ubuntuusers.de

Mein Computer wurde über meinen Webserver gehackt und ich kann Lubuntu nicht aufsetzen ohne dabei von den Hackern gestalkt zu werden. Meine grub.cfg sieht so aus, was muss ich tun, dass die Hacker nicht mehr in meinen Computer kommen?

meine grub.cfg:

#
# DO NOT EDIT THIS FILE
#
# It is automatically generated by grub-mkconfig using templates
# from /etc/grub.d and settings from /etc/default/grub
#

### BEGIN /etc/grub.d/00_header ###
if [ -s $prefix/grubenv ]; then
  set have_grubenv=true
  load_env
fi
if [ "${next_entry}" ] ; then
   set default="${next_entry}"
   set next_entry=
   save_env next_entry
   set boot_once=true
else
   set default="0"
fi

if [ x"${feature_menuentry_id}" = xy ]; then
  menuentry_id_option="--id"
else
  menuentry_id_option=""
fi

export menuentry_id_option

if [ "${prev_saved_entry}" ]; then
  set saved_entry="${prev_saved_entry}"
  save_env saved_entry
  set prev_saved_entry=
  save_env prev_saved_entry
  set boot_once=true
fi

function savedefault {
  if [ -z "${boot_once}" ]; then
    saved_entry="${chosen}"
    save_env saved_entry
  fi
}
function recordfail {
  set recordfail=1
  if [ -n "${have_grubenv}" ]; then if [ -z "${boot_once}" ]; then save_env recordfail; fi; fi
}
function load_video {
  if [ x$feature_all_video_module = xy ]; then
    insmod all_video
  else
    insmod efi_gop
    insmod efi_uga
    insmod ieee1275_fb
    insmod vbe
    insmod vga
    insmod video_bochs
    insmod video_cirrus
  fi
}

if [ x$feature_default_font_path = xy ] ; then
   font=unicode
else
insmod part_msdos
insmod ext2
set root='hd0,msdos1'
if [ x$feature_platform_search_hint = xy ]; then
  search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1  dc07006e-ee23-44bc-aa76-4201a0a498c6
else
  search --no-floppy --fs-uuid --set=root dc07006e-ee23-44bc-aa76-4201a0a498c6
fi
    font="/grub/unicode.pf2"
fi

if loadfont $font ; then
  set gfxmode=auto
  load_video
  insmod gfxterm
  set locale_dir=$prefix/locale
  set lang=de_DE
  insmod gettext
fi
terminal_output gfxterm
if [ "${recordfail}" = 1 ] ; then
  set timeout=30
else
  if [ x$feature_timeout_style = xy ] ; then
    set timeout_style=hidden
    set timeout=0
  # Fallback hidden-timeout code in case the timeout_style feature is
  # unavailable.
  elif sleep --interruptible 0 ; then
    set timeout=0
  fi
fi
### END /etc/grub.d/00_header ###

### BEGIN /etc/grub.d/05_debian_theme ###
set menu_color_normal=white/black
set menu_color_highlight=black/light-gray
### END /etc/grub.d/05_debian_theme ###

