[Postfixbuch-users] OT Site gehackt

Uwe Driessen driessen at fblan.de
Mi Nov 28 15:28:07 CET 2007


Matthias Haegele schrieb: 
> Steht der (gecrackte) Server unter deiner Kontrolle?

Nö leider nicht dann wäre das sehr wahrscheinlich schneller aufgefallen

> Nach einem Befall ist es das wichtigste "Beweissicherung" anzugehen, je
> schneller desto besser,

jo logs sind noch da siehe Mail vorher 

> je weniger Zeit hat der Angreifer seine Spuren zu beseitigen. Wichtig
> wäre es natürlich festzustellen wie der Angreifer Zugriff auf das System
> bekam (PHP-Lücke, Kernel, etc ...). Damit nicht hernach wieder über
> selbige (ungepatchte) das System nochmals gekapert werden kann. Ob er
> Root-Zugriff bekam oder "nur" die "Webseite verunglimpfen" konnte.

Kann ich so nicht sagen aber es schaut eher danach aus das dieser Server einer dringenden
Wartung bedarf

> 
> (In diesem Zusammenhang kann man auch auf offene Ports zu IRC-Bots etc.
> ein Auge werfen).

s.o. 

> 
> "Online-Analyse" bzw. "Offline-Analyse", bei ersterem wird versucht im
> Laufenden System Hinweise zu finden, bei letzterem wird versucht das
> System, kommt natürlich auch darauf an wie verfügbar der Server ist, ob
> man sich "downtime" leisten kann ...

s.o.

> 
> btw: Es ist besser den Server "hart" über den "Poweroff-Knopf, nicht das
> Kommando" auszuschalten, als etwa zu riskieren dass beim Herunterfahren
> irgendwelche Skripte, etc. Spuren beseitigen.

s.o. nicht meiner ich ziehe eh so nach und nach alle Seiten auf den eigenen Server da bin
ich flexibler und kann schneller reagieren. 
> 
> Evtl. hilft die Helix Live CD (statisch gelinkte Programme usw.) zur
> Beweissicherung
> 
> http://www.e-fense.com/helix/contents.php

Hab ich schon von gehört und gelesen auf meinem Server hab ich zur Zeit das logfile auf
dem 2. Bildschirm mitlaufen 

Diese Art der injection schient zumindest auf Windoof Rechner bekannt zu sein 

http://www.threatexpert.com/report.aspx?uid=c6d81498-74d2-4baf-a1e3-f5b2ccd2490e

> 
> Unter Umständen sollte man in so einem Fall einen Experten hinzuziehen,
> man vernichtet leicht Beweise ...

Das interessiert mich nur am Rande da es nicht mein Server ist (hat schon seinen Grund
warum ich alle Domains dort runterziehe)

> (Persönlich würde ich mir es nicht zutrauen das richtig durchzuführen
> (Vor Gericht verwertbar mit md5sums usw. ...)).



> 
> Hoffe mein Halbwissen hilft etwas ;-).

Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397





Mehr Informationen über die Mailingliste Postfixbuch-users