Host gehackt, MySQL backup zurückspielen?

[Crypted]

Hi,

mein vServer wurde von ein paar Leuten auf derbste weise gehackt und mussbraucht. Da ging gestern nix mehr, ich konnte das System nicht mehr retten. Das schlimmste an der Sache ist das ich keine backups von meiner DB habe. Ich habe nur die Rohen daten, sprich die *MYI, *.MYD, *.frm Dateien, alle jeweils in dem DB Ordner.

Wie bekomme ich nun diese Daten zurück in eine neu Installierte MySQL DB?

Gruss

Crypted

[kurtf]

Nach meinen Erfahrungen (bin alles andere als MySQL Spezialist) einfach ein Unterverzeichnis mit dem Namen der DB ins Data der MySQL Installation kopieren. Habe so auch schon nachträglich einen prepend hinzugefügt, oder wenn ich am localhost eine zus. Instanz will kopiere ich mir auch nur diese Dateien.

[Crypted]

Genau das habe ich gerade gemacht und es geht. Jetzt muss ich nur noch warten bis mein Server neu aufgesetzt ist und es ausprobieren. Aber ich denke es wir gehen.

Danke dir!!!

Gruss Crypted

PS: Jetzt weiß ich was es heißt ein Opfer von Crackern zu sein. Nie hätt ich gedacht das MIR so etwas passiert. Es hat mir jetzt zwar nicht sehr geschadet aber ich trauere mit all den Menschen die ihre Existenz durch sowas verlieren!

[Heiko H.]

Genau das habe ich gerade gemacht und es geht. Jetzt muss ich nur noch warten bis mein Server neu aufgesetzt ist

Wieso hast Du das vorm Neuaufsetzen gemacht?????
Ich schätze mal Du hast beim Provider eine Neuinstallation angestoßen, oder? Der macht dann nix weiter, als ein Image zurückspielen. Danach ist alles neu! Und alles was vorher da war, weg!

Jetzt weiß ich was es heißt ein Opfer von Crackern zu sein. Nie hätt ich gedacht das MIR so etwas passiert.

Leider wieder einmal Gelegenheit zu sagen: Ein root- oder vServer ist kein Spielzeug! Und es ist ernsthaft zu überlegen, ob man über ausreichend Zeit und know-how verfügt um einen eigenen Server zu betreiben. Dazu gehört nicht zu letzt eine funktionierende Backup-Strategie! Und natürlich die Serversicherheit.
Für viele Ansprüche ist ein Hostingpaket bei einem "vernünftigen" Hoster ausreichend.

Es hat mir jetzt zwar nicht sehr geschadet aber...

Ich hoffe das sehr für Dich!!!, denn gern werden geknackte Server dazu verwandt u.a. illegale Sachen zum Download anzubieten. Dabei handelt es sich nicht nur um Musik, Filme oder Software, sondern z.Bsp. auch Rechtsradikales, Kinderp****grafie und und und...
Leider stehst Du im Fall des Falles als Serverbetreiber dafür gerade!!!

Bitte nimm das nicht persönlich!

Grüße Heiko...

[Crypted]

1. Weil auf dem Server nichts mehr ging! Mit ist schon klar das dann alles weg ist. Ich hab deswegen über den Repair Modus mein alten Container mounten lassen und alles wichtige gesichert. Die Datenbanken gehen jetzt alle, hab sie getestet.

2. Ich habe Zeit und das KnowHow bring ich mir bei, sonst würd ich mir keinen vServer holen. Das Teil ist zum Lernen und für meine Webseiten gedacht.

3. Das ist mir alles bestens bewusst.

[Heiko H.]

Crypted,

wie gesagt, das war weder persönlich und erst recht nicht böse gemeint.
Hast Du denn herausgefunden, wie der Server gehackt wurde?
Wenn Du eine Neuinst. machst, hast Du ja das gleiche System wie vorher. (mit evtl. der gleichen Sicherheitslücke!)

