it-swarm.com.de

Hilfe! Mein Server wurde gehackt - .IptabLes und .IptabLex in / boot

Ich verwende einen Ubuntu 6.06 Dapper Server und er wurde gehackt. Ich gebe gleich zu, dass ich Programmierer und kein Systemadministrator bin. Obwohl ich jahrelang mit Unix/Linux gearbeitet habe, sind meine Fähigkeiten als Systemadministrator extrem schwach.

Ich hoste eine Website, auf der Apache 2 und Tomcat ausgeführt werden, um eine Java -basierte Struts-Webanwendung bereitzustellen. Die Leistung der Site wurde sehr schlecht und nachdem ich versucht hatte, das Problem zu verstehen, stellte ich fest, dass ein temporäres Verzeichnis in meinem Ausgangsverzeichnis mit Dateien namens getsetup.hb gefüllt wurde. *

Das war neu, also habe ich ein bisschen mehr herumgesucht und durch Ausführen von ps -ef festgestellt, dass einige Prozesse ausgeführt wurden, die mir nicht bewusst waren und mir ein wenig fremd erschienen: /boot/.IptabLes und/boot /. IptabLex

Ich suchte im Web nach Hinweisen auf diese Dateien und versuchte, netstat auszuführen, um festzustellen, welche fremden Hosts verbunden waren. Sowohl .IptabLes als auch .IptabLex wurden mit IP-Adressen von China Telecom verbunden.

Dies war ein Schock für mich, da ich die Firewall-Software von iptables so konfiguriert hatte, dass nur Verbindungen zum Webserver an Port 80 zugelassen wurden und ssh an Port 22 auf eine statische IP-Adresse beschränkt war, die ich zu Hause verwende, damit ich remote auf den Server zugreifen kann.

Ich habe die Prozesse beendet, die Dateien aus dem/boot-Verzeichnis entfernt und auch Kopien im Stammverzeichnis und in/usr gefunden, die ich entfernt habe. Ich habe auch das root-Passwort geändert.

Wenn ich mich heute wieder anmelde, sehe ich, dass alle Dateien wieder da sind und die Verbindung zu den IPs von China Telecom wiederhergestellt wurde.

Ich habe keine Ahnung, wie ich hier vorgehen soll. Bitte verzeihen Sie meine Unwissenheit, aber ich hoffe, jemand kann mir Anweisungen geben, wie ich von hier aus vorgehen soll, um dieses Problem zu lösen. Anregungen sind willkommen.

Danke im Voraus.

Mike

3
user237315

Wie Thomas in Kommentar 6.06 sagte, ist WEG hinter dem Lebensende. Sie müssen so schnell wie möglich einen Linux-Mitarbeiter beauftragen, der Sie beim Upgrade-Prozess unterstützt.

In der Zwischenzeit keine Panik! Entspannen Sie sich und lesen Sie die folgenden beliebten Themen:

Woher wissen Sie, dass Ihr Server kompromittiert wurde?

Woher weiß ich, ob mein Linux-Server gehackt wurde?

Hoffentlich finden Sie in der folgenden Canonical Question den besten Weg, um mit Ihrem kompromittierten Server umzugehen:

Wie gehe ich mit einem kompromittierten Server um?

Viel Glück!

3
Achu

Ich würde tun, was in den obigen Kommentaren vorgeschlagen wurde, aber denken Sie daran, schalten Sie den Server offline, wenn er dann zu einem Botnetz hinzugefügt wurde, greift er andere Maschinen nicht an und setzt andere durch, was Sie tun gehen durch.

Entfernen Sie die Dateien, und wenn Ihr Computer über ftp/ssh verfügt, entfernen Sie auch alle diese Konfigurationsdateien *, da diese wahrscheinlich RSA-Schlüssel usw. enthalten, sodass jeder, der sie hackt, kein Kennwort benötigt. Das Problem wird jedoch nicht behoben, sondern nur durch eine Neuinstallation:

*Die Konfigurationsdateien befinden sich in .ssh/ usw. in Ihrem Home-Verzeichnis, möglicherweise auch in /root, / usw.

0
Wilf