Vserver Attacke auf und von unserem Server

  • Es ist egal ob der Name des Servers aufgelöst wird. Die meisten Scanner arbeiten auf IP-Basis, nicht auf Basis von DNS Records.


    Zippe die Logs (tar cfvz) und lade sie dann per FTP herunter. Besser noch, sicher das ganze Logverzeichnis LOKAL bei dir nochmal ab :


    Code
    tar cfvz log.tar /var/log


    Dann stellst Du bitte mal die Webserverlogs dem Forum zur Verfügung, ich biete mich gerne für eine detaillierte Analyse an. Bitte jedoch nicht per Public-Download, sondern dann per PM.


    LG


    Florian

    Ich biete gratis Remotehands (SSH) für alle Netcup Kunden - von Kunde zu Kunde!
    Dazu einfach eine an mich .

  • Man sollte sowieso keine Passwörter benutzen, dafür gibts die Schlüssel. Aber nundenn, jedem das Seine..

    Ich biete gratis Remotehands (SSH) für alle Netcup Kunden - von Kunde zu Kunde!
    Dazu einfach eine an mich .

  • Zitat von fLoo;10004

    Man sollte sowieso keine Passwörter benutzen, dafür gibts die Schlüssel. Aber nundenn, jedem das Seine..



    so siehts aus:p
    thread findest du im board.

    Lg

  • Um die Sache aufzuklären :


    Ich habe jetzt 2.5 Stunden mit dem Kunden seinen Server durchgecheckt und bin zu dem Ergebnis gekommen, dass es daran lag, dass das von Netcup vergeben Standardpasswort Schuld an der Misere war.


    Der Kunde hatte Morgens den Server aufgesetzt, nach 4 Stunden bereits wurde ein SSH-Login von einer fremden IP mit Root-Privilegien getätigt.


    Hier ein Auszug :


    Nov 13 08:28:32 v123 sshd[10716]: Accepted password for root from meine.ip port 57859 ssh2 // Login Ich selbst
    Nov 13 08:28:57 v123 sshd[10790]: Accepted password for root from meine.ip port 57863 ssh2
    Nov 13 08:34:19 v123 sshd[14608]: Accepted password for root from meine.ip port 57957 ssh2
    Nov 13 08:35:30 v123 sshd[16272]: Accepted password for root from meine.ip port 57961 ssh2
    Nov 13 08:35:56 v123 sshd[16483]: Accepted password for root from meine.ip port 57962 ssh2
    Nov 13 08:46:28 v123 sshd[2655]: Accepted password for root from meine.ip port 58256 ssh2
    Nov 13 12:49:24 v123 sshd[25761]: Accepted password for root from 62.193.228.27 port 51937 ssh2 // wpc1310.amenworld.com
    Nov 13 12:53:31 v123 sshd[30548]: Accepted password for root from 62.193.228.27 port 41331 ssh2
    Nov 13 12:53:40 v123 sshd[31423]: Accepted password for root from 62.193.228.27 port 42904 ssh2
    Nov 13 12:53:46 v123 sshd[32210]: Accepted password for root from 62.193.228.27 port 44100 ssh2
    Nov 13 12:59:48 v123 sshd[2967]: Accepted password for root from 188.26.82.36 port 2198 ssh2 // Romäne
    Nov 13 13:01:37 v123 sshd[14203]: Accepted password for root from 188.26.82.36 port 2201 ssh2
    Nov 13 13:02:19 v123 passwd[20202]: pam_unix(passwd:chauthtok): password changed for root
    Nov 13 19:19:26 v123 sshd[12966]: Accepted password for root from 188.26.82.36 port 1657 ssh2
    Nov 13 19:20:31 v123 sshd[15840]: Accepted password for root from 188.26.82.36 port 1671 ssh2
    Nov 13 19:23:25 v123 sshd[18758]: Accepted password for root from 188.26.82.36 port 1691 ssh2


    Ich sehe das hier nicht _nur_ als Verschulden des Kunden an, die 0815-Passwörter von Netcup tragen ebenso dazu bei.


    Es wäre ratsam hier alphanumerische Passwörter mit Sonderzeichen per default zu vergeben. Sicherlich sollte der Kunde SOFORT ! nach der Installation den SSH-Port zu ändern und ebenfalls PermitRootLogin auf no setzen.


    Der Server wurde im Endeffekt für das Scannen neuer Server und das UDP-Flooden von Servern verwendet, woraufhind dieser dann abgeschaltet worden ist.


    Liebe Grüße


    Florian

    Ich biete gratis Remotehands (SSH) für alle Netcup Kunden - von Kunde zu Kunde!
    Dazu einfach eine an mich .

  • Ich möchte mich hier auch noch mal für die Hilfe von Floo bedanken der hier eine grosse Hilfe war.

    Fazit keine kreative Pause nach einem frischen Server, auch wenn es nur min,Std sind :) sondern sofort den Port, Pass und Art des Logins ändern.

    Das es so schnell bei doch relativ "scheinbar" sicheren Passwörtern so schnell zu Einbrüchen kommt hätte ich mir nicht gedacht.
    Scheibar hatte ich auch Pech im Pech da nur 1min nach dem der Server Online ging versucht wurde drauf zu kommen und dann noch ein "blödes" Standard Passwort hatte was dann in 3-4 std geknackt war.

    Danke nochmals Floo

    Gruß Hannes

  • Unglaubliche Geschichte, da gruselt's einem richtig ab dabei :o


    Und dass das Root-Passwort auf einem anderen Weg abhanden gekommen ist, würdet ihr ausschließen? Ich denke da nur an die Übertragung als E-Mail, der Computer vom Kunden, auf dem sich auch Schadprogramme befinden könnten usw, denn das müssen doch extrem viele Anfragen in kürzester Zeit gewesen sein. Ehrlich gesagt habe ich so einen massiven Crack Versuch noch auf keinen meiner Systeme gesehen, obwohl ich lange Zeit kein Denyhosts eingesetzt habe. Also Unglück im Unglück muss das wirklich sein, das passiert so extrem vermutlich nur recht selten. Vielleicht hat die IP auch einfach nur einem Vorbesitzer gehört, dessen System wertvolle Daten beinhaltete, deswegen die Brute Force Attacke?



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Zitat

    Ich habe jetzt 2.5 Stunden mit dem Kunden seinen Server durchgecheckt und bin zu dem Ergebnis gekommen, dass es daran lag, dass das von Netcup vergeben Standardpasswort Schuld an der Misere war.

    Das ist sehr sehr unwahrscheinlich. Für das Passwort gibt es 218340105584896 Kombinationen und die knackt man nicht in 4 Stunden!!! Um so ein Passwort per Bruteforce knacken zu können, braucht man viel Geld und dieses investiert man in der Regel nicht für ein frisch aufgesetztes System was keine Schätze birgt. Bitte einmal realistisch denken und nicht uns hier die Schuld in die Tasche schieben. Solche falschen Aussagen sind tödlich für netcup.


    Vielen Dank!


    Ich konnte es mir nicht nehmen die Zeit einmal hoch zu rechnen:


    Wenn wir davon ausgehen das pro Sekunde 10 Anfragen per SSH gestellt werden können (bei mehr Anfragen gibt die Firewall Alarm), dauert es 692351 Jahre um alle Kombinationen auszuprobieren. Ich denke damit ist bewiesen, dass unsere Passwörter sicher sind.

  • Zitat von [netcup] Felix;10048

    Das ist sehr sehr unwahrscheinlich. Für das Passwort gibt es 218340105584896 Kombinationen und die knackt man nicht in 4 Stunden!!! [...] Bitte einmal realistisch denken und nicht uns hier die Schuld in die Tasche schieben. Solche falschen Aussagen sind tödlich für netcup.


    Entschuldige Felix, es sollte natürlich nicht die Schuld auf Netcup geschoben werden,
    es ist hier einfach mehr als unglücklich gelaufen. Zunächst noch einen Zusatz zu den Fakten :[INDENT]1.) Der eingesetzte Scanner basiert nicht auf Bruteforce, sondern auf vordefinierten Passwortlisten.


