IP Adressen herausfinden die auf dem Server connectet haben

4 Antworten

Vom Fragesteller als hilfreich ausgezeichnet

alles was da passiert, wird in der Datei /var/log/messages gespeichert. Bei jedem Login und Logout wird eine Zeile mit der IP-Adresse geschrieben. Da die Größe dieser Datei begrenzt wird, werden nicht alle alle Einträge mehr darin zu finden sein. Da alten Daten werden aber in gepackter Form im xz-Format abgelegt. Mit unxz kann man sie wieder lesbar machen.

Bedenke aber, dass Hacker so etwas wissen und bestimmt auch diese Dateien gelöscht haben, um Spuren zu verwischen.

Oft werden "leicht knackbare Server" als Briefkästen benutzt, um Sex-Filme am Kunden zu verteilen. Da hilft einmal ein sichereres Passwort zu benutzen und ständig Überwachungsprogramme laufen zu lassen, die auf unbekannte IP-Adressen aufpassen. Auch das ist für Hacker schwer zu erkennen.

Vielen vielen Dank für deine Antwort! Ja, der Hacker hat die Datei gelöscht. Er hat sie nach und nach gelöscht, bis schließlich die System Ordner weg waren und das System abgestürzt ist. Ich weiß trotzdem, dass er beim Provider Telekom war, allerdings habe ich seine IP nicht mehr gesehen, da der Server in der nächsten Sekunde weg war.

0
@featMarcel

Der Hacker kannte mich. Er hat sich mit dem Server einen Spaß erlaubt und counterstrike Server drauf installiert. Das merkte ich morgens und kontaktierte den Support. Er meinte, dass viel Traffic auf einmal verbraucht wurde und das ich eben nachschauen sollte. Es waren ca. 10 Prozesse durch Counterstrike Server drauf und ich killte sie allesamt. Anschließend habe ich die Festplatte durchsucht, aber nichts von den Servern gefunden. Dann der Schrecken am Nachmittag: Server Absturz und alle Daten weg. Der Support teilt mir mit, dass 13 versteckte Benutzer auf dem Server waren und dass mehrere versteckte Counterstrike-Server Prozesse liefen. Das letzte was man sah, war ein Unbekannter, der sich in der Shell eingeloggt hatte - mit dem Provider t-diadlin.net also Telekom. Ich wollte nach weiteren IPs suchen, aber das System war weg und das Log gelöscht

0

Hallo

Mein Server wurde gehackt, durch einen Bot Angriff, ich muss hohe Traffic Überkosten bezahlen und alle meine Daten sind weg

  • Hattest Du denn keine RSA-Zugangskontrolle installiert?
  • Den Zugang für root unterbunden
  • Eine Firewall eingerichtet?
  • Ein Backup angelegt

und dadurch kann ich nicht mehr aufs System zurückgreifen (wichtige Ordner wie boot oder etc fehlen)

  • Was meinst Du mit zurückgreifen?
  • Wenn Du keinen Zugriff mehr hast, wie willst Du da die Logfiles auswerten?
  • Ein System ohne /etc und ohne /boot kann nicht starten.

Schau mal was Du so angezeigt bekommst:

egrep -i "Authentication failure for illegal user" /var/log/messages
ls /var/www/log/apache2/*
find name error_log /

Linuxhase

Genau das ist ja das Problem. Der Hacker hat auf dem System alles gelöscht, sodass SSH z.B. nicht mehr funktioniert hat! Ich komme jetzt nicht mehr an die Daten ran und die Techniker im RZ haben den Server neu aufgesetzt. Ich hatte ziemlich viel für die Sicherheit gemacht und ich habe den Root Login deaktiviert, allerdings hat sich der Hacker selbst Benutzer Accounts erstellt (zu dem Zeitpunkt als man sich noch mit Root einloggen konnte) und ich habe es echt nicht bemerkt. Mein Fehler soetwas passiert halt mal und trotzdem darf der Hacker das nicht machen - deshalb suche ich weiterhin den Schuldigen. Er kannte mich

0
@featMarcel

@featMarcel

Der Hacker hat auf dem System alles gelöscht, sodass SSH z.B. nicht mehr funktioniert hat!

Es ist niemals das Ziel eines Hackers ein System unbrauchbar zu machen

Eindringlinge wollen in aller Egel ein System kapern um deren Ressourcen für Ihre Zwecke einzusetzen (Spam-Maildämon, Zugang um Speicherplatz für illegale Dateien benutzen ect.)

Ich hatte ziemlich viel für die Sicherheit gemacht

Anscheinend aber nicht zu richtigen Zeit.

ein Fehler soetwas passiert halt mal und trotzdem darf der Hacker das nicht machen

  • Wenn man seinen Server richtig aufsetzt sind die Chancen über ssh nahe Null, an den Server zu kommen.

. Er kannte mich.

  • Wie kommst Du darauf das er Dich persönlich kannte?
  • Wenn das so ist würde ich mal überlegen wem ich mal Zugangsdaten gegeben habe!
  • Neben den bereits genannten Dingen wäre noch ein Portknocking ein zusätzliches Sicherheitsfeature.

deshalb suche ich weiterhin den Schuldigen

  • Wenn Du es nicht geschafft hast Ihn fernzuhalten dann hast Du kaum Chancen.
  • Klar dar er das nicht, aber IMO sollten Noobs auch keine Server betreiben dürfen.

Linuxhase

0

Deinen Server-Daemon willst du nicht nennen? Hast du Gästen Root-Rechte gegeben, oder wie können die deine Systemordner löschen? Was willst du überhaupt mit den IPs, niemand wird dir mitteilen, welchem Namen die zuzuordnen sind. Die meisten Client-IPs sind sowieso dynamisch und ändern sich täglich. Bevor man einen von außen erreichbaren Server aufsetzt, sollte man sich mit der Materie eingehend beschäftigt haben.

Was möchtest Du wissen?