Vorgehen nach Trennung von einem Admin

[Jonas2]

Hallo, ich bin neu hier – ich hoffe ich hab das richtige Forum erwischt, falls nicht bitte verschieben.

Ich muss erst vorweg sagen, dass ich mich nicht so gut mit der Materie auskenne. Die Situation ist nämlich die, dass wir uns von einem Admin trennen müssen (Wir betreiben ein Forum und Blog). Jetzt war seine Aufgabe die Administration des Servers und ich muss sicherstellen, dass er keinen Zugriff mehr hat.

1. Der Login funktioniert per Public Key. Passwörter und root ist deaktiviert. Wie stell ich es am besten an, dass er keinen Zugriff mehr hat? Kann ich seinen Public Key irgendwie löschen? Es gibt zwei Accounts auf dem Server, einer ist meiner und einer gehört ihm Wie deaktiviere ich seinen?

2. An welche Passwörter muss ich denken, damit er auf keinen Fall mehr Zugriff hat? Mir fällt grad nur der SQL-Server und Postfix ein. Wie kann ich die ändern?

3. Wir haben mehrere Subdomains welche mit einem Passwort geschützt sind. Wie und wo ändere ich den Zugriff auf diese?

4. Gibt es sonst noch was, was man in einem solchen Fall beachten muss? Könnte er sich eine Hintertür eingebaut haben?

Nochmals Entschuldigung wegen den vielen Anfängerfragen.

Grüsse, Jonas

[wanne]

Kann ich seinen Public Key irgendwie löschen?

Ja.
Für jeden Benutzer existiert der Ordner $HOME/.ssh/authorized_keys Da sthen die Schlüssel drin, für die der Login erlaubt ist.
Jede Zeile ein schlüssel. (Achtung bei großen schlüsseln 4096Bit werden die Zeilen ganzschön lange.) Am Ende steht für welchen Benutzer der schlüssel ist. Also z.B. wanne@T400 Wenn sich Benutzer wenne vom Laptom mit dem hostnamen T400 einloggen darf. Das ist aber nur Text. Da kann man eigentlich hinschreiben was man will.

An welche Passwörter muss ich denken, damit er auf keinen Fall mehr Zugriff hat?

Das musst du schon selber wissen, was auf deinem Server so läuft.

Wir haben mehrere Subdomains welche mit einem Passwort geschützt sind.

Wie ist das zu verstehen? Subdomains haben keine Passwörter. Das sind einfach namen. Denen gewisse Werte (IP-Adressen, Mail-Server...) zugeordnet sind.

Könnte er sich eine Hintertür eingebaut haben?

Ja, unter Webentwicklern wird dasgerade zum trend. Wenn man sich da geschickt anstellt, ist sowas so gut wie gar nicht zu entdecken. Es gibt einfach zu viele möglichkeinten, wo man das zun kann. Wenn er sowas benutzt ist das allerdingw wirklich krimminell wenn er sowas macht.
Lohnend ist ein Blick in die liste der User, der ans internet hörenden Prozesse und in die crontab. Ggf. findet auch rkhunter was verdächtiges. Da soplltest du dann aber jemand drüber gucken lassen, der sich auskennt.
Aber der einzig wirklich sinnvolle weg ist, ein backup machen und wenn er einbricht einkerkern lassen, neuaufsetzen und den eingang beseitigen.

[Jonas2]

Vielen Dank für die Antwort!

Das musst du schon selber wissen, was auf deinem Server so läuft.

Das weiss ich ja leider nicht, weil ich es nicht installiert habe und das auch nicht mein Gebiet ist. Aber ich dachte da so an die Standard-Sachen, die man so auf dem Server installiert, um ein forum/blog zu betreiben. Vielleicht kann mir da jemand ein paar tipps geben, wie ich das checken kann.

Wie ist das zu verstehen? Subdomains haben keine Passwörter. Das sind einfach namen. Denen gewisse Werte (IP-Adressen, Mail-Server...) zugeordnet sind.

Die sind halt per htaccess geschützt. Irgendwo muss man doch die Passwörter und die Loginnamen festlegen, dass weiss ich leider nicht, wo man das macht.

[wanne]

Die sind halt per htaccess geschützt.

Ah, OK die Webseiten, die unter den Subdomains laufen. Du hast da typishcerweise irgend wo einen Ordner, wo die ganzen html dateien drinhängen (Unter Debian standardmäßig /var/www) da ligen die httacess dateien drin.
.httaccess
findest du mit

Code: Alles auswählen

find /var/www -name ".htaccess"

Da steht dann ein password file drinn z.B sowas:

Code: Alles auswählen

AuthUserFile /home/secure/apasswords

In denen stehen dann die user und deren passwörter in der form: sername:gehashtes Passwort
als z.B. für das Passwärt asdf

Code: Alles auswählen

user1:$apr1$73BLXX6A$5P1dDbxeEBxQ8sxXYMoS71

oder

Code: Alles auswählen

user2:GzaqAYUjejlb6

Sas kannst du austauschen:
Neue gehashte passwörter erzugst du so:

Code: Alles auswählen

openssl passwd -apr1

[fitheach]

wenn das Standardsachen wie Blog und Forum sind, was spricht dagegen, die Inhalte zu exportieren, den Server neu aufzusetzen und die Inhalte wieder einzuspielen?

Darüber hinaus mal überlegen, was die Motivation des Ex sein könnte, ins System zu wollen. GGfs. kann man das auch im real life auffangen.

[Jonas2]

@wanne
Danke!

@fitheach
Darauf wird es wohl langfristig rauslaufen, aber dafür ist nun erst mal keine Zeit. Ich muss jetzt erst mal schnell reagieren und alles so weit sichern wie es geht.

[a.jakob]

Moin,

noch so sachen die Du prüfen solltest..

- FTP zugriffe
- Berechtigungsmodelle der Ordner des Webservers
- mysql Datenbank lauscht die nur auf 127.0.0.1 oder ist extern erreichbar
- Habt ihr phpmyadmin oder sowas drauf?
- Grundsätzlich prüfe mal welche dienste überhaupt laufen.

und.. wenn der Hauptadmin nicht mehr da ist.. denk an die Updates

mfg
andre

[Jonas2]

Auch dir vielen Dank, andre!

- mysql Datenbank lauscht die nur auf 127.0.0.1 oder ist extern erreichbar

Wie finde ich das am besten raus?

- Habt ihr phpmyadmin oder sowas drauf?

Das ist tatsächlich drauf. Man kann es über eine mit htaccess geschützte Subdomain erreichen. Reicht es, wenn ich das Passwort des htaccess ändere?

[KBDCALLS]

Mit nmap dürfte das einfachste sein.

Code: Alles auswählen

nmap -sV hostname

Da käme dann sowas eventuell raus.

Man sieht dann auch gleich welches Programm den Port in Beschlag nimmt.

[Jonas2]

Ok, danke!

Andere Frage, gibt es irgendwelche Programme, die bei einer Passwortänderung zb von root, das neue Passwort an eine Mail-Adresse leiten? Ich hab mir nun mal eine Liste gemacht mit allen installierten Pakete und suche jetzt nach verdächtigen Programmen. Aber die Liste ist riesig und ich kenne das meiste nicht. Vielleicht hat ja wer einen guten Tipp, nach was ich so suchen könnte.

[a.jakob]

mmhh ok.. auch wenn es oben schonmal erähnt wurde.. 100% sicher biste erst nach neuinstallation.

gerade die letzten frage zeigt das Du / Ihr schon ziemlich üble sachen den alten Admin zutraut. Wenn es so ist.. verschwendet keine zeit mehr ein ziel zu erreichen was man eh nicht schafft.. könnte wohl noch einige sachen aus der tiefste Kiste der möglichen Backdoors rausholen .. theoretisch kann jede php datei etc. eine backdoor enthalten.

Setzt den Server neu auf.. macht ne testinstallation damit ihr alles zum laufen bekommt (dazu reicht ne virtuelle maschiene) und dann seit ihr auf einen schlag viel sicherer.

Aber trotzdem zu deiner Frage:
Als erstes alle software prüfen die offende Ports betreibe (siehe post KBDCALLS)
Prüfen ob alle ssoftware aktuell ist.. bzw. über apt-get / aptitude aktualisiert wird.

Zu den passwörtern: oft stehen die auch verschlüsselt in den Dateien (siehe .htpasswd) Das neue kennwort kann man auch gleich verschlüsselt da eintragen.. so das es nie im klartext auf dem Server war. Wenn es dann auch komplex genug ist (viele zeichen, kein wort etc) hilft der dortige Hashwert auch nicht weiter...

Aber wie gesagt.. . neu aufsetzen hilft viiieeell mehr.... und wenns hackt.. findeste hier auch hilfe

MFG
Andre

[DexterNemrod]

Wenn du dich gegen eine Neuinstallation entscheidest, sollte auf jeden Fall mal der neue Admin drüber schauen, der sollte auf jeden Fall davon Ahnung haben!

[Jonas2]

Danke euch beiden. Ja, das Problem ist, es wird wohl keinen neuen Admin geben und ich versuche das nun selbst mal so sicher wie möglich zu kriegen. Neuinstallation wäre längerfristig sicher das Beste, aber ich weiss nicht, ob das so sinnvoll ist, wenn ich das mache. Ich bin zwar schon technikversiert, aber Server waren noch nie so mein Thema. Mit der Konsole arbeiten ist ja kein Problem, aber da gehört wohl noch einiges mehr dazu. Daher wird es langfristig wohl eher auf einen managed Server rauslaufen, auch wenn der teurer ist.

[sys_op]

kleine Ergänzung:

Mal nach "webmin" suchen, ob das installiert ist.
phpmyadmin ein neues Passwort nicht vergessen.
mysql die user durchforsten.

Wenn weitere Server vorhanden sind, auf denen euer Admin Rechte hatte, dort ebenfalls nach Usern suchen, die unbekannt/unerwünscht sind. Die könnte man leicht als Gateway benutzen.
ssh würde ich persönlich an einen neuen User binden (root-login ist ja hoffentlich nicht erlaubt)

[DexterNemrod]

Dann click dir doch irgendwo nen kostenlosen hoster und spiel da mal ein bisschen rum.
Also Blog und Software installieren evtl. die Backups vom Produktivsystem einspielen ... wenn du dann sicher bist kannst du den alten kram platt machen und dann neu aufsetzen.

Freehoster gibt es wie Sand am Meer.
[ot]
Kostenpflichtige Hoster sowieso, ich persönlich nutze uberspace.de.
Da ist der erste Monat kostenfrei und du bestimmst dann den Preis (gibt keine Vertragslaufzeit).
Deren Wiki dürfte dir auch sehr hilfreich sein.
[/ot]