![RTW-Fahrer](/data/avatars/m/68/68204.jpg?1435868793)
RTW-Fahrer
Bekanntes Mitglied
- Dabei seit
- 14.10.2008
- Beiträge
- 1.724
- Reaktionspunkte
- 0
Hallo, gegeben:
vServer, Debian etch, 1 User: shoutcast (passwort war: 123456
)
so, hatte den Server vor 3 Monaten soweit eingerichtet, also Shoutcast etc.
Jetzt kam vorhin ganz aufgeregt per MSN: Mit dem Server stimmt was nicht.
ich als als root geschaut.
ps -Al, auf dem ersten Blick nix Verdächtiges:
Netstat brachte das:
Also noch schnell die .bash_history geglotzt:
Sooo, nun stelle ich mir die frage, wie kam der jenige:
1.) an den usernamen (shoutcast) ?
2.) wie kam der an das Root-Pass?
3.) wie kann ich die kiste Sicher halten?
So, werde den server heute Nacht mal neu machen.
Systeme hab ich folgende zur Auswahl:
Irgendwelche vorschläge?
Danke fürs Lesen *ggg
edit: Sorry, musste die Smilies deaktivieren. "sie haben 22 Grafiken blabla"![Wink ;) ;)](/styles/default/xenforo/smilies/wink.png)
vServer, Debian etch, 1 User: shoutcast (passwort war: 123456
![No :no: :no:](/styles/default/xenforo/smilies_vb/no.gif)
so, hatte den Server vor 3 Monaten soweit eingerichtet, also Shoutcast etc.
Jetzt kam vorhin ganz aufgeregt per MSN: Mit dem Server stimmt was nicht.
ich als als root geschaut.
ps -Al, auf dem ersten Blick nix Verdächtiges:
also top geschaut, ob das was ungewöhnlich ist. auch nicht.~# ps -All
F S UID PID PPID C PRI NI ADDR SZ WCHAN TTY TIME CMD
4 S 0 1 0 0 75 0 - 466 - ? 00:00:03 init
1 S 0 31963 1 0 76 0 - 388 - ? 00:00:09 syslogd
5 S 0 31999 1 0 82 0 - 374 syslog ? 00:00:00 klogd
5 S 0 32126 1 0 76 0 - 1212 - ? 00:00:14 sshd
1 S 0 32185 1 0 76 0 - 530 - ? 00:00:00 cron
0 S 1000 5176 1 0 76 0 - 7337 - ? 00:03:00 sc_serv
1 S 0 11966 1 0 76 0 - 1079 - ? 00:08:36 bash
1 S 0 13627 1 0 76 0 - 1081 - ? 00:08:42 bash
1 S 0 30122 1 0 76 0 - 949 - ? 00:02:05 bash
1 S 0 3717 1 0 76 0 - 454 - ? 00:00:02 bash
1 S 1000 1873 1 0 76 0 - 972 - ? 00:00:00 screen
0 S 1000 1934 1873 0 76 0 - 8968 - pts/1 00:00:00 sc_serv
4 S 0 14170 32126 0 76 0 - 1948 - ? 00:00:00 sshd
4 S 0 22301 14170 0 75 0 - 973 - pts/3 00:00:00 bash
4 S 0 9694 32126 0 75 0 - 1908 - ? 00:00:00 sshd
4 S 0 18329 9694 0 75 0 - 973 wait pts/0 00:00:00 bash
0 S 0 20154 18329 0 76 0 - 962 - pts/0 00:00:00 nano
4 S 0 24422 32126 0 76 0 - 1908 - ? 00:00:00 sshd
4 S 0 3988 24422 0 76 0 - 975 wait pts/4 00:00:00 bash
0 S 0 3796 3988 0 75 0 - 962 - pts/4 00:00:00 nano
4 S 0 15663 32126 0 76 0 - 1908 - ? 00:00:00 sshd
4 S 0 23968 15663 0 75 0 - 973 - pts/5 00:00:00 bash
4 S 0 32015 32126 0 75 0 - 1908 - ? 00:00:00 sshd
4 S 0 17609 32015 0 75 0 - 975 wait pts/6 00:00:00 bash
4 R 0 4041 17609 0 76 0 - 786 - pts/6 00:00:00 ps
Netstat brachte das:
~# netstat
Aktive Internetverbindungen (ohne Server)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 DIE_IP_VOM_SERVER:webcache p57925A1E.dip.t-di:2155 TIME_WAIT
tcp 0 1068 DIE_IP_VOM_SERVER:8000 g227133035.adsl.al:2303 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:8000 p57925A1E.dip.t-di:2162 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:8000 xdsl-87-78-232-76:63045 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:webcache p57925A1E.dip.t-di:2175 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:8000 p57925A1E.dip.t-di:2122 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:8000 xdsl-87-78-232-76:61043 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:webcache p57925A1E.dip.t-di:2135 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:8000 xdsl-87-78-232-76:60515 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:8000 p57925A1E.dip.t-di:2142 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:8000 xdsl-87-78-232-76:61981 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:54789 85.62.10.12.static:6668 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:8000 xdsl-87-78-232-76:61197 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:8000 xdsl-87-78-232-76:60687 TIME_WAIT
