Thema: Server gehackt - Dateien abgelegt - Fehler finden

Sorry, aber wie kannst Du sagen, dass Du den Server gesichert hast, wenn Du nicht mal weißt, was Log-Files sind?

Du mußt in die Log-Files schauen, die alle Serveraktivitäten protokollieren. Hast darauf Zugriff?

Rooney

Hi,
Logfiles die für dich von Interesse sein könnten: Alle
hauptsächlich auch auth.log, apache2, mysql ( .log ).

Aber ich würde mal sagen auth.log. Es gab in der letzten Zeit wieder vermehrt Angriffe auch deutsche Server, wo einfach verschiedene Usernamen ausprobiert wurden, um auf die shell zuzugreifen. In der auth.log könnte zum Beispiel stehen: Invalid user admin from ...

Wo deine Sicherheitslücke ist können wir dir nicht sagen, das musst du schon selber suchen. Falls du solche Informationen in der auth.log findest, solltest du deine User überprüfen. Es gibt noch hundert andere Möglichkeiten, wo ein Fehler sein könnte.
Zum Beispiel nicht alle Sicherheitsupdates eingespielt, falsche Userrechte oder Verzeichnis- und Dateirechte und und und.

Serversicherheit ist ein sehr großes Thema. Und es gibt nicht viele die es können, aber sehr viele die glauben es zu können.

Mit freundlichen Grüßen
Flobbie

Allerhöchstens "Fremde", die auch der Server KENNT (d.h. es muss ein Account auf diesem Server sein).

Das mit dem "muss FTP gewesen sein" ist übrigens Quatsch, man kann Dateien auch auf anderem Weg auf nem Server ablegen, die dann nix mit dem FTP-Server zu tun habe, so dass der das auch nicht loggt.

BTW: Ich würde noch mal heftigst überlegen, ob es wirklich eine eigener (wenn auch "V") Server sein muss, oder ob ein shared hosting account nicht auch reichen würde. Oder ... ob du dir den Stress (und ggfs zivil- und strafrechtliche Konsequenzen) antun wirklich antun willst und nicht doch lieber einen "managed" Server (gibt's die auch schon als V?) holst.

Zitat von igrimpe

BTW: Ich würde noch mal heftigst überlegen, ob es wirklich eine eigener (wenn auch "V") Server sein muss, oder ob ein shared hosting account nicht auch reichen würde. Oder ... ob du dir den Stress (und ggfs zivil- und strafrechtliche Konsequenzen) antun wirklich antun willst und nicht doch lieber einen "managed" Server (gibt's die auch schon als V?) holst.

Da stimme ich mal zu. Managed V Server habe ich nich keine gesehen, ergibt ja auch keinen Sinn, denn das wäre ja normales Shared Hosting mit anderem Label und viel mehr Aufwand für den Hoster, denn er muss sich um XXX Systeme kümmern als um einige wenige. Managed Server sind ja nur dann nötig wenn soviel Last aufkommt das ein SharedHosting Server mit XXX anderen Kunden darauf nicht ausreicht.

Die Versuche durch Namen raten und default Passwörter auf die Server zu kommen sind alt. Spasseshalber habe ich dem mal einige Zeit zugeschaut (bei einer Auth. per Key kann man das) - da kamen ganze Namensverzeichniss zusammen ;-)

Relevante Logfiles sind erstmal alle. Wo die sich befinden hängt von Deiner Serverkonfig. ab. Heisser Kandidat wäre vermutlich mal var/logs.
Ob diese Logs überhaupt nützlich sind hängt davon ab wieviel Rechte derjenige auf dem System erlangen konnte. Wenn derjenige root Rechte bekam dann muss es schon ein blutiger Anfänger gewesen sein, falls Du in den Logs noch was verwertbares findest.

Das Dateien über das FTP (File Transfer Protocol) oder den FTP Server auf Deinen Webspace gelangten ist möglich, aber unwarscheinlich.
Viel warscheinlicher ist entweder
a) eine Schwachstelle in einem php Skript
b) eine Schwachstelle in einem Serverprogramm

Was es genau war wirst nur Du herausfinden können. Das kann in eine sisyphos Arbeit ausarten. Versionen herausfinden, nachschauen ob wasals unsicher bekannt war usw.
Das gilt nicht nur für joomla, sondern auch das was sonst so auf dem Sever läuft. Beim Kernel angefangen über die ganzen Dienste die auf der Kiste laufen(sshd, httpd, alles was zum Mailserver, ftpserver gehört, usw. usf.)

VServer als Alternative zum shared Hosting weil man normalerweise da zumindest eine "Garantie" über die zur Verfügung stehende CPU-Leistung und den Speicher bekommt, was beim shared Hosting so meines Wissens auch gar nicht möglich wäre. Und wenn ich da halt dummerweise auf nem Server liege, auf dem viel Action ist, bleibt für mich selbst weniger übrig.
Außerdem kann man beim VServer normalerweise zumindest so Sachen wie Scriptlaufzeit und Max Speicherverbrauch nach eigenem gusto einstellen. Beim shared hosting gibt der Anbieter aber normalerweise immer eine Obergrenze vor, an der ich nicht vorbei komme.