[Postfixbuch-users] OT Site gehackt

Matthias Haegele mhaegele at linuxrocks.dyndns.org
Mi Nov 28 15:02:52 CET 2007 

Uwe Driessen schrieb:
> Hallo Leute 
> 
> Bin zur Zeit auf der Spur eines Hacks der eine von mir betreute Seite befallen hat. 
> Es wurde wie auch immer eine link.php in ein Unterverzeichnis eingeschleust.

Steht der (gecrackte) Server unter deiner Kontrolle?
Nach einem Befall ist es das wichtigste "Beweissicherung" anzugehen, je 
schneller desto besser,
je weniger Zeit hat der Angreifer seine Spuren zu beseitigen. Wichtig 
wäre es natürlich festzustellen wie der Angreifer Zugriff auf das System 
bekam (PHP-Lücke, Kernel, etc ...). Damit nicht hernach wieder über 
selbige (ungepatchte) das System nochmals gekapert werden kann. Ob er 
Root-Zugriff bekam oder "nur" die "Webseite verunglimpfen" konnte.

(In diesem Zusammenhang kann man auch auf offene Ports zu IRC-Bots etc. 
ein Auge werfen).

"Online-Analyse" bzw. "Offline-Analyse", bei ersterem wird versucht im 
Laufenden System Hinweise zu finden, bei letzterem wird versucht das 
System, kommt natürlich auch darauf an wie verfügbar der Server ist, ob 
man sich "downtime" leisten kann ...

btw: Es ist besser den Server "hart" über den "Poweroff-Knopf, nicht das 
Kommando" auszuschalten, als etwa zu riskieren dass beim Herunterfahren 
irgendwelche Skripte, etc. Spuren beseitigen.

> Ich habe die Seite kurzerhand auf meinen Server umgeleitet und habe seit heute morgen ca.
> 3600 Zugriffsversuche auf eine Datei dieses Namens
> Damit die nicht wie auch immer ersetzt werden kann habe ich eine eigene mit dem Namen
> angelegt die nur noch einen Warnhinweis bringt.
> 
> Die Datei wurde leider im der ersten Aufregung einfach nur gelöscht zur Zeit warte ich
> darauf das der Admin des Servers diese evtl. noch mal aus einem Backup rekonstruiert und
> zu ergründen was da gemacht wurde.
> 
> Habt Ihr schon mal etwas ähnliches erlebt?
> 
> Aufgefallen ist das ganze weil eine Mail von Spamcop beim Admin des anderen Servers
> eingetrudelt war mit folgendem Inhalt 
> Evtl könnt Ihr damit etwas anfangen bitte versucht NICHT die Datei auf der Seite
> aufzurufen dann wird eine Sperre von 10 Stunden verhängt 
> 

[...]

Evtl. hilft die Helix Live CD (statisch gelinkte Programme usw.) zur 
Beweissicherung

http://www.e-fense.com/helix/contents.php

Unter Umständen sollte man in so einem Fall einen Experten hinzuziehen, 
man vernichtet leicht Beweise ...
(Persönlich würde ich mir es nicht zutrauen das richtig durchzuführen 
(Vor Gericht verwertbar mit md5sums usw. ...)).

Hoffe mein Halbwissen hilft etwas ;-).

> Mit freundlichen Grüßen
> 
> Drießen


-- 
Grüsse/Greetings
MH


Dont send mail to: ubecatcher at linuxrocks.dyndns.org
--

Mehr Informationen über die Mailingliste Postfixbuch-users