tcp 0 1057 DIE_IP_VOM_SERVER:8000 p57925A1E.dip.t-di:4921 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:8000 g227133035.adsl.al:3496 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:8000 P502c.p.pppool.de:57496 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:8000 xdsl-87-78-232-76:64311 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:8000 xdsl-87-78-232-76:60983 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:8000 P502c.p.pppool.de:57488 TIME_WAIT
tcp 0 220 DIE_IP_VOM_SERVER:8000 p508C63D3.dip.t-di:1281 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:8000 P502c.p.pppool.de:57480 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:8000 P502c.p.pppool.de:57473 TIME_WAIT
tcp 0 1056 DIE_IP_VOM_SERVER:8000 p579F0E04.dip.t-di:4768 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:8000 p579F0E04.dip.t-di:4521 TIME_WAIT
tcp 0 2508 DIE_IP_VOM_SERVER:8000 d90-134-5-189.cus:49376 VERBUNDEN
tcp 0 220 DIE_IP_VOM_SERVER:8000 p57A2F52B.dip.t-di:2385 VERBUNDEN
tcp 0 33291 DIE_IP_VOM_SERVER:8000 xdsl-81-173-139-5.:1801 VERBUNDEN
tcp 0 638 DIE_IP_VOM_SERVER:8000 e182025091.adsl.al:2534 VERBUNDEN
tcp 0 2772 DIE_IP_VOM_SERVER:8000 P502c.p.pppool.de:55638 VERBUNDEN
tcp 0 14200 DIE_IP_VOM_SERVER:8000 d90-134-5-189.cus:49375 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:8000 xdsl-87-78-232-76:64493 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:8000 xdsl-87-78-232-76:62703 TIME_WAIT
tcp 0 31110 DIE_IP_VOM_SERVER:8000 p54897DBB.dip.t-d:53170 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:8000 xdsl-87-78-232-76:62871 TIME_WAIT
tcp 0 3344 DIE_IP_VOM_SERVER:8000 BAA6f13.baa.pppool:2944 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:8000 xdsl-87-78-232-76:63375 TIME_WAIT
tcp 0 688 DIE_IP_VOM_SERVER:ssh ip-88-152-102-174:59349 VERBUNDEN
tcp 0 29040 DIE_IP_VOM_SERVER:8000 p54B46E16.dip.t-d:49572 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:8000 xdsl-87-78-232-76:60863 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:8000 p57925A1E.dip.t-di:2182 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:54798 host229-181-static:ircd VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:54806 host229-181-static:ircd VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:8000 p57925A1E.dip.t-di:2200 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:webcache p57925A1E.dip.t-di:2204 TIME_WAIT
tcp 0 1486 DIE_IP_VOM_SERVER:8000 dslb-084-063-136-1:1108 VERBUNDEN
tcp 0 5851 DIE_IP_VOM_SERVER:8000 dslb-084-063-167-0:4909 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:8000 s8.netcup.net:46371 TIME_WAIT
tcp 0 52 DIE_IP_VOM_SERVER:ssh ip-88-152-59-16.u:64271 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:42784 mx.astl.com.br:6668 VERBUNDEN
tcp 0 26136 DIE_IP_VOM_SERVER:8000 e179103026.adsl.al:2662 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:33963 mx.astl.com.br:ircd VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:33920 mx.astl.com.br:6669 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:33902 mx.astl.com.br:6669 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:33957 mx.astl.com.br:6668 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:33934 mx.astl.com.br:6668 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:8000 s8.netcup.net:46448 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:8000 s8.netcup.net:46455 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:60953 mx.astl.com.br:ircd VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:60875 mx.astl.com.br:6668 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:57377 mx.astl.com.br:6669 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:45787 mx.astl:afs3-fileserver VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:8000 s8.netcup.net:46447 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:33858 mx.astl:afs3-fileserver VERBUNDEN
