Rootserver auf Sicherheit prüfen

#1 Schönen guten Abend,

Ich bin der Webmaster eines Gaming Projektes. Leider wurde heute unsere Website und dann der gesamte Root-Server gehackt. Vorab, den Hacker habe ich in Skype angeschrieben, da er netter Weise diese Kontaktinformation zurück ließ. Er stammt - laut Profil und Aufschrift auf der HP aus Georgien, was meine Bemühungen ihn anzuzeigen gegen Null laufen ließ.

Meine Frage geht daher eher in die Richtung, wie ich es verhindern kann, in Zukunft erneutes Opfer eines solchen Angriffs zu werden. An den Passwörtern allgemein kann es nicht liegen, jedes PW besteht aus min. 8 zufälligen Zeichen und keines wurde doppelt verwendet.

Was das Schützen eines RootServers angeht bin ich aber noch relativer Frischling.

Der Server läuft/lief auf Windows Server 2008.

Ich freue mich sehr über jede Hilfe.

mfg
Andreas

#2 was läuft den außer dem gameserver noc auf deinem Root?
TS ? IRC ?
wenn diese Unsachgemäß instaliert werden ergebn sich leicht sicherhietslücken.
Hast du deinen Server auch auf dem aktuellen patch/update stand ?

Sind die logfiles noch vorhanden ?
__________
Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier
Protecus Spenden

#3 DA deiner Aussage nach die Website zuerst gehackt wurde stellt sich auch die Frage: Iis? Mit welchen Plugins? Welche Software nutzt die Präsenz?
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#4 Danke für die Antworten.

an N1con: Auf dem Root liefen neben dem GameEmulator noch TS2 mit Perlmod sowie TS3.
Windows Updates wurden immer installiert. Die Logfiles sind leider - soweit ich weiß nicht mehr vorhanden, da wir schon den Auftrag zum Neuinstallieren gestellt hatten um mögliche aufgespielte Trojaner los zuwerden.


an HeVTiG: Die Website wurde zuerst gehackt bzw. wurde mir das als erstes Erkennbar. Auf der index.php stand nur noch 'hackt by ....'. Nach dem ich alle Passwörter geändert hatte setzte ich ein backup von der richtigen index.php wieder auf den Rootserver, sonst konnte ich keine weiteren Schäden feststellen. Es hat dann nicht lang gedauert, war auch diese wieder weg und ich wurde aus dem Remot gekickt, mit dem Fehler jemand anderes habe sich eingeloggt. 1-2 Minuten später wurde auch der andere Admin gekick - wir beide konnten uns nicht mehr einloggen, das wohl die Passworter/Benutzernamen geändert waren. Zu IIS, wir nutzen das nicht, da ich im Vorfeld gelesen hatte, es sei nicht das Gelbe vom Ei. Ich entschied mich daher für die neue XAMPP Version, bei der auch - laut Setup alle Sicherheits Risiken wie kein root für mySQL etc. behoben waren. Wie eingangs auch erwähnt, waren alle Passworter zufällige Zeichenketten mit 5 oder mehr Buchstaben.

Als Homepage "Software" nutzen/nutzen wir ein von mir entwickeltes kleines CMS, das im Grunde nur aus einer News-Funktion für Admins bestand. Ich vermute aber, dass der Uploadscript der Gallery (ebenfalls von mir entwickelt) eine Mögliche Ursache war - leider vergaß ich dort die Dateiüberprüfung, sprich es war möglich auch PHP-Dateien als "Bild" hoch zuladen. Ich bin darauf gekommen, da im Hauptverzeichnis eine Datei war, die nicht von mir ist/war. Es war eine von diesen, mit den man nahezu uneingeschränkten "FTP"-Zugriff via Browser bekommt, sprich Dateien löschen/ändern/hochladen konnte. Die Datei hatte ich aber nach dem Ersten Hacken bereits gelöscht.


Danke für alle weiteren und bereits geschriebenen Antworten.

#5 Au weia,

Zitat

Zu IIS, wir nutzen das nicht, da ich im Vorfeld gelesen hatte, es sei nicht das Gelbe vom Ei. Ich entschied mich daher für die neue XAMPP Version, bei der auch - laut Setup alle Sicherheits Risiken wie kein root für mySQL etc. behoben waren. Wie eingangs auch erwähnt, waren alle Passworter zufällige Zeichenketten mit 5 oder mehr Buchstaben.

Ob das ein guter Tausch war mag ich zu bezweifeln.
Auf der XAMPP Seite steht nämlich auch:

Zitat

http://www.apachefriends.org/de/xampp-windows.html#1217
Wie schon an anderer Stelle erwähnt, ist XAMPP nicht für den Produktionseinsatz gedacht, sondern nur für Entwickler in Entwicklungsumgebungen. Das hat zur Folge, dass XAMPP absichtlich nicht sehr restriktiv, sondern im Gegenteil relativ offen vorkonfiguriert ist. Für einen Entwickler ist das ideal, da er so wenig Grenzen vom System vorgeschrieben bekommt. Für einen Produktionseinsatz ist das allerdings überhaupt nicht geeignet.

Hier eine Liste der Dinge, die an XAMPP absichtlich(!) unsicher sind:
Der MySQL-Administrator (root) hat kein Passwort.
Der MySQL-Server ist übers Netzwerk erreichbar.
phpMyAdmin ist übers Netzwerk erreichbar.
Das XAMPP Verzeichnis ist nicht geschützt.
Bekannte Beispiel-Benutzer bei FileZilla FTP und dem Mercury Mail Server.

Alle diese aufgeführten Punkte können zu schwerwiegenden Sicherheitsproblemen führen, wenn der betreffende Rechner schutzlos, und damit für jede außen stehende Person zugänglich, im Internet agiert. Es ist somit jedem selbst überlassen diese Lücken bei Bedarf zu schließen....

