[geteilt] Einbruch in TeamSpeak-Server

@An alle die es betrifft.
Es ist doch erstmal rille was er nun für Hardware und Software hat. Es geht allein darum ob es kompatibel ist.

Das hat er nun vor:
Ich hab Ihn darum gebeten einen Backup TS3-Server aufzusetzen, da meiner von dritten kompromittiert wurde.
Das Backup meines TS3-Servers umfasst alles was unter "/opt/ts3/" gespeichert war. Seine Frage dürfte nun gewesen sein wie er mein Backup unter einer Windows-Installation eines TS3-Servers einbindet.

Das Ganze ist nur nötig, da ich meinen Server aus beweistechnischen Gründen noch nicht wieder einsetzen kann.

Übrigens habe ich Ihm auch geraten einfach einen Linux-Server auf zu setzen aber da er sich mit Linux überhaupt nicht auskennt lass ich es Ihn erstmal über Windows versuchen. Warum auch nicht? Ist vorerst eh nur temporär!

PS:
Ihr habt ja Recht aber das bekommt er auch so schon oft genug zu hören!

PPS:
Hoffe jetzt kann mit diesen Infos weitergeholfen werden!

Zitat von tk1908

Ja äh nee.

Warum setzt du den Backup-Server nich selbst auf? Was hindert dich daran?

Also, du hast ne kompromittierte Installation und aus diesem (wahrscheinlich ebenfalls kompromittierten) Backup soll ne 2. Installation entstehen, versteh ich das richtig?

Nochmal, warum setzt du den Backup-Server nich selbst auf? Was hindert dich daran?

Alles anzeigen

Weil ich nicht bereit bin mein System 24-7 laufen zu lassen.

Ich weiß wie auf meinen Server zugegriffen wurde und weiß daher, dass das Backup nicht betroffen ist, da es im geschützten Bereich lag. Der Angreifer beabsichtigte alle Daten vom Server zu löschen aber hatte keinen Zugriff auf den "/root"-Ordner.
Wen er doch Zugriff gehabt haben sollte währe die Datei auch gelöscht wurden. Außerdem stimmte die Checksumme überein welche ich Privat gespeichert hatte! Also dumm bin ich nicht! Nur Legastheniker...

PS: Außerdem ist das mein und Diamant001s Problem.

Zitat von tk1908

Nachtrag:
@Diamant Nochmal, wenn das ganze temporär is, nimm ne Testversion von Server 2008R2 od. 2012R2.

Dann kann er auch genau so gut seine bisheriges System verwenden solange es kompatibel ist!

Zitat von winfreak

Nein, es ist leider auch unser Problem wenn durch unser Anraten irgendjemand oder -etwas zu Schaden kommt.

Was faselst du da eigentlich? /root? Ich dachte der Server lag in /opt/ts3?
Wenn derjenige als root reinkam, hatte er Rechte auf alles. Vermutlich wollte er gar nicht die TS3 Instanz löschen sondern einfach nur zu seinen Gunsten ausnutzen

Checksummen bringen dir übrigens in dem Fall nichts. TS3 hat mehrere Daten, die sich ständig verändern. Du müsstest also nicht nur Checksummen ziehen um die Korrektheit des Downloads zu verifizieren, sondern auch ständig einen diff machen und manuell (oder automatisch durch Heuristik) die Änderungen beleuchten.

Das kauf' ich dir nicht so ganz ab. Setzt das Teil neu auf und gut is.

PS: "Unwissenheit" ist noch mal ein ganz großer Unterschied zu "Dummheit".

Ich rede von einen Backup! Das heißt, ich habe eine Kopie, welche sich in einer ".tar.gz" Datei befindet. Und diese wiederum befand sich im "/root/" und war von vor dem Angriff.

Außerdem habe ich nie davon gesprochen, dass er Zugang über "root" hatte. Es wurde über einen sudo-User zugegriffen und sich zum Glück nicht als root eingelockt.

Zitat von mrshadowtux

Das Backup auf ein und dem selben System? The fuck, das hat mit Backup nichts zu tun..

Ja ich gestehe meinen Fehler!

Zitat von mrshadowtux

Was denn jetzt? Als Root oder nicht als Root? Wenn ein Nutzer in der sudoers steht, dann kann er problemlos als Root agieren..

Ja weiß ich aber hat er wie schon gesagt nicht getan. Ich glaube zu wissen wer das getan hat und weis daher das diese Person darin auch sehr unerfahren ist und ich nochmal Glück im Unglück hatte...

Zitat von tk1908

Ich bin mal so frei:
http://bfy.tw/9n07

Danke.

Zitat von tk1908

@Mods
Bitte schließt das hier.

Warum? Solange dies hier eine sachliche Diskussion bleibt...

Zitat von winfreak

sudo = Derjenige hatte Root-Rechte. Wenns wirklich nur ums TS3 installieren und Einspielen ginge, wäre man schnell fertig. Coni hat ja schon alles dazu geschriben.

@Diamant: Eine Firewall dämmt in dem Fall nur die Zugriffswege ab. Wenn derjenige sich noch schön in der SQLite des TS3 verewigt hat, hat der da auch erst mal admin

Setzt das Ding doch einfach noch mal komplett von vorne auf. So viel Aufwand ist das doch gar nicht. Wir haben mehr Diskussionsaufwand in diesen Thread gesteckt, als es gewesen wäre, den TS komplett neu einzurichten.

Wenn jemand so einfach an Logindaten kommt, würde ich übrigens dafür plädieren, dass du gar keinen Server im Netz betreibst.

Wie schon gesagt war es eine sehr unerfahrene Person und hat nicht "sudo su" oder ähnliches angewarnt! Außerdem ist sicher das das Backup NICHT manipuliert wurde. (Wie schon gesagt)

Und nur mit "sudo cd /root" kommt man da nicht rein, da der Ordner Berechtigung 700 hat. Wie es eben Standard ist!

Zitat von mrshadowtux

cd ist ein shellinterner Befehl und keine Binary. Kann man mit sudo also gar nicht machen, ohne das explizit ner Shell zu übergeben. Aber das nur nebenbei.

Wie hast du denn herausgefunden, was genau er gemacht hat? Zeig doch mal die relevanten Bereiche aus der History der Shell.

Indem ich Streit mit einen Bekanten hatte und am nächsten Tag mir User meldeten das der Server down ist.

Als ich nach sah war der Server nicht mehr Startfähig und sehr viele Dateien und Ordner wie z.B. "/etc", "/opt", "/home" und "/var" waren gelöscht.

PS: Dieser Bekannte hatte ein sudo-Login

Zitat von mrshadowtux

Mach doch mal ein cat .bash_history im Home des Users und gib uns die Ausgabe.

das "/home" existiert nicht mehr...

Zitat von Klebestreifen

das "/home" existiert nicht mehr...

Aber beim root: AHA!!!!

...


cd
rm
rv
rm /home
rm /home/
htop
rm -l
rm --help
rm -r
rm -R /home
rm -R /opt
rm -R /var
rm -R /
rm -R /etc
ls -l
ls -l /
rm -R /bin
rm -R /boot
rm -R /dev
rm -R /run
ls
htop
screen -r
screen -x
shutdown -h now

Dan war er also doch als root drinn!