### BEGIN /etc/grub.d/10_linux ###
function gfxmode {
	set gfxpayload="${1}"
	if [ "${1}" = "keep" ]; then
		set vt_handoff=vt.handoff=1
	else
		set vt_handoff=
	fi
}
if [ "${recordfail}" != 1 ]; then
  if [ -e ${prefix}/gfxblacklist.txt ]; then
    if hwmatch ${prefix}/gfxblacklist.txt 3; then
      if [ ${match} = 0 ]; then
        set linux_gfx_mode=keep
      else
        set linux_gfx_mode=text
      fi
    else
      set linux_gfx_mode=text
    fi
  else
    set linux_gfx_mode=keep
  fi
else
  set linux_gfx_mode=text
fi
export linux_gfx_mode
menuentry 'Ubuntu' --class ubuntu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-9c7ea652-cae6-4bf8-b512-9bbb3fcdf369' {
	recordfail
	load_video
	gfxmode $linux_gfx_mode
	insmod gzio
	if [ x$grub_platform = xxen ]; then insmod xzio; insmod lzopio; fi
	insmod part_msdos
	insmod ext2
	set root='hd0,msdos1'
	if [ x$feature_platform_search_hint = xy ]; then
	  search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1  dc07006e-ee23-44bc-aa76-4201a0a498c6
	else
	  search --no-floppy --fs-uuid --set=root dc07006e-ee23-44bc-aa76-4201a0a498c6
	fi
        linux	/vmlinuz-5.4.0-150-generic root=/dev/mapper/lubuntu--vg-root ro  quiet splash $vt_handoff
	initrd	/initrd.img-5.4.0-150-generic
}
submenu 'Erweiterte Optionen für Ubuntu' $menuentry_id_option 'gnulinux-advanced-9c7ea652-cae6-4bf8-b512-9bbb3fcdf369' {
	menuentry 'Ubuntu, mit Linux 5.4.0-150-generic' --class ubuntu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-5.4.0-150-generic-advanced-9c7ea652-cae6-4bf8-b512-9bbb3fcdf369' {
		recordfail
		load_video
		gfxmode $linux_gfx_mode
		insmod gzio
		if [ x$grub_platform = xxen ]; then insmod xzio; insmod lzopio; fi
		insmod part_msdos
		insmod ext2
		set root='hd0,msdos1'
		if [ x$feature_platform_search_hint = xy ]; then
		  search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1  dc07006e-ee23-44bc-aa76-4201a0a498c6
		else
		  search --no-floppy --fs-uuid --set=root dc07006e-ee23-44bc-aa76-4201a0a498c6
		fi
		echo	'Linux 5.4.0-150-generic wird geladen …'
	        linux	/vmlinuz-5.4.0-150-generic root=/dev/mapper/lubuntu--vg-root ro  quiet splash $vt_handoff
		echo	'Initiale Ramdisk wird geladen …'
		initrd	/initrd.img-5.4.0-150-generic
	}
	menuentry 'Ubuntu, mit Linux 5.4.0-150-generic (recovery mode)' --class ubuntu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-5.4.0-150-generic-recovery-9c7ea652-cae6-4bf8-b512-9bbb3fcdf369' {
		recordfail
		load_video
		insmod gzio
		if [ x$grub_platform = xxen ]; then insmod xzio; insmod lzopio; fi
		insmod part_msdos
		insmod ext2
		set root='hd0,msdos1'
		if [ x$feature_platform_search_hint = xy ]; then
		  search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1  dc07006e-ee23-44bc-aa76-4201a0a498c6
		else
		  search --no-floppy --fs-uuid --set=root dc07006e-ee23-44bc-aa76-4201a0a498c6
		fi
		echo	'Linux 5.4.0-150-generic wird geladen …'
	        linux	/vmlinuz-5.4.0-150-generic root=/dev/mapper/lubuntu--vg-root ro recovery nomodeset dis_ucode_ldr 
		echo	'Initiale Ramdisk wird geladen …'
		initrd	/initrd.img-5.4.0-150-generic
	}
	menuentry 'Ubuntu, mit Linux 5.4.0-42-generic' --class ubuntu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-5.4.0-42-generic-advanced-9c7ea652-cae6-4bf8-b512-9bbb3fcdf369' {
		recordfail
		load_video
		gfxmode $linux_gfx_mode
		insmod gzio
		if [ x$grub_platform = xxen ]; then insmod xzio; insmod lzopio; fi
		insmod part_msdos
		insmod ext2
		set root='hd0,msdos1'
		if [ x$feature_platform_search_hint = xy ]; then
		  search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1  dc07006e-ee23-44bc-aa76-4201a0a498c6
		else
		  search --no-floppy --fs-uuid --set=root dc07006e-ee23-44bc-aa76-4201a0a498c6
		fi
		echo	'Linux 5.4.0-42-generic wird geladen …'
	        linux	/vmlinuz-5.4.0-42-generic root=/dev/mapper/lubuntu--vg-root ro  quiet splash $vt_handoff
		echo	'Initiale Ramdisk wird geladen …'
		initrd	/initrd.img-5.4.0-42-generic
	}
	menuentry 'Ubuntu, mit Linux 5.4.0-42-generic (recovery mode)' --class ubuntu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-5.4.0-42-generic-recovery-9c7ea652-cae6-4bf8-b512-9bbb3fcdf369' {
		recordfail
		load_video
		insmod gzio
		if [ x$grub_platform = xxen ]; then insmod xzio; insmod lzopio; fi
		insmod part_msdos
		insmod ext2
		set root='hd0,msdos1'
		if [ x$feature_platform_search_hint = xy ]; then
		  search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1  dc07006e-ee23-44bc-aa76-4201a0a498c6
		else
		  search --no-floppy --fs-uuid --set=root dc07006e-ee23-44bc-aa76-4201a0a498c6
		fi
		echo	'Linux 5.4.0-42-generic wird geladen …'
	        linux	/vmlinuz-5.4.0-42-generic root=/dev/mapper/lubuntu--vg-root ro recovery nomodeset dis_ucode_ldr 
		echo	'Initiale Ramdisk wird geladen …'
		initrd	/initrd.img-5.4.0-42-generic
	}
}

