Donnerstag, 9. November 2006
Unsinnig
Ein Rootserverkunde hatte Probleme mit seinem Server, er bat uns darum, dass wir für ihn Servicearbeiten erledigen.
Schon nach dem Einloggen sahen wir, dass etwas nicht stimmt. Wenn ls -lah unbekannte Paramter meldet, darf man in den meisten Fällen schon von einem Rootkit ausgehen. Und dem war auch so.
Wir haben dem Kunden also mitgeteilt, dass wir das, was er sich wünschte, wohl noch machen könnten, aber es keinen Sinn hätte, denn wir mussten davon ausgehen, dass der Hacker das schnell wieder rückgängig machen würde. Wir haben daher davon Abstand genommen und es abgelehnt, weitere Servicearbeiten an einem unsicheren System vorzunehmen (ausgenommen natürlich einem kompletten Neuaufsetzen, damit der Server "clean" wird).
Leider hat unser Kunde trotz umfangreicher Erklärungen, wie schwerwiegend sein System befallen ist, und dass wir ihm den Server gerne neu installieren, nicht verstanden oder verstehen wollen. Er hat seinen Server nun gekündigt.
Schon nach dem Einloggen sahen wir, dass etwas nicht stimmt. Wenn ls -lah unbekannte Paramter meldet, darf man in den meisten Fällen schon von einem Rootkit ausgehen. Und dem war auch so.
Wir haben dem Kunden also mitgeteilt, dass wir das, was er sich wünschte, wohl noch machen könnten, aber es keinen Sinn hätte, denn wir mussten davon ausgehen, dass der Hacker das schnell wieder rückgängig machen würde. Wir haben daher davon Abstand genommen und es abgelehnt, weitere Servicearbeiten an einem unsicheren System vorzunehmen (ausgenommen natürlich einem kompletten Neuaufsetzen, damit der Server "clean" wird).
Leider hat unser Kunde trotz umfangreicher Erklärungen, wie schwerwiegend sein System befallen ist, und dass wir ihm den Server gerne neu installieren, nicht verstanden oder verstehen wollen. Er hat seinen Server nun gekündigt.
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Das Problem ist vielleicht, dass "Installier doch neu" eine typische Windows-Loesungsmethode ist, die bei ALLEM angewandt wird, also auch bei Treiberproblemen usw. Der Linuxer oder Unixer gibt erst viel spaeter auf und hat vorher meist Erfolg.
Richtig ist aber tatsaechlich, dass bei Rootkit-Befall die Installation nur noch komplett niedergemacht werden kann... Egal ob Windows oder Linux. IMHO jedenfalls.
Richtig ist aber tatsaechlich, dass bei Rootkit-Befall die Installation nur noch komplett niedergemacht werden kann... Egal ob Windows oder Linux. IMHO jedenfalls.
Warum sollte das denn bitte der Fall sein?
Ich habe immer irgendwo ein Backup der wichtigsten Systemdateien die gerne von Rootkits ersetzt werden.
Einfach die Platte unter ner Live-CD mounten, den Einbruchsweg ausfindig machen und das Leck stopfen. Infizierte Systemdateien mit den gesicherten überschreiben und das Rootkit genauer unter die Lupe nehmen.
Irgendwelche shell-scripts von den Dingern finden sich immer, damit hat man gute Chancen alles loszuwerden. Ist zwar ein bischen Arbeit aber ich hatte schon mehrfach Erfolg in solchen Fällen.
Ich habe immer irgendwo ein Backup der wichtigsten Systemdateien die gerne von Rootkits ersetzt werden.
Einfach die Platte unter ner Live-CD mounten, den Einbruchsweg ausfindig machen und das Leck stopfen. Infizierte Systemdateien mit den gesicherten überschreiben und das Rootkit genauer unter die Lupe nehmen.
Irgendwelche shell-scripts von den Dingern finden sich immer, damit hat man gute Chancen alles loszuwerden. Ist zwar ein bischen Arbeit aber ich hatte schon mehrfach Erfolg in solchen Fällen.
Es geht, wie Du es beschreibst, ist aber hochgefährlich. Wenn jemand, neben dem Rootkit, noch mehr verändert hat, kann er Dich quasi dauerhaft austricksen, obwohl Du denkst, Du hast ihn raus.
Ich stimme aber zu, dass es in 99,9% der Fälle klappt.
Ich stimme aber zu, dass es in 99,9% der Fälle klappt.
Eine Schätzung, wie häufig diese Flickschusterei zum Erfolg führt, ist überhaupt nicht möglich. Es ist doch gar nicht bekannt, ob es zur Zeit unbekannte, unentdeckte Rootkits gibt. Und das nicht-entdeckt-werden ist ja eine der Hauptaufgaben eines Rootkits.
