Hacker greift Server via DoS, dDos oder Flooding an. Suchen einen Profi - Dringend!

Hallo Admins,

wir haben ein kritisches Problem mit unserem Server.

Ein Hacker hatte einige Scripte auf den Server gespielt. (Perl, etc.)
Die hatten wir aber schon vor einer ganzen Weile gelöscht.

Seit einigen Tagen geht ein DoS, dDos oder Flooding Angriff von unserem Server aus.
250 GB Datenverkehr – Normalerweise sind das gerade mal ein paar GB.

Es müssen also noch Schadcode bzw. Sicherheitslücken auf dem System sein.

1und1 hat jetzt den Server erst mal in den Rescue-Mous gesetzt.

Server: Linux Server
Betriebssystem: CentOS5
Software: Plesk v8.6

Wir wissen absolut nicht mehr weiter und brauchen wirklich dringend professionelle Hilfe!
Auch für die Zukunft suchen wir noch einen zuverlässigen Linux Administrator.

Bitte meldet euch – E-Mail: Mailadresse entfernt - Rattiberta

Soweit, erstmal danke!

 

Wie viel bist du denn bereit auszugeben?

 

Vergütung: 300 €

Anforderung:

- Entfernung von Schadcode
- Sicherheitslücke lokalisieren & schließen

Bitte sendet mir Vorschläge für eure Vorgehensweise, sowie eure Anschrift für die Vertraulichkeitsvereinbarung und ein kurzes Profil per E-Mail.

 

Läuft der Server im Rootmodus?
Hat ! und 1 regelmässige updates durchgeführt?
Wie ist der Paketfilter eingestellt?

Gruß
neppo

 

Nee, ich warte nur meine eigenen Server. Ich schick deine Anfrage mal weiter, ob es jemand für die Börse macht....


@neppo1:

...da wird schlicht irgendein Standardscript laufen, welches gekapert wurde. Man soll es nicht glauben, aber meine Server kommen alle ohne Paketfilter aus. Wenn man die Standardimages der großen Hoster nimmt, sollten auch die problemlos laufen, da die in der Regel sehr restriktiv konfiguriert sind - d.h. die Löcher schießt man sich meist selbst ins System.

 

Mag sein,aber viele Administratoren lassen aus bequemlichkeit den Server im Rootmodus laufen,und da bekommt dann jeder der sich ins System hackt dann auch die Kontrolle.Im normal Usermodus kann ein Hacker nicht soviel schaden anrichten da Ihm da einfach die Schreibrechte fehlen.

Gruß
neppo

 

Jaein. Webserver werden nur sehr selten direkt gehackt - alla SSH Zugang knacken o.ä. Der Einbruch erfolgt in der Regel über irgendwelche Webanwendungen und der Schadcode wird dann im Rechtekontext des zuständigen Interpreters ausgeführt. Die Rechte des selbigen dürften in jedem Fall reichen, um das beschriebene Verhalten des Servers zu verursachen.

 

Der Server läuft zur Zeit im Root Modus, der 1und1 Support hat gemeint das erst die Sicherheitslücke geschlossen werden muss.

Neustes Plesk Backup ist aufgespielt, bei der anderen Software bin ich mir nicht sicher, ein Paketfilter ist nicht eingerichtet.

Könnt ihr ein gutes Rootkit empfehlen?

 

Chkrootkit ist ein gutes Tool
Download und beschreibung gibt es hier.
http://www.chkrootkit.org/download/
http://rootwiki.unixfreunde.de/index.php/Chkrootkit

Gruß
neppo