Am Dienstag, 31. Juli 2007 23:36 schrieb Taner Ayaydin:
ich hätte eine wichtige Frage. Wir haben einen 1&1 RootServer angemietet mit SuSe 9.3 Hab ich auch noch, wird aber Morgen abgeschaltet.
Das sind hoffnungslos veraltete Versionen. Wenn Du nicht weist wie man an aktuelle Bugfixes kommt, dann solltest Du die Finger von Root-Servern lassen!
Vor einigen Tagen wurde unser Server von 1&1 gesperrt, da anscheinend Fisching-Dateien drauf seien. Nach einem Telefonat wurde der Server wieder frei geschaltet. Unter FTP habe ich die betreffenden Fisching-Dateien gesucht, aber nicht gefunden. Anschließend unter Shell mit dem Benutzer von dem vhost/domain eingeloggt: Keine Berechtigung. Danach mit root eingeloggt und die Dateien in httpdocs gefunden. Jetzt habe ich mit erschrecken auch festgestellt, dass die Dateien Root-Rechte haben.
drwxr-xr-x 3 root root 61 Jul 24 14:56 LaCapitolFcu
Jetzt traue ich dem Server nicht mehr. Am besten wäre es wohl, den Server nochmals komplett aufsetzen. Meine Frage nun, wie so etwas passieren kann? Die Kiste wurde gehackt!
In access.log oder messages habe ich keine bemerkenswerten Einträge gefunden. Mich würde das ganze aber schon interessieren, wie fremde Dateien auf unseren Server gelangen und das auch noch mit Root-Rechte.
Gute Hacker hinterlassen (fast) keine Spuren. Die sind daran interessiert einen gehackten Rechner möglichst lange selbst zu nutzen ...
Im 1&1 Control Center habe ich nun die Möglichkeit eine Server-Initialisierung durchzuführen.
Initialisierung heißt: die Kiste wird komplett platt gemacht und das neue Betriebssystem wird aufgespielt. Du solltest also eine Datensicherung haben (solltest Du eigentlich immer haben ;-) ). Ach so: Du solltest eine Datensicherung haben, die sauber ist. Sonst sind die Hacker ziemlich schnell wieder 'online'
SUSE 10.1 mit Plesk 8.1 (64 bit)
Die ist OK. aktuelle Bugfixes sind verfügbar und Plesk wird auch schon als Version 8.2 angeboten (als update nach der Installation).
SUSE 9.3 mit Plesk 8.0 (64 bit) Fedora Core 4 mit Plesk 8.0 (64 bit) Fedora Core 4 Minimalsystem (64 bit) Debian 3.1 (stable/sarge) Minimalsystem (64 bit)
Grüße Nochmal: als Betreiber eines Root-Servers bist DU!!! für alles Verantwortlich was mit der Kiste passiert!!! Du solltest dir überlegen, ob ein 'managed' Server für dich nicht besser ist.
Viel Glück Rolf -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org