Ich vermute einmal, dass hier, vielleicht auch in Zusammenhang mit deinem Uploadskript, der Knackpunkt ist. M.E. wärst du mit dem IIS wesentlich besser bedient geweasen, es sei denn, du benötigst zwingend irgendwelche apache add ons.

Was jetzt genau passiert ist lässt sich ja nun leider nicht mehr herausfinden.
Ein weitere Möglichkeit wäre es natürlich, dass du Malware auf deinem Rechner hast, was deine Passwörter mitgelesen hat.

Das es evtl. nur ein anderer Admin gewesen kein kann ist ausgeschlossen?
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#6 an HeVTiG: Danke für deine Antwort.
Dass XAMPP offen ist, war mir bekannt. Doch lassen sich alle Punkte, die du oben gegnannt hast auch schließen. Versucht man nun von außen auf XAMPP zuzugreifen, kommt die Meldung "Zugriff verweigert". Ich habe mich auch für XAMPP entschlossen, da es mir von vielen Seiten als "besser als IIS" beschrieben worden ist, WENN man diese Sicherheitslücken schließt, was wir zu 100% getan haben. In wie weit die 2 Uploadscripte damit etwas zu tun haben, kann ich nicht sagen - damit hast du recht.

Dass ich Maleware auf dem Rechner habe wäre theoretisch zwar möglich, ich schließe das aber aus, da ich sonst keinerlei Probleme habe. Auch nicht mit einem anderem Root, den ich allerding nicht handhabe, dort lediglich Webspace und ein paar Datenbank habe.

Ein anderes Mitglied kann es nicht gewesen sein, da außer mir nur der Zugriff hat, der den ganzen Spass finaziert.

Zusammen gefasst, haltet ihr IIS also für die bessere Wahl?

#7 Eine eindeutige Empfehlung würde ich nicht Richtung IIS aussprechen, solange man sich nicht damit auskennt. Ich kann nur sagen, dass ich seit mehreren Jahren einen IIS mit php betreibe und das ohne Probleme.
Allerdings hat man das so seine Malessen, wenn man apache- typische plugins o.ä. sucht, oder wenn man eine Software einsetzt, die eigentlich für den apache geschrieben wurde.
Im Normalfall würde man für Internetdienste ja eh eher z.B. LAMP empfehlen oder gar mit einem anderen Webserver...

Wenn du XAMPP als Fehlerquelle ausschließen kannst, dann brauchst du dir natürlich auch keine Gedanken um den IIS machen...

Es klang halt nur so von deiner Beschreibung, dass die Wahrscheinlichkeit nahe liegt, dass es genau daran liegt. Zusammen mit dem Hinweis von XAMPP, dass es nicht für den produktiven Einsatz gedacht ist., Apache soll ja unter Win auch nicht so stabil laufen..

Ich meine dein Root bietet
- Webdienste
- Teamspeak
- Remotedienste
- Gameemulator
an. Irgendwo hier muss ja das Tor aufgewesen sein. Und eine aktuelle Lücke im 2k8 ist mir nicht bekannt.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#8 du sagtest ja, du hättest den hacker angeschrieben, hat der auch geantwortet, vllt hast du glück und er sagt dir, wie er es gemacht hat.
ne möglichkeit währe es zumindest.

#9 an virenfinder: Ich habe in der Tat mit ihm gesprochen, da er sowohl email als auch einen Skypenamen hinterließ. Verraten hat er mir das aber nicht und selbst wenn, würde ich mich darauf nicht verlassen.

XAMPP etc. ist auch wieder installiert und es gibt bislang auch keine Auffälligkeiten. Ich werde aber mein CMS Marke Eigenbau gegen ein etwas hochwertigeres austauschen. Weiterhin wohl auch mal etwas Geld in die Sicherheit investieren, es ist sonst nur schade um die Arbeit, die der Wiederaufbau verschlingt.

Danke aber vorerst.

#10 naja gibt ja genug die das aus spaß machen. fragen kostet ja nichts, denke ich.
aber da du das schon gemacht hast, hatt sich das ja erledigt.

#11 Tu dir und dem Rest der Spamgemeinde nen gefallen und schmeiß den runter.

A. Wie schon erwähnt unsicher/offen
B: Wenn schäden durch Spam etc entstehen bist du Haftbar,d a du ein Produkt verwendet hast was für diesen Einsatz nicht vorgesehen ist.
C: Schon mal den Apache im XAMPP geupdatet ??? Nee? siehe Punkt D
D: Alles was im XAMPP ist gibt es auch einzeln und wird regelmäig mit Sicherheitupdates versorgt. XAMPP überspringt da mal gerne 2-8 Versionen bevor es was aktuelles gibt
__________
Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier
Protecus Spenden

#12 ich habe das schon mit Apache versucht. Allerdings ging da garnichts, weil ich mich damit einfach nicht auskenne. Ich habe die Anleitung so befolgt, wie sie in der Doku beschrieben war, aber Website hab ich da noch lange nicht gesehn.

Wo ist denn das Problem? XAMPP nutzt doch auch Apache, ob ich das alles einzeln mache, oder in einem Paket, müsste doch egal sein.

#13 Nein, der Unterschied ist XAMPP!
Die Einzelnen Anwendungen/Dienste kanndu dann Updaten wenn sicherheitsupdates anstehen, bei XAMMP ist das nicht so einfach Möglich.

Zu deinem Apache: Schau mal ob irgendwas anderes deinen Port 80 belegt.
__________
Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier
Protecus Spenden

#14 im Moment nur XAMPP

#15 ich installe mir den mal fix und gucke was passiert

brb
__________
Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier
Protecus Spenden