### END /etc/grub.d/10_linux ###

### BEGIN /etc/grub.d/20_linux_xen ###

### END /etc/grub.d/20_linux_xen ###

### BEGIN /etc/grub.d/20_memtest86+ ###
menuentry 'Memory test (memtest86+)' {
	insmod part_msdos
	insmod ext2
	set root='hd0,msdos1'
	if [ x$feature_platform_search_hint = xy ]; then
	  search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1  dc07006e-ee23-44bc-aa76-4201a0a498c6
	else
	  search --no-floppy --fs-uuid --set=root dc07006e-ee23-44bc-aa76-4201a0a498c6
	fi
	knetbsd	/memtest86+.elf
}
menuentry 'Memory test (memtest86+, serial console 115200)' {
	insmod part_msdos
	insmod ext2
	set root='hd0,msdos1'
	if [ x$feature_platform_search_hint = xy ]; then
	  search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos1 --hint-efi=hd0,msdos1 --hint-baremetal=ahci0,msdos1  dc07006e-ee23-44bc-aa76-4201a0a498c6
	else
	  search --no-floppy --fs-uuid --set=root dc07006e-ee23-44bc-aa76-4201a0a498c6
	fi
	linux16	/memtest86+.bin console=ttyS0,115200n8
}
### END /etc/grub.d/20_memtest86+ ###

### BEGIN /etc/grub.d/30_os-prober ###
### END /etc/grub.d/30_os-prober ###

### BEGIN /etc/grub.d/30_uefi-firmware ###
### END /etc/grub.d/30_uefi-firmware ###

### BEGIN /etc/grub.d/40_custom ###
# This file provides an easy way to add custom menu entries.  Simply type the
# menu entries you want to add after this comment.  Be careful not to change
# the 'exec tail' line above.
### END /etc/grub.d/40_custom ###

### BEGIN /etc/grub.d/41_custom ###
if [ -f  ${config_directory}/custom.cfg ]; then
  source ${config_directory}/custom.cfg
elif [ -z "${config_directory}" -a -f  $prefix/custom.cfg ]; then
  source $prefix/custom.cfg;
fi
### END /etc/grub.d/41_custom ###

Froschaspire schrieb:

was muss ich tun, dass die Hacker nicht mehr in meinen Computer kommen?

Den Rechner vom Internet trennen...

und was dann? wie kann ich die grub.cfg editieren? Bzw. wie kann ich meinem Benutzer root-rechte zuerkennen?

Froschaspire schrieb:

und was dann?

Dann installierst du ein System, das nicht seit zwei Jahren aus dem Support ist.

wie kann ich die grub.cfg editieren?

head -n2 /boot/grub/grub.cfg

Bzw. wie kann ich meinem Benutzer root-rechte zuerkennen?

mit Root-Rechten arbeiten

hi! ich habe den head - befehl eingegeben und im terminal erscheint DO NOT EDIT THIS FILE. welches System soll ich mir installieren, ich habe eine 32bit Maschine, da ist lubuntu 18.04 eh halbwegs ok, oder nicht?

Froschaspire schrieb:

Mein Computer wurde über meinen Webserver gehackt

Welche Hinweise gibt es darauf?

Froschaspire schrieb:

hi! ich habe den head - befehl eingegeben und im terminal erscheint DO NOT EDIT THIS FILE. welches System soll ich mir installieren, ich habe eine 32bit Maschine, da ist lubuntu 18.04 eh halbwegs ok, oder nicht?

Nein, denn es ist aus dem Support. Nimm Debian, Slackware etc.

Froschaspire schrieb:

[…] ich habe eine 32bit Maschine, da ist lubuntu 18.04 eh halbwegs ok, oder nicht?

Nein. Im Jahre 2023 ist die Verwendung von Lubuntu 18.04 im Internet auf keinen Fall zulässig, und erst recht nicht, wenn Du dazu neigst, Dein System aus dem Internet hacken zu lassen.

Wenn ein System gehackt wurde, ist sofort diese Prozedur auszuführen:

1. System vom Netzwerk trennen. Kabel heraus reißen.

2. System zwangsweise ausschalten.

3. System mit einem sauberen, vor eigenem Überschreiben geschützten Live-System offline starten.

4. Alle Datenträger löschen: Magnetische Datenträger durch Überschreiben, Flash-Speicher (z.B. SSDs) durch "Secure Erase", USB-Sticks mit dem Hammer zerstören.

5. System neu aufsetzen.

kB schrieb:

Froschaspire schrieb:

[…] ich habe eine 32bit Maschine, da ist lubuntu 18.04 eh halbwegs ok, oder nicht?

Nein. Im Jahre 2023 ist die Verwendung von Lubuntu 18.04 im Internet auf keinen Fall zulässig, und erst recht nicht, wenn Du dazu neigst, Dein System aus dem Internet hacken zu lassen.

Wenn ein System gehackt wurde, ist sofort diese Prozedur auszuführen:

1. System vom Netzwerk trennen. Kabel heraus reißen.

Nein, denn die Buchse und das Kabel müssen heile bleiben. ☺ Bitte daher keine Gewalt anwenden.

DJKUhpisse schrieb:

[…] Nein, denn die Buchse und das Kabel müssen heile bleiben. ☺ Bitte daher keine Gewalt anwenden.

Nein. Bei einem mit Schadsoftware infizierten System hat der Schutz der Nachbarn höheren Rang vor dem physischen Schutz des befallenen Systems. Daher ist in diesem Fall zweckmäßig dosierte kontrollierte und mit Verstand eingesetzte Gewalt zulässig.

kB schrieb:

DJKUhpisse schrieb:

[…] Nein, denn die Buchse und das Kabel müssen heile bleiben. ☺ Bitte daher keine Gewalt anwenden.

Nein. Bei einem mit Schadsoftware infizierten System hat der Schutz der Nachbarn höheren Rang vor dem physischen Schutz des befallenen Systems. Daher ist in diesem Fall zweckmäßig dosierte kontrollierte und mit Verstand eingesetzte Gewalt zulässig.

Das ist maßlos übertrieben. Einen Rj45-Stecker fachgerecht aus der Buchse zu lösen dürfte wesentlich schneller gehen, als den da rauszureißen.

Froschaspire schrieb:

hi! ich habe den head - befehl eingegeben und im terminal erscheint DO NOT EDIT THIS FILE.

Eben genau das ist der Gag. Lesen kann helfen.😈

In der grub.cfg editiert man nicht, die wird von update-grub (bzw. grub-mkconfig, welches von update-grub aufgerufen wird) unter anderem unter Einfluss der GRUB 2/Skripte generiert, und zwar bei jedem Kernel- oder Initramfs-Update.

Wäre also eine ziemlich dämliche Datei für einen Hacker, da die jederzeit überschrieben werden kann (gut, bei einem System, das seit Jahren aus dem Support ist und keine Kernelupdates mehr bekommt eher seltener).

Das sind aber alles Grundlagen, die jeder kennen sollte, der einen eigenen Server betreibt (denn deinen Angaben zufolge bis du ja von deinem Server aus gehackt worden,.auf welchem nicht genannten Weg auch immer).

Ob die grub.cfg manipuliert ist oder nicht, spielt weniger eine Rolle, denn letztlich erzeugt diese nur Starteinträge, die nicht besonders auffällig daher kommen. Da wird eher kein Eintrag der Art "Starte meinen fießen, hinterhältigen Hacker-Kernel" drin stehen. Viel entscheidender ist, ob die von Grub dann ausgeführten Loader - wie z.B. die grubx64.efi oder der Ubuntu-Kernel oder die initrd oder Kernel-Module manipuliert wurden oder nicht. Dazu müsstest Du die Checksummen all dieser Dateien von dem Versionsstand Deiner Distribution erzeugen und gegen den gleichen Versionsstand Deiner Distribution von einem garantiert sauberen Vergleichssystem prüfen.

Das ganze muss dabei von einem System untersucht werden, was garantiert nicht manipuliert ist und im laufenden Betrieb auch gegen Manipulationen besonders geschützt ist.

Das kann Dir aus der Ferne sonst niemand sicher sagen! Da kann man allenfalls mutmassen.

kB schrieb:

1. Alle Datenträger löschen: Magnetische Datenträger durch Überschreiben, Flash-Speicher (z.B. SSDs) durch "Secure Erase", USB-Sticks mit dem Hammer zerstören.

Naja, ich würde schon in Ruhe überlegen, ob ich von den Datenträgern noch Daten retten muss oder diese zu Beweissicherungszwecken benötige, bevor ich diese lösche. Es ist ja denkbar, dass ein durchaus vorhandenes Backup-System in der Vergangenheit vom Hacker bereits manipuliert wurde und die Daten auf dem Server-Datenträger noch der einzig nutzbare Bestand sind.

Bei einem wirklichen Hackerangriff würde ich, nachdem alle Systeme (einschließlch aller Netzwerkhardware) "heruntergefahren" und Steckverbindungen auf normalen Weg gelöst worden sind erst mal Ruhe bewahren und gegebenenfalls Expertiese einholen - sofern ich für so ein Szenario nicht schon ein detailiertes, ausgeklügeltes Handlungsprotokoll in der Schublade habe.

LG, Newubunti