Hacker greift Server via DoS, dDos oder Flooding an. Suchen einen Profi - Dringend!

M

mobilody

Neuling
Thread Starter
Mitglied seit
11.10.2008
Beiträge
2
Hallo Admins,

wir haben ein kritisches Problem mit unserem Server.

Ein Hacker hatte einige Scripte auf den Server gespielt. (Perl, etc.)
Die hatten wir aber schon vor einer ganzen Weile gelöscht.

Seit einigen Tagen geht ein DoS, dDos oder Flooding Angriff von unserem Server aus.
250 GB Datenverkehr – Normalerweise sind das gerade mal ein paar GB.

Es müssen also noch Schadcode bzw. Sicherheitslücken auf dem System sein.

1und1 hat jetzt den Server erst mal in den Rescue-Mous gesetzt.

Server: Linux Server
Betriebssystem: CentOS5
Software: Plesk v8.6

Wir wissen absolut nicht mehr weiter und brauchen wirklich dringend professionelle Hilfe!
Auch für die Zukunft suchen wir noch einen zuverlässigen Linux Administrator.

Bitte meldet euch – E-Mail: mobilody@googlemail.com

Soweit, erstmal danke!
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
das hast du doch schon bei pcwelt.de gepostet?! warte doch da erstmal auf ne antwort ... oder besser noch: mietet euch einen server, den ihr nicht selber konfigurieren müsst, da es wohl ein wenig an wissen/erfahrung im um umgang mit servern mangelt ... immerhin ist das ding im rescue modus!
 
Wo findet man dort exakte Informationen über Bugs und Patches:

http://www.centos.org/search.php?query=history&andor=AND&action=results&submit=Search

Das gefällt mir nicht so sehr.

Momentan ist wichtig, kurzfristig, innerhalb von Minuten, Patches einspielen zu können.

Das ist als "Nachnutzer" kaum möglich, also wenn man ein Produkt hat das auf etwas anderem (Linux) aufbaut, oder wenn man das Betriebssystem vorgesetzt bekommt. Darauf sollte man sich gar nicht einlassen.

Es wäre doch eine interessante Frage an 1und1, ob das "öfter" vorkommt, oder ob jemand bloß Euch nicht leiden kann ;)

Ich lese das jedenfalls nicht zum ersten Mal.
 
Zuletzt bearbeitet:
Ich kenn da son paar Profis ich frage gerade , aber solltest den Index auf PHP umstellen und über ne weiterleitung alles machen. Guck dir die Seite die ich dir per PN schicke an wie die das gemacht haben an dann weisstes
 
DoS Blocker :


Code: 
  <?php
    define ('BLACKLIST','black.list');

    $list=file(BLACKLIST);

    foreach ($list as $addr)  {
            $addr=trim($addr);
            $host_addr=$_SERVER['REMOTE_ADDR'];

            // Semplice indirizzo IP
            if ($host_addr==$addr)
                    die ("Your IP is {$addr} and you're not allowed to view this page\n");

            // Subnet di classe C
            else if (preg_match('/(\d+\.\d+\.\d+)\.0\/24/',$addr,$sub))  {
                    $subnet=trim($sub[1]);

                    if (preg_match("/^{$subnet}/",$host_addr))
                            die ("Your IP is {$host_addr} and you're not allowed to view this page\n");
            }

            // Subnet di classe B
            else if (preg_match('/(\d+\.\d+)\.0\.0\/16/',$addr,$sub))  {
                    $subnet=trim($sub[1]);

                    if (preg_match("/^{$subnet}/",$host_addr))
                            die ("Your IP is {$host_addr} and you're not allowed to view this page\n");
            }

            // Subnet di classe A
            else if (preg_match('/(\d+)\.0\.0\.0\/8/',$addr,$sub))  {
                    $subnet=trim($sub[1]);

                    if (preg_match("/^{$subnet}/",$host_addr))
                            die ("Your IP is {$host_addr} and you're not allowed to view this page\n");
            }
    }
    ?>

Kann nicht versprechen dass es klappt aber Teste es

Packs einfach in den head tag
 
Zuletzt bearbeitet:
Danke mal für eure Tipps und Tricks!

Aber derzeit gehe ich davon aus das ein Rootkit installiert ist.

Ich bin leider noch absoluter Neuanfänger in Sachen Webserver.

Was haltet ihr davon wenn ich erstmal zwei bis drei Rootkit Finder installiere und durch laufen lasse? Bzw. mit welchen Befehlen installiere und starte ich so ein Tool?

Dann könnte man sich erstmal anschauen was dabei raus kommt???

Na, was meint ihr dazu?
 
Seit einigen Tagen geht ein DoS, dDos oder Flooding Angriff von unserem Server aus.
Zum Vergrößern anklicken....

Wenn die Angriffe von deinem Server ausgehen, dann ist der Server kompromittiert. D.h. sichere alle deine wichtigen Daten und Konfigurationsdateien und setz den Server komplett neu auf. Du hast keine Ahnung, was der/die Angreifer mit deinem System angestellt haben.
 
mobilody schrieb:
Danke mal für eure Tipps und Tricks!

