Webseite gehackt?

K

Koarlikoarl

0
Hallo ich habe einen Managed Server bei 1und1
gestern und heute war meine Webseite unerklärlicherweise für mehrere Stunden nicht erreichbar.
Auch 1und1 tappt noch im Dunklen
"Heute hatten wir festgestellt, dass der Server gegen 7:30 ebenfalls eine derart hohe Last aufwies, dass der Apache down war. Daher haben wir diesen nun neu gestartet. Die Ursache bleibt jedoch weiterhin im Dunkeln."


An den Zugriffszahlen kann es nicht liegen, die waren davor immer normal. Könnte so etwas durch einen Hackerangriff zB. auf den Webspace passieren...


Mir ist dann nur via FTP folgende Datei im root aufgefallen:
.viminfo
Erstellungsdatum war heute am Vormittag zu einem Zeitpunkt wo die Seite offline war.
Inhalt der Datei:

Code: 
# This viminfo file was generated by Vim 7.2.
# You may edit it if you're careful!

# Value of 'encoding' when this file was written
*encoding=latin1


# hlsearch on (H) or off (h):
~h
# Command Line History (newest to oldest):
:q!
:w

# Search String History (newest to oldest):

# Expression History (newest to oldest):

# Input Line History (newest to oldest):

# Input Line History (newest to oldest):

# Registers:

# File marks:
'0  1  5  ~/index.html

# Jumplist (newest first):
-'  1  5  ~/index.html

# History of marks within files (newest to oldest):

> ~/index.html
    "    1    5
    ^    1    6
    .    1    5
    +    1    5


Habe diese natürlich sofort gelöscht und die Zugangsdaten geändert. Der Inhalt der Datei sagt mir nichts aus...


Vielleicht weiß einer weiter...
 
Die Datei ist eine Konfigurationsdatei des Editors ViM. Wenn diese im /root lag, dann heisst das nichts anderes, dass Root diesen Editor verwendet hat. Und wenn man der ViM-History darin glauben darf, wurde mindestens eine Datei bearbeitet, vermutlich die ~/index.html.
 
bitmuncher hat gesagt.:
Die Datei ist eine Konfigurationsdatei des Editors ViM. Wenn diese im /root lag, dann heisst das nichts anderes, dass Root diesen Editor verwendet hat. Und wenn man der ViM-History darin glauben darf, wurde mindestens eine Datei bearbeitet, vermutlich die ~/index.html.
Zum Vergrößern anklicken....

Ich habe aber keinen Editor namens ViM und die Datei mit Sicherheit nicht hochgeladen.
Eine index.html habe ich gar nicht im root-Verzeichnis

Ich verwende übrigens CMS Joomla. Vl hilft das weiter
 
Du hast ganz sicher einen 'vi' oder 'vim' auf dem Server. Der ist Standard bei Rootservern. Ist quasi der Standard-Editor für Sysadmins. Und die Datei wird nicht hochgeladen sondern bei der Benutzung des Editors angelegt. Hat sich evtl. ein Support-Mitarbeiter auf dem System eingeloggt und dort irgendwas überprüft?

Und ja, Joomla ist nicht gerade für seine Sicherheit bekannt. Da sollte dann wenigstens jemand den Server verwalten, der sich damit auskennt. Scheint bei dir ja nicht unbedingt der Fall zu sein.
Gibt's ungewöhnliche Log-Einträge in den Webserver-Logs?
Schonmal rkhunter durchlaufen lassen und auf Rootkit gecheckt?
Gibt's neue Socket's im System, die auf eine Backdoor hinweisen?
Sind ungewöhnliche Kernel-Module geladen?
Liegen vielleicht Bot-Reste in einem Temp-Verzeichnis (typisch, wenn eine Sicherheitslücke in Joomla ausgenutzt wurde)?
Laufen ungewöhnliche Prozesse?
Diese Fragen müsstest du mindestens erstmal beantworten, bevor man irgendwas darüber sagen kann ob der Server gehackt wurde. Natürlich kann die viminfo-Datei auch bei einem Angriff entstanden sein. Manche Exploits nutzen ViM um Daten in angreifbare Buffer zu "streamen" und so Overflows auszulösen. Genau so kann sie aber auch einfach bei einem Wartungszugriff angelegt worden sein. Sie sagt daher nichts über den Zustand deines Servers aus. Die könnte auch bei einem fehlgeschlagenen Angriffsversuch angelegt worden sein. Und... Warum läuft kein IDS, das Änderungen am System überwacht?
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben