Hacker-Angriff: Wer kann mir meine Error-Log/ den Server mal analysieren? Bevorzugt Raum Berlin.
am 03.10.2010 - 22:11 Uhr in
Hallo,
heute Nachmittag ist mein Server abgeschmiert. Meine Error-Logs werden monatlich geschlossen und neu angefangen - die für Oktober ist jetzt schon 5MB groß. Offensichtlich gab es heute unzählige seltsame Zugriffe auf meine Projekte und einige der Fehlermeldungen lassen für mich den Schluss zu, dass ein unangenehmer ehemaliger Auftraggeber, der auch nicht vor unfeinen Methoden zurückschreckt, dahinter stecken könnte. Ich würde daher gerne mal jemanden zu Rate ziehen, der sich a) mit Drupal und Server-Administration sehr gut auskennt und der b) auch bereits Erfahrung mit Hacker-Angriffen hat und sich mit deren Methoden auskennt, um mal durchzuchecken, ob das wirklich ein Hacker-Angriff war und ggf. Vorschläge zu machen, wie ich mich zukünftig davor schützen könnte.
Viele Grüße,
Tobias
- Anmelden oder Registrieren um Kommentare zu schreiben
Hi, tja da hast Du ganz
am 04.10.2010 - 03:34 Uhr
Hi,
tja da hast Du ganz schlechte Karten.
Als eehmaliger Auftraggeber hatte er ja wohl einmal Zugriff auf Drupal. (und mehr)
Das einfachste wäre ALLE Passwörter zu ändern (DRUPAL,mysql,FTP,etc.)
a)
Selbst wenn Du das nachweisen könnest wäre der Aufwand viel zu gross!
Um den Hacker zu kriegen müsstet Du den Sever von einer anderen Maschine
über geraume zeit überwachen lassen (monitoring).
Wenn Du Glück hast hat er den Server unabsichtlich abgeschossen beim Versuch
einzudringen.
Ein gezielter Angriff (mit dem Wissen dass der Server abstürzen könnte) wäre wohl eher Nachts gewesen.
Wenn Du Pech hast konnte er schon alles auslesen was er wollte, denn
als anonymer webuser den Server abzuschiessen ist sehr schwer (ggf. DOS Attacken)
als angemedeter benutzer kann das allerdings sehr leicht sein.
b)
gib exploit scanner bei goggle ein, lade einen runter und scanne mal deine Seite
sieh dir nicht nur die error logs sondern auch die access logs der gleichen IP
Als ehemaliger Auftraggeber kennt er unter umständen Module,Templates, die den User Input nicht parsen
oder andere Schwachstellen.
Lies im Logfile nach worauf er zugreifen wollte und sichere diese Dinge ab.
LG
https://awri.ch
Ich habe eine Schweizer Tastatur und daher kein scharfes ß ;-)
Danke erstmal für die Tipps,
am 04.10.2010 - 07:36 Uhr
Danke erstmal für die Tipps, aber dann habe ich wohl die gröbsten Einfallmöglichkeiten wirklich vorher beseitigt: in der setting.php habe ich die Angaben zu der Datenbank gelöscht und die Datenbank auch von meinem Server entfernt, als ich dem die Dateien geschickt hatte. Also um sein Projekt geht das jetzt auch gar nicht, sieht so aus, als wenn er sich mein anderes Projekt vorgenommen hätte. Hier wurden die einzigen Formulare, die ohne Login zugänglich sind, immerzu aufgerufen. Und weil in der Error-Log so viele SQL-Abfragen sind, die nicht funktioniert haben, weil der SQL-Server abgeschmiert ist, wollte ich mal einen Drupal-Experten draufschauen lassen - ehrlich gesagt kenne ich die ganzen SQL-Abfragen von Drupal nicht und kann daher nicht unbedingt abschätzen, ob das gewöhnliche oder ungewöhnliche Abfragen sind.
SQL Server (Microsoft?)? von
am 04.10.2010 - 08:24 Uhr
SQL Server (Microsoft?)?
von welchem Logfile redest Du (Drupal LOG,SQL Server LOG,http LOG)?
Ich gehe davon aus Drupals error LOG (wegen den SQL Statements)
In diesem LOG findest Du ja nur die Statements die nicht gingen,
nicht aber die die funktioniert haben.
Ob die Abfragen normal sind oder nicht siehst Du an der Zeitspanne
in der die submits aufeinander folgen (kann ein Mensch so schnell sein ?).
Dass er allerdings mit solchen submits den SQL Server lahmlegen kann
ist ungewöhnlich und sollte gar nicht gehen.
Solche Attacken sind nicht ungewöhnlich und wenn das bei deinem Server
geht hast Du schon ein Grundlegendes Problem.
Welchen SQL Server verwendest Du (genaue Version)?
