Numelle Geschrieben 31. Mai 2007 Geschrieben 31. Mai 2007 Hallo, ich habe da ein kleines Problem mit unserem Webserver. Wir hatten heut Nacht einen Stromausfall und da musste ich den Server Neustarten. Als das Dingen hoch kam kam auf einmal ein Text. Hello, I have two news for you. A bad one and a bad one.....blabla.... I am an installed RootKit blabla... Auf jeden Fall komme ich nicht mehr an den Login Punkt. SSH Dienst wird auch nicht gestartet. Weiß jemand Rat?? Ausser das DIng neu zu installieren? Denn das würde sich extrem aufwendig gestalten, da da mehrere knifflige Sachen drauf sind die ich so wahrscheinlich nicht mehr einrichten kann weil ich den Server nicht aufgesetzt habe. CHKROOTKIT würde ich gerne ausprobieren geht aber nicht da ich mich nicht auf die MAschine einloggen kann. Kennt einer von euch vielleicht das Rootkit und weis was zu tun ist. Danke schonmal fürs lesen. gruß Zitieren
Carnie Geschrieben 31. Mai 2007 Geschrieben 31. Mai 2007 Dann würde ich sagen zunächst mal das System von CD starten und anschauen was auf der Platte an verdäcthigen Programmen ist. Falls du dich wegen einem geänderten Password nicht einloggen kannst setz das dann auch direkt neu damit du zumindest wieder an den Rechner dran kommst um weitere Massnahmen zu ergreifen. Zitieren
Numelle Geschrieben 31. Mai 2007 Autor Geschrieben 31. Mai 2007 Danke ich werd mich mal dran versuchen. Ich melde mich sobald ich näheres weis. THX Zitieren
carstenj Geschrieben 31. Mai 2007 Geschrieben 31. Mai 2007 Hi, letzten Endes wirst du gar nicht drum herumkommen, das System neu zu installieren, da du nicht weisst, was noch verändert wurde. Zitieren
Numelle Geschrieben 31. Mai 2007 Autor Geschrieben 31. Mai 2007 Hallo, also ich habs hinbekommen. Zumindest mal Übergangsweise. Das RootKit war ein KernelrootKit mit dem Namen S.u.c.kIT Version 1.3a. Es schreibt die Datei /sbin/init um. Zum Glück hatte ich ne Kopie . Also Recover Mode von der Linux Installations CD und dann erst mal das RK deinstallieren, danach init umbenennen (wichtig mit mv) und dann alte init reinnehmen. Genaue Anleitung: Anleitung Sobald das Dingen wieder läuft das Root Passwort mal ändern. Leider ist dies jedoch nur eine Übergangslösung, da man nie genau weiß wo ein Hacker oder ähnliches Überall im System gewerkelt hat. -> Deshalb werde ich wohl wirklich um eine Deinstallation nicht herumkommen aber dies kann ich trotzdem mal beruhigt anfangen weil ich ja an alle Daten auf dem alten Server wieder rankomme.:D Alsdann danke mal an alle gruß Numelle Zitieren
jens.ebinger Geschrieben 31. Mai 2007 Geschrieben 31. Mai 2007 Leider ist dies jedoch nur eine Übergangslösung, da man nie genau weiß wo ein Hacker oder ähnliches Überall im System gewerkelt hat. Ja, weißt du denn, wie er überhaupt reingekommen ist? Nicht, dass du den Server mit genau denselben paketen wieder aufsetzt und er durch die selbe Lücke ruckzuck wieder drin ist? Zwecks generellen Virenschutz/Rootkit-Schutz (im Sinne von Entfernung) hab ich mal nen Extrathread aufgemacht http://forum.fachinformatiker.de/linux-unix/105483-viren-rootkits-linux-entfernen.html#post971358 Ciao Zitieren
Schlaubi Geschrieben 31. Mai 2007 Geschrieben 31. Mai 2007 Ein kompromitiertes System ist in keinster Weise vertrauenswürdig und eine erneute Inbetriebnahme absolut nicht zu empfehlen, sondern schon fast grob fahrlässig. Mit dem Ändern des root-Passwortes und der Deinstallation des RKs ist es nicht getan. Du solltest es, wenn irgendwie möglich, garnicht erst wieder ins "öffentliche" Netz hängen! Aber das weißt Du sicherlich selbst... Zitieren
Numelle Geschrieben 1. Juni 2007 Autor Geschrieben 1. Juni 2007 Ja. Deshalb ist der Server auch schon nicht mehr im Netz und der neue schon fertig eingerichtet. Ich weiß inzwischen auch wie er draufgekommen ist. Anscheinend hat er es tatsächlich geschafft irgendiwe dsas Root Passwort zu bruten. Egal den Server gibts nimmer und root ist von aussen au nimmer zugänglich :-D Zitieren
Marco S. Geschrieben 7. Juni 2007 Geschrieben 7. Juni 2007 Warum lässt man einen direkten root-login zu? Oder hat er zusätzlich noch nen User gehackt? //EDIT: gut das du es jetzt geändert hast Zitieren
Numelle Geschrieben 11. Juni 2007 Autor Geschrieben 11. Juni 2007 Du wirst lachen:D:D:D Genau dasselbe hab ich auch gedacht. (Die server wurden leider vor meiner Zeit hier eingerichtet) Aber auf dem Neuen ist der Root Login für SSH gesperrt. Telnet is ja sowieso deaktiviert. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.