Aber derzeit gehe ich davon aus das ein Rootkit installiert ist.

Ich bin leider noch absoluter Neuanfänger in Sachen Webserver.

Was haltet ihr davon wenn ich erstmal zwei bis drei Rootkit Finder installiere und durch laufen lasse? Bzw. mit welchen Befehlen installiere und starte ich so ein Tool?

Dann könnte man sich erstmal anschauen was dabei raus kommt???

Na, was meint ihr dazu?
Zum Vergrößern anklicken....

Wird nichts bringen ,meiner meinung nach.
 
madd!n schrieb:
Wenn die Angriffe von deinem Server ausgehen, dann ist der Server kompromittiert. D.h. sichere alle deine wichtigen Daten und Konfigurationsdateien und setz den Server komplett neu auf. Du hast keine Ahnung, was der/die Angreifer mit deinem System angestellt haben.
Zum Vergrößern anklicken....

Full Ack :)

Alles andere ist mist und wird zwangsläufig zu weiteren Problemen führen.
 
Verstehe ich das richtig:

Es sollen Sachen wieder neu installiert werden, die schon mal kompromittiert wurden?
Wie viele Sekunden soll es dauern, bis die wieder geknackt werden?
Oder merkt sich jemand die IP-Adresse, um das NICHT noch einmal zu tun?

Wahrscheinlich verstehe ich das absolut nicht richtig...
 
Du weißt ja nicht, was er alles am System geändert/zusätzlich installiert hat und an welcher Stelle die Schwachstelle überhaupt liegt. Neu aufsetzen ist auf jedenfall richtig. Dann einen kompetenten Admin beschaffen oder auf einen managed Server umsatteln ;)
 
CyRu$ schrieb:
Du weißt ja nicht, was er alles am System geändert/zusätzlich installiert hat und an welcher Stelle die Schwachstelle überhaupt liegt. Neu aufsetzen ist auf jedenfall richtig. Dann einen kompetenten Admin beschaffen oder auf einen managed Server umsatteln ;)
Zum Vergrößern anklicken....

Ja, das ist richtig.

Aber mir ist das mit der Software für eine Hardwarefirewall passiert: Ganz minimal konfiguriert, mehrere Monate lang, immer wieder, mehrere Neuinstallationen, 2 Versionen, viel zu viel Traffic. Seit dem habe ich keine Hardwarefirewall mehr. Es war ohne tiefere Linuxkenntnisse nicht zu klären, ob es ein Angriff oder eine Fehlfunktion war, beim Update oder so. Man hätte es als Anwender aber gar nicht ändern können.

Der Betreiber einer Website, die sich ausgerechnet mit Sicherheitsfragen für Computer befasste, hatte in einer ähnlichen Situation den Provider gewechselt. Inzwischen ist die Website eingestellt.

In diesem Fall hier wissen wir nicht einmal, ob das jetzige Problem noch vom ersten "Besuch" her rührt.

Neu installieren ist also vielleicht nur der erste Schritt.
 
Schau dir doch mal mit iftop an, was da wovon auf welchem Port an wen gesendet wird.
 
Also kannst du da irgentwie ein Index reinstellen wärend du alles neumachst ?
wenn ja fürd ich den Dos Blocker reinpacken weil wenn bei dir Traffic ab einer bestimmten Menge Kostet ....:fp
 
Was soll denn die PHP-Datei nützen?
Die beschränkt nur den Zugriff von bekannten IPs von außen auf sich selbst.
 
mobilody schrieb:
Hallo Admins,

wir haben ein kritisches Problem mit unserem Server.

Ein Hacker hatte einige Scripte auf den Server gespielt. (Perl, etc.)
Die hatten wir aber schon vor einer ganzen Weile gelöscht.
Zum Vergrößern anklicken....

ab da habe ich nichtmehr weiter gelesen. wer sowas macht handelt unverantwortlich. ist ein server erstmal kompromittiert gibts nur eines - neuinstallation. alles andere ist fahrlaessiger pfusch!
 
Ich experimentier ja auch mitm LINUX Webserver, aber mal ehrlich: Produktiveinsatz sollte man beieinem reinen Webserver doch lieber von dem Host verwalten lassen...

Lieber von einem vServer oder Root, auf einen normalen Webhostpaket wechseln ;)
 
Nicht umbedingt wenn der Server gut gesichert und eingestellt ist und man nen bissel aufpasst was Recht,Update und vorallen Rootzugriff angeht funktioniert das problemlos was der Fall hier angeht war das wahrscheinlich nicht der Fall hier hilft dann wirklich nur neu machen und gründlich Gedanken machen was falsch gelaufen ist und wie man dies unterbinden kann es macht keinen Sinn das Ding neu auf zusetzen und die alten Einstellungen zu nutzen bzw alte Configs einzuspielen das ist fahrlässig und man ist spätestens in 2 Wochen an der selben Stelle.
 
1&1 hat sicherheitslücken da gibst auch nen php sricpt womit ich den ganzen stro die pws bekomme und alles und dafür tun nix
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh