Vserver Attacke auf und von unserem Server

  • Hallo,

    habe das Problem (was erst zum We klar wurde) das unser Vserver von :

    GET /w00tw00t.at.ISC.SANS.DFind:) heim gesucht wurde.

    Die Logs sind voll von ihm (über 50mb logdatei in 1-2 tagen), der Vserver wurde runtergefahren da er scheinbar Angriffe auf andere Seiten ausführte.

    Ich vermute das wohl eine Schwachstelle dafür ausschlaggebend war (Passwort sehr komplex und sämtlich standard ordner geändert).

    Verwenden Lenny mit Syscp alles auf dem neusten Stand, wie kann man sich vor sowas den schützen? Liegte s evtl an Lenny?

    Was mich total verwundert ist das die Attacken 1-2 std nachdem der Server Online ging (nur unter Ip erreichbar, Domain kam später) veruscht wurd drauf zu kommen. Es hat defenetiv kein dritter die Zugangsdaten.
    Wie konnte der Server überhaupt gefunden werden?

  • PS: Welche Möglicheiten gibt es den Live auf den Server zu schauen (Desktpsoft) um die Verbindungen immer im Auge zu haben wenn man am PC ist. Wenn es sowas gäbe wäre schon hilfreich.

  • Das sind nur Logeinträge von einem Scantool, das besagt jedoch nicht, dass Dein Server kompromittiert wurde. Remotedesktop ist absolut von Abzuraten, sowas gehört nicht auf einen VServer. Um die Verbindungen zu überwachen gibt es netstat.

    Ich biete gratis Remotehands (SSH) für alle Netcup Kunden - von Kunde zu Kunde!
    Dazu einfach eine an mich .

  • Soweit war ich auch gekommen (Hacktool Dfind nochwas).

    Was mich beunruhigt ist:

    Sehr geehrte Damen und Herren,


    Ihr vServer mit der im Betreff genannten IP-Adresse hat einen Angriff auf einen anderen Server im Internet ausgeführt.

    Dabei wurden erhebliche Netzwerkressourcen beansprucht und folglich ein Segment unseres Netzwerkes stark negativ beeinträchtigt.

    Ihr vServer wurde deshalb vorsorglich deaktiviert.

    Bitte geben Sie uns folgendes schriftlich (Post / Fax) bekannt:

    -> Wie konnte es zu dem Angriff kommen?
    -> Was werden Sie in Zukunft dagegen unternehmen?
    -> Das keine derartigen Angriffe mehr von Ihrem vServer stattfinden werden.

    Auf Wunsch starten wir Ihren vServer in das Rettungssystem.

    Log:


    Scheinbar muss er ja Erfolg gehabt haben ?

  • Netcup :), der Server ist derzeit im Rettungssystem.
    Backup ist vorhanden, nur wie kann man sich schützen damit es nicht wieder passiert. Updates allein scheinen nicht zu helfen :(

  • gibt es evtl irgendwo eins ehr gutes sript für sie IP Drob Table?

    Es war eins drin was aber scheinbar nicht viel brachte, der Dfind kam dann von der nächsten IP (total andrer Bereich).

    Ich habe mir mal die Logs angeschaut und gemerkt das er wohl alle möglichen variablen abfragt zB.

    phpadmin/2.1
    phpadmin/2.2
    usw

    das auch mit allen möglichen Usern - Variablen und auch Ports (für SSH verwendete er 10 Portbereiche)

    Ich denke früher oder später findet er was, da ich auch nicht weiss wie lange seine Möglichkeiten Liste ist könnte das Zeitverschwendung sein.

    Man müsste ihn gezielt unterbinden können (nicht über di eIP da er zuviele benutzt).

  • Fail2ban + firewall, reicht das aus? Scheint oft empf zu werden.

    Oder sollte man bei Lenny was anderes nehmen?

    Noch was anderes, lieber ein sauberes Backup drauf oder den aktuellen Server retten? Bzw rein würde ja laufen aber wie sieht es nach draussen aus?

  • Erstmal steht eine Analyse des Geschehenen im Vordergrund. Du solltest Dir erstmal im Klaren darüber werden, WAS dein Server überhaupt gemacht hat, bevor wir hier weiter diskutieren.

    Ich biete gratis Remotehands (SSH) für alle Netcup Kunden - von Kunde zu Kunde!
    Dazu einfach eine an mich .

  • Hi,
    Spiel die kiste komplett neu auf da du nicht weißt ab wann das schon war,
    Das wichtigste ist sämtliche Standart Ports verlegen. wie den 22iger (ssh) am besten in nen 3 stelligen bereich den login im ssh für root verbieten, dann den Login per ssh nur mit keys und nicht mehr mit pw´s


    Sichere Pw´s sind a und o also mindestens 8 Buchstaben wo Großbuchstaben, Zahlen usw. bei sind.


    http://www.debian.org/doc/manu…o/ch-sec-services.de.html


    hier im Forum findest da natürlich auch haufen sachen aber der link ist schonmal nen Anfang.
    Es gibt hier im Forum auchn Script was fail2ban ersetzt und diese Regeln direkt an die firewall im openVCP weiter gibt. Arbeitet sehr solide und sperrt die ip´s automatisch gg


    Desweiteren solltest mal deine Scripte überprüfen die aufn Webserver lagen. evtl. ist da irgendwelche Schadsoftware bei


    MfG
    Andre

  • Wie hier schon mal in einem anderem Forum gesagt wurde, ist Fail2ban Quatsch. Es bringt nichts, solange es auf dem selben Rechner installiert ist, den es schützen soll.


    Viel wichtiger ist die Absicherung der Dienste. Sprich bei SSH Port verschieben, Passwort und root Login verbieten, nur SSH Keys verwenden. Beim Apache open_base_dir in php verwenden, usw.


    Und mindestens ein mal die Woche alle Logs durchschauen.


    Aber erst mal solltest du fLoo's Aussage nachkommen, und schauen wie es zu dem Angriff kommen konnte. Was bringt es Dir alles neu aufzusetzen, wenn die selbe Lücke wieder geöffnet wird?

  • Das erste Problem ist das ich die 2 wichtigsten Logs nicht öffnen kann (timeout beim download oder öffnen).

    Scheinbar was man teils aus anderen Logs schliessen kann muss es wohl über Mysql gelaufen sein.

    Was mich nur total verwundert wie ein Server dessen DNS nicht aufgelöst wurde zu dem Zeitpunkt für jemand im Netz bekannt ist.

    Passwörter sind 10 Stellig inkl Zahlen, Zeichen
    Open:base_dir wurde verwendet.
    SSH war auf 30 statt 23

    Fremdsoftware gab es nicht einzig Debian Lenny, Syscp und 2 Scripte für IP Drop und Firewall (sichere Scripte). Die Scripte sind bis dato auf anderne Servern sehr zuverlässig gewesen wobei einem so massiven Angriff waren sie glaube nie ausgesetzt (50mb Logs in 1-2 tagen sagt glaube alles).

    Bin im Moment eher unsicher was Lenny angeht, ich will der Sache auf den Grund gehen komme aber ohen die 2 Logs nicht weiter und bin wohl gewzungen einfahc alles zu überbügeln (am besten mit Etch oder einer guten Alternative) und dann gleich alles auf den neusten Stand zubringen inkl Script Firewall etc

  • Ob du nun Etch oder Lenny nimmst ist völlig egal. Es ist eine reine Konfigurationssache.
    Versuche die Logs mal mit scp oder ftp runterzuladen. Das es ein Timeout beim anzeigen gibt, kann ich mir schon gut vorstellen, ja nach dem wie groß die Datei ist.


    Wie gesagt. So lange Du keine Logs hast ist es unmöglich zu sagen was und wie es passiert ist.

  • Zitat von hannes.b;9948

    Das erste Problem ist das ich die 2 wichtigsten Logs nicht öffnen kann (timeout beim download oder öffnen).


    vllt zu groß, das verbindung vorher abbricht:confused:

    Zitat


    Passwörter sind 10 Stellig inkl Zahlen, Zeichen
    Open:base_dir wurde verwendet.
    SSH war auf 30 statt 23



    besonderlich doll ist das nicht.
    10 tippser find ich zu wennig.
    25 aufwärts.
    ssh auf die 30 zu nehmen. ist vllt auch bissel zuwenig vom guten.
    geh vllt drei vier stellig.

