Server Hack

Musicman75 · 02 Februar 2006, 11:23:56

Hallo,

mein Server wurde im letzten Monat 2 mal gehackt. Hat noch jemand Probleme mit Hackern?
Mein Provider meint dieses Problem liegt an der verwendeten Software für die Pages

Ich verwende für die ganzen Seiten vkpMX und Pragma.

Gibt es irgendwelche Programme die solche Sachen explizit blocken, aufzeichnen oder komplett sperren?

Dabke und Gruß
Steff

munzur · 02 Februar 2006, 11:50:39

Hallo,

Hast du genauere Infos darüber welches Modul etc eine Lücke hat oder sonnstige Infos?

L.g

Musicman75 · 02 Februar 2006, 12:09:46

wenn ich das wüsste wär es wirklich schön. keine ahnung, ich betreibe gerade erst mal datensicherung, dann wird mal wieder neu initialisiert.

munzur · 02 Februar 2006, 12:16:31

Hallo,

Und was pasiert nachdem du gehackt wurdest? Seite leer? Keine Rechte? Also was ändern die?

L.g

Musicman75 · 02 Februar 2006, 12:57:10

Der komplette Server war tot. Da DOS Attacken von meinem Server ausgingen wurde der gesperrt.

munzur · 02 Februar 2006, 13:29:52

Hi,

Also DDOS Atacken nicht auf dein Server sondern von deinem Server?

L.g

FrankP · 02 Februar 2006, 13:41:51

Eine ddos von deinem Server aufgrund eines gehackten pragma? UI! Da kann und sollte dein Provider nähere Hinweise geben. Dann die übliche Vorgehensweise, logfiles des entsprechenden Zeitraums durchgehen, den Angriff finden, Loch stopfen - wenn das dann alles so stimmt. Hast du einen Server mit root Rechten?

Musicman75 · 02 Februar 2006, 18:47:40

ja, hatte auch 2 firewalls am laufen, es waren nur 10 ports offen, alle anderen gesperrt.
deswegen wunderts mich ja auch so.

jubilee · 02 Februar 2006, 20:01:14

Zitatja, hatte auch 2 firewalls am laufen, es waren nur 10 ports offen, alle anderen gesperrt.
deswegen wunderts mich ja auch so.

Was für Firewalls warern das denn ?
Welche Ports waren offen ?
Auf einem Webserver braucht man eigentlich ja nur Port 80, 21, 22, 25, 443

Welche Serversoftware läuft (also welche Server UND welche Versionen der Binaries)

MfG
jubilee

Musicman75 · 03 Februar 2006, 01:00:50

1und1 Rootserver
Suse 9.1, Confixx 3.0
Apache2, PHP 4.x, MySql 3.x
genauer kann ich grad nicht angeben, da ne Reinitialisierung läuft.

Es war der Systemeigene Suse Firewall als auch die vorgeschaltete Firewall die 1und1 anbietet.
Offen waren neben Deinen genannten noch die folgenden Ports:
110, 8443, 143, 465, 993, 995

jubilee · 03 Februar 2006, 08:47:32

110 = POP3
143 Internet Message Access Protocol. (Brauchst Du das

)
8443 Das ist doch irgendein Streamingdienst oder Gameserver ?!
993 IMAP über SSL
995 POP3 über SSL (Bietest Du das überhaupt an IMAP und POP3 über verschlüsselte Verbindung?)

Also bei 143 und 8443 würde ich schon gerne wissen, welcher Server dahintersitzt.

MfG
jubilee

Musicman75 · 03 Februar 2006, 13:05:11

dann werd ich noch nen paar zu machen, brauch ja das alles nicht.

vielleicht auch ne ahnung für was der 465 sein soll?

für was ist denn das ICMP Protokoll?

JoergK · 03 Februar 2006, 16:58:31

Hoi

Zitatvielleicht auch ne ahnung für was der 465 sein soll?

:gucken: http://de.wikipedia.org/wiki/Mailserver

Zitatfür was ist denn das ICMP Protokoll?

:gucken: http://de.wikipedia.org/wiki/ICMP