Wenn du sicher weißt, dass jemand Zugang hatte würde ich erst mal neu aufsetzen. Woher willst du nicht wissen welche Hintertüren der Angreifer schon alle geöffnet hat um wieder vorbeizukommen?Yannici hat geschrieben:29.08.2017 16:13:43Werde also als erste Maßnahme den Login abschalten und nur noch per Schlüssel authentifizieren lassen.
"bashd" Prozess mit über 100% CPU
Re: "bashd" Prozess mit über 100% CPU
Debian Testing + Gnome | Linux-Anfänger seit 04/2003
http://files.mdosch.de/2014-07/0xE13D657D.asc
http://files.mdosch.de/2014-07/0xE13D657D.asc
Re: "bashd" Prozess mit über 100% CPU
Die Frage ist: Kannst du alles exakt nachvollziehen was der Angreifer gemacht hat? Die Antwort ist nein. Somit kannst du nicht sicher sein, ob der Angreifer dir noch andere Schadsoftware untergeschoben hat, die du (noch) nicht entdeckt hast. Ich nehme an, dass du die AGB gelesen hast, bevor du den Server bestellt hast?Yannici hat geschrieben:29.08.2017 15:12:47Wenn das Problem wirklich Wordpress oder andere PHP-Software ist, dann macht es doch wenig Sinn den Server neu aufzusetzen und mit denselben DingenTintom hat geschrieben:29.08.2017 15:02:58Warum erst nach 3-4 Tagen? Du hast doch gesehen, dass dein System erfolgreich übernommen wurde und du keine Ahnung hast warum. So etwas ist grob fahrlässig!
neu zu installieren oder? Da wäre doch der Zugriff dann doch wieder genauso möglich ...
Natürlich wäre ein Neuaufsetzen am Besten, aber es kostet Zeit und bedeutet Aufwand.
Allein diese beiden Punkte kannst du mit einem kompromittierten System nicht mehr sicherstellen und haftest gegenüber dem Hoster und Dritten für daraus entstandenem Schaden.Strato AGB hat geschrieben:6.6 Der Kunde ist verpflichtet, seine Systeme und Programme so einzurichten, dass weder die Sicherheit, die Integrität, noch die Verfügbarkeit von Systemen, Netzen und Daten von STRATO oder Dritten beeinträchtigt werden.
[...]
6.11 Die Nutzung der STRATO Dienste zur Verbreitung von Schadprogrammen oder missbräuchlich agierenden Botnetzen, zur Versendung von Spam-Nachrichten oder für Phishing, für Marken- und Urheberrechtsverletzungen, bzw. -piraterie, betrügerische oder irreführende Praktiken, Produktfälschung oder sonstige Verhaltensweisen, die gegen anwendbares Recht verstoßen, ist untersagt.
Die einzig sinnvolle Reihenfolge ist das System vom Netz nehmen, ein Image für weitere Analysen ziehen (kannst du dir in diesem Fall sparen weil du die Lösung ja schon gefunden hast) und das System neu aufsetzen. Letzteres im im Zweifel immer günstiger als Haftungsansprüche Dritter durch eine SPAM/Porno/sonstwas-Schleuder!
Re: "bashd" Prozess mit über 100% CPU
Ich werde den Server definitiv neu aufsetzen. Das mit den AGBs ist natürlich korrekt und ich will ja auch sicher gehen, dass mein Server wieder von fremden Zugriffen frei ist.
Wie ich sehe versucht der Angreifer auch jetzt noch mein neues Root Passwort zu "bruteforcen". Nachdem ich neu aufgesetzt habe kann ich das ja wiederrum verhindern indem
ich nur noch Logins per Schlüssel erlaube, korrekt?
Dann mach ich mich morgen da dran ...
Wie ich sehe versucht der Angreifer auch jetzt noch mein neues Root Passwort zu "bruteforcen". Nachdem ich neu aufgesetzt habe kann ich das ja wiederrum verhindern indem
ich nur noch Logins per Schlüssel erlaube, korrekt?
Dann mach ich mich morgen da dran ...
Re: "bashd" Prozess mit über 100% CPU
Natürlich ist es so voreingestellt. Wie hättest du ansonsten zur Ersteinrichtung auf den Server kommen sollen?Yannici hat geschrieben:29.08.2017 16:13:43Das ist vom Provider so standardmäßig eingestellt (Strato).
Re: "bashd" Prozess mit über 100% CPU
Damals wie gesagt als blutiger Anfänger überhaupt keine Gedanken darüber gemacht.owl102 hat geschrieben:30.08.2017 05:08:50Natürlich ist es so voreingestellt. Wie hättest du ansonsten zur Ersteinrichtung auf den Server kommen sollen?
Re: "bashd" Prozess mit über 100% CPU
Mal ganz simpel gefragt: Warum muss root sich überhaupt per ssh einloggen können? Gibt es dafür einen zwingenden Grund? Wenn nein, Root-Login per ssh deaktivieren.Yannici hat geschrieben:29.08.2017 23:33:11Wie ich sehe versucht der Angreifer auch jetzt noch mein neues Root Passwort zu "bruteforcen". Nachdem ich neu aufgesetzt habe kann ich das ja wiederrum verhindern indem
ich nur noch Logins per Schlüssel erlaube, korrekt?