    Zitat


    Bin im Moment eher unsicher was Lenny angeht, ich will der Sache auf den Grund gehen komme aber ohen die 2 Logs nicht weiter und bin wohl gewzungen einfahc alles zu überbügeln (am besten mit Etch oder einer guten Alternative) und dann gleich alles auf den neusten Stand zubringen inkl Script Firewall etc


    vllt warten oder auch andere verbindung nutzen:confused:


    Lg

  • Wozu genau brauchst du 30 Stellige Passwörter?


    Stellst du deinen SSH Benutzer irgendwo öffentlich zur schau? Ich meinen nicht, somit muss erstmal der Benutzer erraten werden.
    Danach dann das Passwort.


    Beides gleichzeitig zu treffen erfordert bei z.B. 6 stelligem Benutzer und 10 stelligem Passwort vermutlich schon mehrere Jahre, sofern man diesen nicht grade zufällig erwischt.

  • Zitat von hannes.b;9948

    Das erste Problem ist das ich die 2 wichtigsten Logs nicht öffnen kann (timeout beim download oder öffnen).
    [...]
    Bin im Moment eher unsicher was Lenny angeht, ich will der Sache auf den Grund gehen komme aber ohen die 2 Logs nicht weiter und bin wohl gewzungen einfahc alles zu überbügeln (am besten mit Etch oder einer guten Alternative) und dann gleich alles auf den neusten Stand zubringen inkl Script Firewall etc


    Vier kurze Anmerkungen:
    - Was hindert Dich daran, den Support mit Angabe des obigen Fehlers darum zu bitten, die Logdateien zu komprimieren und sie Dir anderweitig (via E-Mail an eine Ersatzadresse, ...) zukommen zu lassen?
    - Du willst allen Ernstes anstelle der aktuellen "stable"-Version (Lenny -- in einigen Bereichen "alt genug") eine Vorgängerversion (Etch) einsetzen?
    - Weil immer wieder der Tip gegeben wird, man solle doch die Standardports meiden: Im vorliegenden Fall wurde doch wohl ein Portscanner verwendet, also kann man das getrost vergessen (besser ggf. Dienste ganz oder zumindest zeitweise deaktivieren und nach Möglichkeit an ein "lo"-(Ersatz-)Interface binden, um sie nicht zu exponieren)
    - Wenn ein externer Rechner zur Verfügung steht: Dort einen cronjob einrichten, welcher regelmäßig die Konfiguration des vServers in ihren Ausgangszustand zurücksetzt und alle unerwarteten Zugriffe protokolliert (ggf. läßt sich im Falle eines Falls sogar der vServer automatisch stoppen, vgl. Ansatz für fail2ban für die Webschnittstelle der Firewall)...


    Ad astra, Markus

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • Mit den 30 war der Port gemeint nicht die Passwort länge :)

    Das mit den Logs per Mail ist ne gute Idee :o hoffe die machen das auch, gleich mal anrufen.

    Das mit Lenny ist halt so eine Sache man hört halt auch negaives darüber, fakt ist das ich auf einem Server sogar noch Sarge einsetze (u. auch Etch Server) dort habe ich solche Probleme in den letzen 7-8 Jahren nicht gehabt.
    Die bekommen auch ab und an irgendwelche Angriffe ab, aber scheinbar muss hier ein kleines Leck sein. Da ja nicht viel drauf war liegt der Gedanke ja nahe. Aber rufe erstmal den Support an.

  • Zitat von Servior;9960

    Wozu genau brauchst du 30 Stellige Passwörter?

    Stellst du deinen SSH Benutzer irgendwo öffentlich zur schau? Ich meinen nicht, somit muss erstmal der Benutzer erraten werden.
    Danach dann das Passwort.

    Beides gleichzeitig zu treffen erfordert bei z.B. 6 stelligem Benutzer und 10 stelligem Passwort vermutlich schon mehrere Jahre, sofern man diesen nicht grade zufällig erwischt.


    fals es dich interessiert.

    meins hat 57:p