    2.) KB19: Ja, es gab tatsächlich unglaublich viele Loginversuche. Die Auth.log war nach 3 Tagen satte 8 MB groß - das sollte für sich sprechen :rolleyes:


    3.) Ich bezweifel, dass es hier um Kundengeheimnisse ging, dies habe ich bei der Analyse der Vorgehensweise gesehen. Der Server wurde lediglich als Slave zum Scannen weiterer Server verwendet und eben zum UDP-Flooden anderer Server


    4.) mwx: 0815-Passwort sollte bedeuten, dass das Passwort welches hier durch den Zufallsalgo generiert wurde nicht so war wie es sein sollte. Dies kann vorkommen, denn Zufälle gibt es, die gibt es garnicht. Es sollte hier nicht abwertend gemeint sein, ich bitte diese Formulierung zu entschuldigen.
    [/INDENT]Kommen wir jetzt zu dem Teil mit dem Default-Passwort. Dies ist in der Tat, rechnerisch gesehen "sicher", jedoch wird das Passwort per Zufall generiert und wie der Zufall manchmal so will, kommen auch gerne mal Kombinationen heraus, welche sich in der ein oder anderen Wortliste wiederfinden.
    Bestels Beispiel hier : reCaptcha. Hier findet man auch Wörter wie "Arschgeige" oder "Lamenoob". So ist es wohl auch bei der VServerinstallation des Kunden passiert. Statt A7ha9fa ist wohl sowas wie A123xyz herausgekommen - was sich aber im Nachhinein nichtmehr nachvollziehen lässt.


    Sicherlich hat Netcup keine Schuld an dem Einbruch. Es war einfach ein "blöder Zufall", dass das automatisch generierte Passwort "wortlistentauglich" war. Dies wird ebenfalls dadurch bestätigt, da verschiedene Rechner auf dem Server SSH-Logins mit erfolg absolviert haben. Die Wortlisten werden bekanntlich untereinander ausgetauscht, so sind die Logins von den vielen verschiedenen Servern (Hier Rumänien, England, USA) zu deuten.


    Da die Vergabe des neuen Passwortes nicht aktiv durch Netcup beeinflusst werden kann, hat Netcup selbst keine Schuld an dem Geschehenen, hier kann man die Schuld auf den Zufallsalgorithmus des OpenVCP-Panels schieben ;)


    Felix, ich wollte Dir net ans Bein "pinkeln", entschuldige wenn mein vorheriger Beitrag etwas falsch rübergekommen ist.


    Liebe Grüße


    Florian

    Ich biete gratis Remotehands (SSH) für alle Netcup Kunden - von Kunde zu Kunde!
    Dazu einfach eine an mich .

  • Vom Server her ar er auch nach Aussage von Floo sehr sicher, anhand den Logs findet mal unzählige Fehlversuche von Logins (teil 3-4MB dateien) und auch das was gemacht wurde um sich dauerhaften Zugang einzurichten. Das komsiche ist das 2 verschiedene drauf Zugriff bekommen haben sieh Post oben.

    Was mit der IP vorher war, kann ich leider nicht sagen oder wem sie gehörte. Der Server steht ab da ständig in Beschuss :) auch von anderen Tools wie Hacktool.dfind

    Da der Server neu aufgesetzt war zu dem Zeitpunkt war nur mir der Pass bekannt, auf meinem PC ist keine Schadsoftware oder Trojaner usw (dann hätte ich vermutlich noch ganz andere Probleme :)).
    Er war auch nirgends hinterlegt wo man ihn abgreifen hätte können.
    Bin da auch etwas Ratlos aber kann mir nur extremes Pech erklären, von der Zeitrecherche des Tages (13ter) kann so nicht in bertacht kommen da ich in der Zeit auch arbeiten musste und Sohenmann in Kindergarten bringen usw.

    d.h ich hätte nach dem aufssetzen keine Zeit Pass usw zu ändern sondern erst ca 3 std später wo es schon zu spät war. Erst dann wurde er geändert, d.h das es einzig in Winscp eingegeben wurde und auf einem Zettel das ich ihn nicht vergesse (auf dem Tisch in einem Raum wo keiner zu der Zeit drin sein konnte). Kein Dritter hat den Pass gewusst.

    Es ist wirklich komisch aber anhand der Logs/Zeitablauf wohl zu 99,9% sicher das die Pass da eine grosse Rolle spielen (evtl auch nur ein blödes erwischt oder ein dummer Zufall, es ist aber sehr eindeutig).

    Netcup trifft da auch keine Schuld, man sollte halt sofort die Passwörter ändern und nicht erst warten. Es wäre aber evtl hilfreich wenn man die Passwörter etwas schwerer gestaltet um selbst die kleinste Wahrscheinlichkeit auszuschliessen.

    Mann sieht ja anhand der Logs in welchen Zeitrahmen das passierte oder welche Möglichkeit kommt den sonst noch in Betracht?

    Der Server war frisch aufgesetzt, es gab keine Fremdsoftware auf dem Server oder meinem PC (selbst Syscp wurde erst gegen mittag/abend installiert). Der Zugang zum Zettel mit dem Pass ohne mein wissen unmöglich (abgeschlossene räumlichkeiten).

    Stelle auch Netcup gerne die Logs zur Verfügung (bzw wird in dem Fax alle Infos dabei sein, da es ja auch als Frage erwünscht war wie es passierte und was man dagegen in Zukunft macht), wichtig war mir nur zu wissen wie es passierte um es in Zukunft zu unterbinden.

    Da der Server und das Projekt was damit verbunden ist schon im Zeitverzug ist und sich auch keine Hacker angriffe (erfolgreiche) leisten kann. Die dann evtl noch andere Server abschiessen und evtl noch Rechtliche folgen mit sich bringen.

    Wichtig ist mir das der Server nun schnellst möglich wieder Online kann neu installiert und in Betracht der empfohlenen Änderungen die ich dann direkt erledige.

    Manchmal ist das Leben ganz gemein zu einem, ich ziehe sowas manchmal an :D

  • Man sollte sich vielleicht überlegen, die Images sicherer zu machen.


    Zum Beispiel könnte man von Default aus nur Zugang mit Pubkeys zulassen. Den passenden Key dazu könnte man dann im CCP/VCP zum Download anbieten. Via Email werden dann nur noch die Zugangsdaten zum CCP verschickt.


    So sind auch Neulinge gezwungen, entweder sich ein eigenes Passwort auszudenken, oder sich gar mit der ganzen Materie eines SSH Servers zu beschäftigen.
    Letztendlich ist natürlich der Kunde für die Sicherheit verantwortlich, keine Frage. Aber ich denke das allein diese Aktion das Aufkommen solcher Vorfälle senken würde.

  • Guten Morgen, der Pass wurde in den 3 Std nicht geändert. Als der Eingriff passierte war das standard generierte Passwort aktiv, wei das aussah kann ich leider nicht sagen da ich es in der zwischenzeit nicht mehr habe.

    Nach dem Wechsel war ein Passwort mit 10 Zeichen, Zahlen aktiv (vermutlich etwas schwerer einzuschätzen als die standard).

    Nach einem Setup dann: (am ende ist der Passwechsel, zugang gabe es aber schon vorher)
    Nov 13 08:28:32 v123 sshd[10716]: Accepted password for root from meine.ip port 57859 ssh2 // Login Ich selbst
    Nov 13 08:28:57 v123 sshd[10790]: Accepted password for root from meine.ip port 57863 ssh2
    Nov 13 08:34:19 v123 sshd[14608]: Accepted password for root from meine.ip port 57957 ssh2
    Nov 13 08:35:30 v123 sshd[16272]: Accepted password for root from meine.ip port 57961 ssh2
    Nov 13 08:35:56 v123 sshd[16483]: Accepted password for root from meine.ip port 57962 ssh2
    Nov 13 08:46:28 v123 sshd[2655]: Accepted password for root from meine.ip port 58256 ssh2
    Nov 13 12:49:24 v123 sshd[25761]: Accepted password for root from 62.193.228.27 port 51937 ssh2 // wpc1310.amenworld.com
    Nov 13 12:53:31 v123 sshd[30548]: Accepted password for root from 62.193.228.27 port 41331 ssh2
    Nov 13 12:53:40 v123 sshd[31423]: Accepted password for root from 62.193.228.27 port 42904 ssh2
    Nov 13 12:53:46 v123 sshd[32210]: Accepted password for root from 62.193.228.27 port 44100 ssh2
    Nov 13 12:59:48 v123 sshd[2967]: Accepted password for root from 188.26.82.36 port 2198 ssh2 // Romäne
    Nov 13 13:01:37 v123 sshd[14203]: Accepted password for root from 188.26.82.36 port 2201 ssh2
    Nov 13 13:02:19 v123 passwd[20202]: pam_unix(passwd:chauthtok): password changed for root

  • Ich habe ja auch nicht behauptet, dass Du irgendetwas falsch gemacht hast. ;)


    Es ist aber einfach so, das die Crack-Server immer gerissener werden. Da muss man ja irgendwie gegen vorgehen. Und mein Vorschlag ist ja auch nur einer von vielen denke ich. Fakt ist jedenfalls, dass ein reiner Passwort-Login nicht mehr sicher ist.

  • Zitat von sim4000;10055

    Man sollte sich vielleicht überlegen, die Images sicherer zu machen.

    Zum Beispiel könnte man von Default aus nur Zugang mit Pubkeys zulassen. Den passenden Key dazu könnte man dann im CCP/VCP zum Download anbieten. Via Email werden dann nur noch die Zugangsdaten zum CCP verschickt.



    die idee ist nicht mal schlecht.

    aber die zugangsdaten könnten zum ccp doch aber genauso ausspioniert werden.
    und dann kann der benötigte key genauso verwendet werden.


    Lg

  • Pubkeys wird es per Default nicht geben. Da müssten wir die Einrichtungsgebühr verdoppeln da der erste Supportaufwand dadurch enorm werden wird.


    Auch halten wir aus Erfahrung Pubkeys für unsicherer als Passwörter, wenn diese nicht durch einen einmaligen Kommunikationsweg übertragen werden. Für Pubkeys braucht man ein ausgeklügeltes Keymanagement und das hat kaum einer unserer Kunden.


    Unsere Passwörter die wir bei der ersten Installation generieren sind sicher. Ich vermute das der Zugang zu dem hier genannten vServer nicht aufgrund unsicherer Passwörter geschehen ist.


    Wer hier anderer Meinung ist, möge bitte einmal belegen warum unsere acht stelligen Passwörter unsicher sein sollten. Kombinationen wie 1234abdc treten nicht auf.

  • Ich denke man kann es erst genau sagen wenn man zb eine komplette Passwortliste die verwendet wurde einsehen könnte, nach welchen Prinzip abgefragt wurde.

    Aber denke das ich in Zukunft dann nur noch mit Authkeys und Pass Abfrage arbeiten werden (zu dem Port ändern,Pass sehr komplex wählen).

    EDIT: felix, welche Möglichkeiten würden den noch in Betracht kommen?

  • Hallo hannes.b,


    wie sieht es mit dem eigenen Rechner Zuhause aus?
    Tastatureingaben? Software? Leitung Provider? Welcher Provider?
    Root Kits? Und noch weitere kleine Ferkeleien, die heute so näkisch daher kommen...Welche Antivirensoftware? Was für ein Firewall?


    Direkte Leitung ins Netz, oder aber schon über Proxy und verschlüsselt?


    Nur mal so..., sorry


    Gruß,
    Sunshine

  • Sunshine
    Mein PC kann ich zu 99,9% ausschliessen, der wird mehrmals die Woche geprüft und verfügt über eine Reg sperre (bei jeder änderung egal welcher wird die angezeigt und abgfragt ob ok oder nicht auch für den Admin).
    Arbeits PC Windows 7 x64 > Avast Pro x64 antiviren Soft > Spybot > Hostdatei gesperrt. (uptodate)

    Dazu kommt wenn ich arbeite/sürfe wechsele ich den Benutzer am PC mit eingeschränkten Rechten um ein evtl Zugriff auf wichtige Daten erst gar nicht zu ermöglichen (Buchhaltung, Banking usw).

    Dazu sitze ich hinter 2 Firewalls (Router,PC).
    Ein Scan mit den genannten Software und auch anderen brachte keine Befunde.

    Wenn das auch das Problem wäre hätte ich das Problem auch mit sämtlichen anderen Servern von mir und auch ganz anderen Dingen.
    Das würde dann ja nur ein Keylogger ermöglichen der viel mehr Preis geben würde als ich mir derzeit leisten kann :)

    In der Zeit habe ich auch aktiv auf 2 anderen Servern änderungen gemacht.