Ich wünsch dir viel Erfolg und helf gern, wenn ich kann

Heiko.

[juergen]

Hallo Crypted,

wenn es zwei schreiben nimmst du das bestimmt wichtiger.. das mit dem zurückspielen der Rohdaten ist ok, aber wirklich : Erst mal alles neu oder nachsehen woher das kam.. leider klappt das in den wenigsten Fällen und niemand weiss wieviele Hintertürchen da noch offen sind.

Was macht dich sicher dass es dein VServer war ?

Ach ja.. je nach Betriebssystem braucht das mysql auch einen User und eine Gruppe mysql ... wenn es die nicht hat (und auch richtige Schreibrechte) wird es den Dienst versagen.

Welches Betriebssystem haste da ?

[Jensensen]

... Hast Du denn herausgefunden, wie der Server gehackt wurde? ...

das ist die zentrale, spannende frage...

[Oliver Georgi]

wo hast Du den VServer - oft bietet doch der Dienstleister automatische Backups der gesamten VServer Umgebung. Prüfe das also mal schnellstens - abers scheinst Du bereits.

Das größte problem oftmals - Passwortqualität. Also hier unbedingt ansetzen und Kasperpasswörter unbedingt vermeiden.

An alle anderen: Haltet Euch bitte mit den üblichen "ist nichts für..." einfach zurück. Niemand will dass das passiert...

Oliver

[Crypted]

- Der vServer ist bei Netclusiv.de. Ich habe da ein Backup zur Verfügung. Leider ist dies etwas veraltet gewesen.

- Ich habe für jede Sache ein anderes PW, nichts unter 10 zeichen. Ich nutze eine PW Datenbank, die doppel abgesichert ist.

- Danke

... Hast Du denn herausgefunden, wie der Server gehackt wurde? ...

das ist die zentrale, spannende frage...

EIn bekannter meinte über SSHd

[juergen]

-
EIn bekannter meinte über SSHd

Dann verlege den Port weg von 22 .. http://www.huschi.net/24_59_de.html

[Crypted]

Jo werd ich alles in Angriff nehmen. Leider ist man im nachhinein erst immer schlauer ^^

[Jensensen]

[x] ISO-OSI level [x]

Nur gut, dass es hier noch ne "handvoll" people: Jürgen, Heiko gibt, die davon "Plan" haben...
Bleibt zu hoffen, [x]

[Crypted]

- 32 stelliges root pass

sshd_config:
- PermitRootLogin no
- AllowUsers *** (user pass ebenfalls 32stellig und ein anderes als root natürlich)
- Protocol 2
- PermitEmptyPasswords no
- mehr als 3 neue Verbindungen/60 Sek.: BruteForce loggen
- mehr als 3 neue Verbindungen/60 Sek.: BruteForce droppen

[Heiko H.]

EIn bekannter meinte über SSHd

Ja, den SSH Port verlegen, ist schon mal eine sehr einfache und wirksame Maßnahme. Ich nutze zusätzlich dieses Perlscript hier. Das "verbiegt" mittels iptables nach einer frei wählbaren Anzahl von fehlerhaften Loginversuchen für die entsprechende IP für eine frei wählbare Zeit den SSH-Port auf einen Upperport (default 2222). Wo natürlich kein Dienst lauscht.
Nach der Verlegung des SSH Ports sind aber kleine Änderungen am Script nötig. Evtl. sind auch noch weitere Änderungen nötig, je nach System und Ausgabe des syslog Daemon. Meld dich, wenn's dich interessiert...

Aber wenn Du schon vor dem erfolgreichen Angriff auf deinen Server ein 32-ig stelliges "sicheres" Passwort verwendet hattest, halt ich den Einbruch per SSH für einigermaßen unwahrscheinlich, denn auch nicht unmöglich. Ich will nur sagen, nicht daß das Einfallstor ein Anderes war und immer noch offen steht.

Viel Erfolg, Heiko...