LG
https://awri.ch
Ich habe eine Schweizer Tastatur und daher kein scharfes ß ;-)
SQL-Statements findest Du
am 04.10.2010 - 17:01 Uhr
SQL-Statements findest Du auch in der Error-Log des Servers, jedenfalls habe ich die von da. Der Server läuft mit OpenSuse. Und was da genau abgegangen ist, weiß ich auch nicht... daher suche ich ja jemanden, der sich das mal anschauen würde.
Hi, also ich versuche schon
am 04.10.2010 - 18:08 Uhr
Hi,
also ich versuche schon Deine Fragen Möglichst genau zu beantworten.
SQL-Statements findest Du auch in der Error-Log des Servers, jedenfalls habe ich die von da.
Diese SQL Statements haben einen Fehler verursacht, deshalb findest Du Sie im Error LOG.
Was ist mit einem Statement/Zugriff der funktioniert hat?
Dann:
du hast mindest 4 relevante LOGs.
Apache HTTP access LOG
Apache HTTP errror LOG
MYSQL Error LOG
und Drupals LOG (watchdog tabelle).
Da der Hacker durchgekommen ist wirst Du den relevanten Zugriff
warscheinlich nicht in einem Error LOG finden sondern in einem
normalen LOG File finden.
Den Grund warum der MYSQL Prozess abgeschossen wurde findest Du im MYSQL error LOG (vermutlich var/logs)
Du schreibst SQL Server, da geht normalerweise jeder von MSSQL (da nur dieser SQL Server heisst) aus.
Jetzt da du wenigstens SUSE schreibst, vermute ich eine Apache,MysQL Kombination (VERMUTE!!!!).
(Dein SQL Server kann auch Postgre o.ä sein)
FAZIT:
ICH HABE DIR DEN TIPP GEGEBEN DU SOLLST DIE ZEITEN UND DIE IP DER ERROR LOGS MIT DEN ZUGRIFFS LOGS VERGLEICHEN
DANN KANNST DU SEHEN MIT WELCHEN güLTIGEN ZUGRIFF DER HACKER DURCHGEKOMMEN IST.
SIND ALLE SEINE ZUGRIFFE ALLE IM ERROR LOG IST JA ALLES IN ORDNUNG!!!!!
Ich würde mir es nicht antun Deine LOGs zu durchleuchten da die höchste warscheinlichkeit eher bei Deiner Drupal Site liegt.
Den SQL Server abzuschiessen mit:
Apache Exploit = unwarscheinlich
MYSQL Exploit = unwarscheinlich
Drupal Exploit = warscheinlich
Komischerweise habe ich heute schonmal jemanden folgenden TIPP gegeben der ein Problem mit seiner Drupal Site und einem Hack hatte.
Sag Deinem Hoster Bescheid.
Er soll einen Monat lang nicht nur Variablen des HTTP Headers im LOG (Apache Access LOG) speichern sondern den ganzen Request(POST u. GET).
Zu guter was eigentlich das wichtigste wäre ist die Frage ob Du den SQL Server(was auch immer MYSQL,POSTRE,ORACLE) ganz allein benutzt (dedizierter Server)
oder verwenden den auch andere (Vielleicht hatte der Absturz ja andere Gründe).
Denn evtl. kam der Absturz selbst von woanders und die Error LOGS sind meines erachtens normal, genauso wie ein Hacker es evtl. hier und da mal versuchen wird.
Und sollte es Dir wirklich ernst sein dann mach ein Tracert und schau nach aus welchem Netz der Hackversuch kam.
Wenn es nicht gerade eine Hochschule in Asien ist, dann schreibst Du mal den Admin an.
Allerdings jemanden der einen wirklich guten Hack aufdecken kann wirst Du nicht bezahlen können/wollen.
So ein Security Advisor kostet ne Menge Geld und verkauft Dir auch noch ne Firewall die nix bringt.
Das einfachste wäre allerdings den Hoster zu beschuldigen (Witz am Rande, oder hast Du das etwa schon getan!!)
LG
https://awri.ch
Ich habe eine Schweizer Tastatur und daher kein scharfes ß ;-)
Du meinst es ja sicher gut
am 05.10.2010 - 07:41 Uhr
Du meinst es ja sicher gut und ich danke Dir dafür, aber ich habe diesen Forenbeitrag aus gutem Grund in die Rubrik "Jobs" gepackt - ich habe schlicht und ergreifend keine Zeit, mich hier weiter in die Materie einzuarbeiten, will das aber auch nicht völlig unter den Tisch fallen lassen. Also wenn Du Dir das alles mal anschauen würdest, wäre ich Dir dankbar für eine Aufwandseinschätzung und ein Angebot.
Zur Info: es ist ein Dedicated Server mit Root-Zugriff, kein Managed oder Virtual Server.