Teamspeak 3 Server wird gehackt - wie kann man dagegen vorgehen?

  • Guten Tag,
    Seit neustem wird mein TS3 Server auf Debian immer wieder angegriffen. Der Angriff verläuft so, dass der Angreifer sich anscheinend Zugriff auf eine Teamspeak interne Datenbank holt. Er kann sich dadurch dann Berechtigungsschlüssel holen und den gesamten TS3 Server löschen.


    Der vServer ist ausreichend geschützt, jedoch weiß ich wirklich nicht, wie die Person ohne die Rechte an die Datei rankommt.
    Was kann ich dagegen tun? Ich dachte eigentlich TS3 wäre sicher, aber wie es scheint ist dies doch einfach zu umgehen?!


    Nun zu meiner Frage: Habt ihr eine Ahnung welche Schritte ich noch ergreifen kann, damit dieses Problem gelöst werden kann.
    Ich habe die IP der besagten Person. Kann ich mit rechtlichen Schritten gegen diese vorgehen?


    Vielen Dank!
    Gogosjon

  • Sofern es sich nicht wirklich um ein 0-Day Exploit für den TS3 handelt, würde ich auf einen unsicheren SSH Account tippen. Ändere am besten mal all deine Passwörter und prüfe die auth.log auf auffällige Logins.


    Ich habe es auch schon mal erlebt das der TS3 Server im www-root lag und man die SQLite Datanbank einfach runterladen konnte. Ich hoffe mal das ist bei dir nicht so. :D

  • Dankeachön für deine Antwort!
    Wie ich beschrieben habe handelt es sich nicht um ein vom vServer ausgelöstes Sicherheitsloch. Der TS Server läuft unter einem neuen Benutzer im /home Verzeichnis mit den Schreibrechten 0750. Ebenfalls wurde die Passwörter schon geändert und root-Login ist selbstverständlich deaktiviert.


    Das der Angreifer sich Zugriff auf die Ordnerstruktur verschafft hat halte ich für ausgeschlossen. Auch in der auth.log ist nichts dazu zu finden!

  • Werde ich noch einmal überprüfen. Zu meiner anderen Frage: Kann man dagegen nicht Anzeige erstatten? Er dringt ja immerhin in ein sicheres System ein?!

  • Möglich ist das, aber da du ja (bisher) keine Spuren im System gefunden hast, wird man den Täter schwerlich ausfindig machen können. Ich glaube nicht, dass von der Polizei eigene Fachleute eingesetzt werden, die deinen Server untersuchen. Man kann auch daran zweifeln, ob die Sache von der Staatsanwaltschaft überhaupt weiter verfolgt wird.


    Möglich ist auch eine falsche Konfiguration der Rechte in Teamspeak selbst, etwa, dass jeder einen Berechtigungsschlüssel für die Server Admin Gruppe erstellen kann.

  • Und sicher würde ich dein server nicht nennen, wenn man da eindringen kann.

    Wenn es danach geht ist ein Server NIE wirklich sicher. Es ist nur eine Frage der Zeit und der Ausdauer. Man kann den Server soweit absichern, das die Script-Kiddies und Spam-Schleuder-Sucher aufgeben und nicht weitermachen. Deshalb sollte man einen Server auch nicht einrichten und vergessen, sondern regelmäßig kontrollieren und pflegen.

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.