tcp 0 26733 DIE_IP_VOM_SERVER:8000 HSI-KBW-091-089-0:60407 FIN_WAIT1
tcp 0 1932 DIE_IP_VOM_SERVER:8000 i577B0453.versanet:4066 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:8001 HSI-KBW-091-089-0:60409 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:8000 s8.netcup.net:46414 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:37100 mx.astl:afs3-fileserver VERBUNDEN
tcp 0 676 DIE_IP_VOM_SERVER:8000 BAH271a.bah.pppoo:52110 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:8000 s8.netcup.net:46518 TIME_WAIT
tcp 0 52 DIE_IP_VOM_SERVER:ssh ip-88-152-59-16.u:64402 VERBUNDEN
tcp 0 4598 DIE_IP_VOM_SERVER:8000 HSI-KBW-091-089-0:60434 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:8000 dslb-088-078-122-2:2108 TIME_WAIT
tcp 0 1474 DIE_IP_VOM_SERVER:8000 p548876CB.dip.t-d:49638 VERBUNDEN
tcp 1 0 DIE_IP_VOM_SERVER:webcache dslb-084-063-175-:55277 CLOSE_WAIT
tcp 1 0 DIE_IP_VOM_SERVER:webcache dslb-084-063-175-:55276 CLOSE_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:8000 s8.netcup.net:46481 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:ssh ip-88-152-59-16.u:64189 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:8000 s8.netcup.net:46476 TIME_WAIT
tcp 0 14566 DIE_IP_VOM_SERVER:8000 dslb-084-063-167-0:1183 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:8000 HSI-KBW-091-089-0:61258 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:8000 HSI-KBW-091-089-0:61263 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:ssh ip-88-152-59-16.u:64206 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:8000 dslb-088-078-122-2:2125 TIME_WAIT
tcp 0 0 DIE_IP_VOM_SERVER:50917 efnet.a:afs3-fileserver VERBUNDEN
tcp 1 0 DIE_IP_VOM_SERVER:webcache HSI-KBW-091-089-0:62825 CLOSE_WAIT
tcp 0 1470 DIE_IP_VOM_SERVER:8000 ip-78-94-167-118.:51155 VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:55098 efnet.a:afs3-fileserver VERBUNDEN
tcp 0 0 DIE_IP_VOM_SERVER:55335 efnet.a:afs3-fileserver VERBUNDEN
Aktive Sockets in der UNIX Domäne (ohne Server)
Proto RefZäh Flaggen Typ Zustand I-Node Pfad
unix 3 [ ] DGRAM 3809800822 /dev/log
unix 2 [ ] DGRAM 3809800948
Also noch schnell die .bash_history geglotzt:
su shoutcast
apt-get install lsof
ps auxf
lsof -p 21608
cd /tmp/
ls
ls -al
cd /var/tmp/
ls
ls -al
cat /etc/passwd
ls
chmod 000 /var/tmp/mIRC-botnet -R
lsof -p 27698
ls -al
chmod 000 linux-bnc/ -R
ps auxf
kill -9 27698 21608
ps auxf
ls- al
ls -al
dir
cd ..
dir
su
useradd ts
mkdir /home/ts
chown -R ts /home/ts
passwd ts
su ts
Sooo, nun stelle ich mir die frage, wie kam der jenige:
1.) an den usernamen (shoutcast) ?
2.) wie kam der an das Root-Pass?
3.) wie kann ich die kiste Sicher halten?
So, werde den server heute Nacht mal neu machen.
Systeme hab ich folgende zur Auswahl:
Die Confix-Sachen scheiden aus, weil nur ein Shoutcast laufen wird/soll.Ubuntu 8.04
Ubuntu 7.04
Debian 4.0 (Etch)
Debian 3.1 / Confixx 3.0.9 Bundle
Debian 3.1 (Sarge)
Fedora Core 1
Fedora Core 2
Fedora Core 4
Fedora Core 7
Centos-5
SUSE LINUX 9.3
SUSE LINUX 10
Red Hat 9
debian-lighttpd
Debian GNU/Linux 5.0
gentoo Minimal
Debian 4.0 / Plesk 9.0.0-beta Bundle
Irgendwelche vorschläge?
Danke fürs Lesen *ggg
edit: Sorry, musste die Smilies deaktivieren. "sie haben 22 Grafiken blabla"
![Wink ;) ;)](/styles/default/xenforo/smilies/wink.png)