Server wurde gehackt - was tun ?

[grafix]

hallo leute
von einem freund wurde letzten freitag (6.2.09) der server gehackt. er hat eine ip adresse von der/dem jenigen. es gibt ja seiten wo man die ip eingeben kann und dann die provider informationen bekommt.
jetzt wollte ich wissen ob das auch noch funktioniert wenn die ip adresse nicht mehr am selben tag dort eingibt, weil es ja den automatischen ip reset gibt der die ip ja immer ändern lässt.
wenn das noch geht und man dem provider dann ne email schreibt. weis einer was die dann machen oder gibt es vielleicht auch irgendwelche tools um genauere daten rauszufinden z.b. in welchem ort jemand wohnt weil mein kumpel und ich haben schon ne ahnung wer es sein könnte aber einfach jemanden beschuldigen ohne das man genaueres weis ist ja auch nicht richtig.

oder kann man irgendetwas anderes mit der ip adresse tun um heraus zufinden wer es war.
wäre nett wenn mir irgendwer helfen könnte

fg grafix

 

[Johnny Bravo]

Wenn es ein richtiger Hacker war, was ich stark bezweifle, dann wird der mit Sicherheit nicht von zuhause aus den Server gehackt haben - deswegen würde es dann unmöglich zu sein ihn herauszufinden.
Was hat er denn mit dem Server gemacht?
Ansonsten Polizei fragen.

 

[DuckDagobert]

Udn vor allem was ist "gehackt" für dich? Was ist denn das überhaupt für ein Server? Bei welchem Anbieter?

Habt ihr vllt. selbst was verstellt und jetzt geht's nicht mehr? (Jaja, da gibt es einige Spezialisten, die das immer wieder schaffen:fresse

 

[pixelflat]

Der Besitzer einer IP-Adresse muss beim Provider einige Zeit gespeichert werden. Mach mal eine

You do not have permission to view link please Anmelden or Registrieren

mit der IP. Dort siehst du dann den Provider und einen Eintrag für "Abuse Contact". Bei der Telekom sieht das so aus:

remarks: ******************************************************************
remarks: * Abuse Contact: http://www.t-com.de/ip-abuse in case of Spam, *
remarks: * Hack Attacks, Illegal Activity, Violation, Scans, Probes, etc. *
remarks: ******************************************************************

Zusätzlich kannst du mit dem

You do not have permission to view link please Anmelden or Registrieren

die ungefähre Herkunft ermitteln.

Der gehackte Server sollte kein Problem sein. Einfach so schnell wie möglich(!) vom Hoster zurücksetzen lassen. Immer dran denken: der Server läuft auf den Namen deines Freundes und ist jetzt in der Hand eines Unbekannten.

 

[grafix]

naja in der hand des hackers, ist der server anscheinend nicht mehr. er kann den server nicht mehr richtig starten. beim neustart will er nen backup laden und das klappt nicht und neu installation macht klappt auch nicht weil er wärend dessen immer abstürtzt.
aber bei den zwei ips die er hat ist eine im ausland und eine hier in deutschland.
die in deutschland könnte sogar gut von dem jenigen sein von dem wir glauben das er ihn gehackt hat.
die ausländische hat ip hat eine stunde versucht mit mehreren accounts und passwörtern sich zugang zu verschaffen. wahrscheinlich ist die person bei der ausländischen ip über nen proxy reingegangen denke ich mir mal.

danke für eure hilfe aber m,ich intressiert noch was würde der provider eigentlich mit der ip anstellen wenn man ihm die schickt mit den logs

 

[pixelflat]

Erst mal gar nichts. Erst wenn vermehrt Beschwerden über den Anschlussinhaber (den der Provider mit der IP und dem Datum ja herausfindet) eintrudeln, bekommt er vielleicht mal eine Warnung oder sowas.

Aber es bringt relativ wenig, wenn ihr versucht gegen den derzeitigen und vielleicht künftige Hacker so vorzugehen. Besser wäre eine anständige Absicherung des Servers. Schon alleine, dass er per SSH den kompletten Server übernehmen konnte, sollte normalerweise nicht möglich sein (Stichwort

You do not have permission to view link please Anmelden or Registrieren

).

 

[grafix]

nagut dann frage ich mal doch noch etwas weiter um nicht nen neuen thread aufmachen zu müssen.
was sollte man noch alles machen um einen server zu sichern, was sollte auf jedenfall gemacht werden damit der server sicher ist.

dazu gesagt es soll nur eine server software für shoutcast streams laufen. nichts anderes und es ist nen linux server.

 

[pixelflat]

In deinem Fall reicht es nur die Konfigurations-Schnittstelle abzusichern. Dazu habe ich oben schon ein HowTo verlinkt. Desweiteren gäbe es die Möglichkeit den SSH-Zugriff anstatt per Login nur mit Key zu ermöglichen. Damit kann sich nur der einloggen, der den Schlüssel hat (

You do not have permission to view link please Anmelden or Registrieren

).

Dann wäre es natürlich allgemein von Vorteil einigermaßen sichere Passwörter zu verwenden. Das ist vermutlich auch der Hauptgrund, warum der Hacker überhaupt Erfolg hatte. Wäre das Passwort etwas komplizierter gewesen, wäre das so schnell nix geworden...

Ansonsten natürlich dem Bösewicht so wenig Angriffsfläche wie möglich bieten. Also ungenutzte Dienste deaktivieren oder gar nicht installieren.

 

[grafix]

danke für eure hilfe, das hilft uns sicher weiter.