/tcp open sip
8021/tcp open ftp-proxy
9100/tcp open jetdirect

Die Ports: 106, 389, 636,674,506 und 8021 und 9100 „stammen nicht von mir“.

Wie gehe ich nun vor?

Besten Dank
wiihack

#2

hallo,

  1. um kurzfristig (!) weiteren schaden zu vermeiden solltest du die ports, welche du nicht benötigst abschalten bzw. anwendungen/dienste suchen und deaktivieren, welche diese verwenden.
  2. einen fachmann beauftragen sich die sache genauer anzuschauen.

hier mittels fernwartung und glaskugel zu operieren ist kontraproduktiv, weil wir hier ohne genauere einsicht nur raten können.

lg

#3

Guten Tag,

hallo,

  1. um kurzfristig (!) weiteren schaden zu vermeiden solltest
    du die ports, welche du nicht benötigst abschalten bzw.
    anwendungen/dienste suchen und deaktivieren, welche diese
    verwenden.

Deswegen habe ich u.a. den Thread öffnet. Wie kann ich Ports abschalten?

Was mich auch interessiert, wie kann ich gegen so jemanden rechtlich vorgehen?

#4

Hallo,

wie du überflüssige Ports deaktivieren kannst ist u.a. bestriebssystem- und distributionsabhängig. GGf. spielt noch die Verwaltungssoftware eine Rolle usw. Kann dir so also keiner sagen.

Ein Server, der im Verdacht steht, gehackt zu werden, muß neu aufgesetzt werden. Bei einem erfolgreichem Eindringen kannst du dich weder auf Logbücher noch sonst irgend etwas verlassen.

mfg

tf

#5

Wie gehe ich nun vor?

Ich würde jedes kompromittierte System immer neu aufsetzen. Komplett.

Ich würde aber vorher versuchen herauszufinden, ob jemand auf der root shell lustige Befehle eingegeben hat:

history

Danach würde ich versuchen die Programme zu finden, die offene Ports haben:

netstat -tulpen

(auf Linux-Systemen)

Das kann allerdings allerdings alles gefaked sein, beispielsweise kann dir ein rootkit völlig falsche Ausgaben präsentieren. Vielleicht sieht man sich mal die Erstellungsdaten verschiedenen Dateien an:

ls -la /bin
ls -la /sbin
ls -la /usr/bin
ls -la /usr/sbin
ls -la /etc

Aber auch das kann gefaked sein. Eigentlich müsstest du die Platte ausbauen und woanders ansehen oder das System per Notfall-CD starten.

Ein Blick auf den xindetd oder den inetd kann nicht schaden. Ebenso auf die Logs unter /var/log.

Es ist schwierig herauszufinden, wie deine Gegner vorgegangen sind, also welchen Weg sie genommen haben und welche deiner Systemkomponenten die Ursache war. meist liegt die Ursache in veralteter Software und mangelnder Pflege des Systems.

Ich hatte auch schon Gäste auf meinen Systemen und ich hab immer verloren. Um ganz sicher zu sein, musst du die Schüssel neu aufsetzen.

Geh zur Polizei und lass dich beraten. Natürlich ist es da immer gut, auch mit Beweismaterial zu kommen.

Gruß,
Stefan