OpenBSD 3.0 gehacked

[masao]

Hallo Leute! Unser OpenBSD 3.0 Server wurde gehacked... ich hab mich noch eingeloggt und mit netstat gesehen, dass der Port 113 offen war.

Dann der große Fehler, wobei ich lange überlegt habe, ob ichs tun soll: Ich hab neugestartet. Seitdem kann ich mich nicht mehr einloggen.

Was könnt ihr empfehlen?

 

[JiYu]

Server vom Netz nehmen und logs analyzieren, neu aufsetzen

 

[Azazyel]

Was könnt ihr empfehlen?

Du hast leider nicht geschrieben, welche Dienste der Server überhaupt angeboten hat. Unabhängig davon war es aber äußerst fahrlässig, ein seit drei Jahren nicht mehr unterstützes Release ans Netz zu hängen.

1. Rechner vom Netz nehmen
2. Festplatte sichern für spätere Forensik
3. Rechner neu aufsetzen

 

[masao]

Du hast leider nicht geschrieben, welche Dienste der Server überhaupt angeboten hat. Unabhängig davon war es aber äußerst fahrlässig, ein seit drei Jahren nicht mehr unterstützes Release ans Netz zu hängen.

Der Server war eigentlich total abgeschottet. Sogar SSH war nur selektierten IPs zugänglich (eben wegen dem 1. Remotehole von OpenBSD), das habe ich aber kurzfristig aufgehoben (mein Fehler).

Korrektur: Beim letzten Einloggen war im netstat schon eine Verbindung zu einer fremden IP aufrecht. Und nach dem Neustart war eben kein Einloggen mehr möglich.

Jetzt weiß ich nicht: Sind die Passwörter schon geändert worden? Oder ist das derzeitige Login-Fenster fake?

 

[SierraX]

Ihr muesst den kompromitierten Server physisch vom Netz nehmen. Alle Platten rausnehmen und auf saubere Platten ein neues System aufspielen. Kein Zugang mehr uebers Netz mit dem alten System. Vergesst nicht den Speicher zu dumpen. Zugang nur noch seriell oder bios.

 

[CW]

Hallo Leute! Unser OpenBSD 3.0 Server wurde gehacked... ich hab mich noch eingeloggt und mit netstat gesehen, dass der Port 113 offen war.

Dann der große Fehler, wobei ich lange überlegt habe, ob ichs tun soll: Ich hab neugestartet. Seitdem kann ich mich nicht mehr einloggen.

Was könnt ihr empfehlen?

Hm, neustarten oder nicht, das ist hier die Frage.

Und da sich-selber-einloggen nicht klappt hilft wohl nur noch dies:

a) reboot nochmal

b) beim Bootprompt LEERTASTE

c) boot s ---> damit du in den Singleuser-Mode als ROOT landest (brauchst hier kein PW, es sei denn du hast in der /etc/ttys "insecure" reingemacht...aber ich gehe stark davon aus, dass du dies nicht getan hat, oder?)

d) mount -aw ---> damit du deine mountpoints/LW's bekommst

und viel Spaß beim Auslesen deiner Logs unter /var/log

Ähem....wie wäre es mit der Version 3.9 von OpenBSD?

3.0 ist toter als ein toter Kugelfisch

 

[CW]

Und sollte dies auch nicht gehen, weil z.B. der "bitterböse Hacker" die /etc/ttys geändert hat, dann nehme dir eine LiveCD, boote damit und ändere die /etc/passwd für User 'root' (nachdem du die Mountpoints eingehängt hast, klar?)

Danach neu booten und es sollte gehen.

 

[//*Brainfuck*\\]

Der Server war eigentlich total abgeschottet. Sogar SSH war nur selektierten IPs zugänglich (eben wegen dem 1. Remotehole von OpenBSD), das habe ich aber kurzfristig aufgehoben (mein Fehler).

Korrektur: Beim letzten Einloggen war im netstat schon eine Verbindung zu einer fremden IP aufrecht. Und nach dem Neustart war eben kein Einloggen mehr möglich.

Jetzt weiß ich nicht: Sind die Passwörter schon geändert worden? Oder ist das derzeitige Login-Fenster fake?

Guten Morgen masao na ja, weiss jetzt nicht ob guter Morgen so passend ist,

also Schuldzuweisungen, auch gegen sich selber bringen einem nicht so wirklich hier weiter.
Prinzipiell stimme ich meinen Vorpostern zu der Server muss vom Netz, Logfiles analysiert werden und die Festplatte/n zur Forensic.

So dann wenn Du Dich etwas beruhigt hast, überlege bei ner Tasse Kaffee wie die Zugriffsmöglichkeiten auf euren Server "sind/waren".

Vielleicht war der erfolgreichen Hackantacke, eine "Man in the Midle Aktion " vorausgegangen, das kann Wochen zurückliegen, also kein externer sondern ein interner Angriff.
Ich weiss das will man eigentlich nie so gerne wahrhaben, dann denke mal wie ein Angreifer "wie ist denn bei euch so das Betriebsklima", weiss das hört sich jetzt hart an.

Entwickle eine eigene Konzeption und Strategie, für das nächste Mal.

Wie heisst dieser Spruch noch (nacher ist mann/frau schlauer) jo aber so ein richtiger Trost ist das auch nicht.

der Rudolf

 

[masao]

So dann wenn Du Dich etwas beruhigt hast, überlege bei ner Tasse Kaffee wie die Zugriffsmöglichkeiten auf euren Server "sind/waren". Vielleicht war der erfolgreichen Hackantacke, eine "Man in the Midle Aktion " vorausgegangen, das kann Wochen zurückliegen, also kein externer sondern ein interner Angriff.

Hey Brainfuck, also eigentlich war ich die ganze Zeit cool drauf Aber danke an euch alle für die Tipps. Zum Glück ist es kein Firmenserver, sondern nur ein privater von mir und einigen guten Freunden.

Ich glaub nicht, dass der "Hacker" so weit hineingedrungen ist, ein paar Tage danach waren alle unsere Files noch online abrufbar. Und da wir aktuelle Backups haben, ist der Verlust und der Aufwand fürs Neuaufsetzen erträglich. Dann haben wir wenigstens ein aktuelles OpenBSD.

Falls ich beim Sezieren Probleme hab, melde ich mich wieder. Cheers!

 

[mark05]

hi

grins ob der server wirklich gehackt worden ist wuerde ich bezweifeln ( da sollte
accounting und logs mehr sagen )

ich koennte mir aber auch vorstelle das der allseits beliebte sendmail
eine mail in de queue hatte und diese versenden wollte wo er ja eine ident abfrage macht.
alternativ kann der identd auch gerade aktiv gewesen sein wgen einer abfrage
( port 113 = identd siehe inetd.conf )



holger