Hallo zusammen, On Freitag 30 Oktober 2009, Al Bogner wrote:
war's. Spuren findest Du keine mehr, wenn ich sauber gearbeitet habe. Der Angreifer hat aber immer noch den root-Zugang.
Somit muss ich mich fragen, wie er den root-Zugang erhalten hat. Ich schließe aus, dass er den private-Key erraten konnte. Login per user / pw ist nicht möglich. Also wäre Cross-Site-Scripting denkbar, oder er hat es über das Login beim VPS-Hoster geschafft. Das PW dort ist gut. Alle Pakete sind aktuell.
Oder er hatte Hardwarezugriff, oder er hat einen (unbekannten) Fehler in einem Server ausgenutzt, oder Du hast irgendetwas übersehen. Schicke mir doch mal die URL. Dann mache ich mal einen Portscan und schaue, wo man da überall rein kommt. Oder, oder, oder ... Wie das gemacht wurde, wirst Du vielleicht nie erfahren. Aber nach der Mail von google, dass eine Seite in einem public_html-Verzeichnis eines users, der gar nicht da ist, gefunden wurde, würde ich an Deiner Stelle von einem erfolgreichen Angriff einfach mal ausgehen und sofort entsprechende Maßnahmen einleiten. Alles weitere wird dann auf einer alleine stehenden Maschine untersucht. Soll das gerichtsverwertbar werden, dann sind viele Dinge zu beachten. Vor allem muss der Zustand des Servers auf einem nicht mehr veränderbaren Datenträger gesichert werden.
Ich bin etwas ratlos, wie ich mich besser absichern soll.
Sicher ist nur eines: der Tod. Das ist leider auch in der IT nicht anders. :( Liebe Grüße Erik -- "Beim Tabak wie überall kommt man mit Ruhe und Erfahrung am weitesten." Jean Fernand Giono Erik P. Roderwald * Uhlenhoffweg 18 * 21129 Hamburg Telefon: +49 (0)40 8510 3150 * Fax: +49(0)40 8510 3148 http://www.zigarren-rollen.de http://www.roderwald.de http://blogs.roderwald.de http://forum.roderwald.de http://twitter.com/erikrode -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org