Somit kann man auch nicht behaupten, dass in 99,9% aller Fälle Flickschusterei zum Erfolg führt, weil das nicht belegt werden kann. Und wenn es eine subjektive Einschätzung ist, halte ich sie für arg optimistisch, erst recht bei einem Kunden, der sich offenbar nicht auskennt.
Eine komplette Neuinstallation von einem bekannt sauberen Medium ist der einzig sichere Weg, alle installierten Rootkits loszuwerden.
Somit kann man auch nicht behaupten, dass in 99,9% aller Fälle Flickschusterei zum Erfolg führt, weil das nicht belegt werden kann. Und wenn es eine subjektive Einschätzung ist, halte ich sie für arg optimistisch, erst recht bei einem Kunden, der sich offenbar nicht auskennt.
Eine komplette Neuinstallation von einem bekannt sauberen Medium ist der einzig sichere Weg, alle installierten Rootkits loszuwerden.
Nachtrag. Die 99,9% gelten, wenn es ein Professioneller tut, der sich damit auskennt (tm), und natürlich nur, wenn wir von einem bekannten Rootkit reden, das einfach von einem Skriptkiddie installiert wurde. Und das sind eben 99,9% der Fälle.
Vielleicht ist die Kündigung die beste Lösung, sofern er sich nicht woanders einen neuen Server holt.
Was so gesehen einer Neuinstallation gleich kommt nochmal den Kopf schüttel
Abgesehen davon das da noch jeden Menge mehr Arbeit dazu kommt...
Was ich mich gerade nur frage, ob diese "Servicearbeiten" in die ((gelegentlich) manitu-übliche) "Wir machen es kostenlos"-Kategorie gefallen sind/wären. Wenn es so ist, werde ich das Kopfschütteln von oben fortsetzen, das ganze liebe lange Wochenende lang und hoffe das es wie mit einer Freundin ist, die einen sitzen gelassen hat: Nachher weiß man immer wie toll das doch eigentlich war, darmals...
Abgesehen davon das da noch jeden Menge mehr Arbeit dazu kommt...
Was ich mich gerade nur frage, ob diese "Servicearbeiten" in die ((gelegentlich) manitu-übliche) "Wir machen es kostenlos"-Kategorie gefallen sind/wären. Wenn es so ist, werde ich das Kopfschütteln von oben fortsetzen, das ganze liebe lange Wochenende lang und hoffe das es wie mit einer Freundin ist, die einen sitzen gelassen hat: Nachher weiß man immer wie toll das doch eigentlich war, darmals...
hmmm... meine Unixmoehren melden bei ls -lah auch unbekannte Parameter.. aber die sind sicher nicht gerootkitet. 
Ich hoffe mal, ihr hab da noch weitere Nachforschungen angestellt bevor ihr den Server "aufgegeben" habt..
Ich hoffe mal, ihr hab da noch weitere Nachforschungen angestellt bevor ihr den Server "aufgegeben" habt..
Also bei einem 50 Euro Root Server Kunden wäre mir die Zeit auch viel zu schade stundenlang nach dem Einbruchsweg zu forschen und dann versuchen die Originaldateien wiederherzustellen.
Viel einfacher ist da wirklich die Neuinstallation. Von den wichtigen Daten hat man ja hoffentlich als Kunde ein Backup *räusper*
Viel einfacher ist da wirklich die Neuinstallation. Von den wichtigen Daten hat man ja hoffentlich als Kunde ein Backup *räusper*
IPv4 vs. IPv6
Du bist hier via
Suche
Ökostrom
Kalender
Kommentare
Mi, 16.05.2012 22:40
Das ist ein Honeypot!
Sobald
ein Zugriff auf diese IP Adres
se erfolgt wird dem nachgegang
en.
zu SIGwas?
Mi, 16.05.2012 21:37
Und ich dachte, die Packung is
t von der PCISIG entworfen.. (
Package and Containers Industr
y Special Interest Group [...]
zu Akamai tot?
Mi, 16.05.2012 20:51
Wie kann man auf die Idee komm
en das...
1. tagsüber und
2.
vor einem Feiertag zu machen?
Unglaublich...
Ic [...]
zu SIGwas?
Mi, 16.05.2012 18:19
Nein wir sind noch immer traur
ig darüber dass die Firma aufg
eteilt wurde 
Mi, 16.05.2012 17:43
und einmal aus München mit (ec
htem) Balulicht ...
http://ww
w.ehrl-sicherheit.de/webseite/
img/neu2942GER5B.jpg
zu SIGwas?
Mi, 16.05.2012 11:30
Wenn das MHD abläuft bekommst
du ein SIGTERM. Wenn du dann e
in paar Tage später dran riech
st ein SIGILL und nach d [...]
zu SIGwas?
Mi, 16.05.2012 10:15
SIG stellt den Combiblock (ein
Konkurenzprodukt zum Tetrapac
k) her und ja, das ist die gle
iche Firma, die mal mit [...]
