[Abuse]Scans von meinem Server entdeckt

  • Kommt drauf an was du gescannt hast. Sinnvoll ist das Erzeugen von Checksummen in einem sauberem System damit du später schauen kannst was verändert wurde.


    Für Portscans reicht es schon, dass du irgendwo ein verwundbares PHP-Skript/ftp-Server/etc hast. Dann dringt darüber jemand ein, lädt seinen Schadcode nach und hinterlässt kaum Spuren auf der Festplatte. Da findest du dann auch in den Logfiles nur 1 Eintrag.


    Da du deine Ubuntu-Version nicht genannt hast - Welche läuft denn?

    "Security is like an onion - the more you dig in the more you want to cry"

  • Moin,


    also gescannt hab ich vom rescuesystem aus mit "rkhunter -c". Und scannt er doch das rescuesystem und verfälscht somit das Ergebnis oder?


    Ich werde den verdacht nicht los, dass eines der beiden Wordpress Plugins dahinter steckt.


    Wann scannt Netcup eigentlich die Server immer. Regelm. jeden Tag oder nur sporadisch?


    Was mich auch wirklich stutzig macht, ist dass nur die interne IP 192.168.1.* gescannt wurde.


    Installiert ist Ubuntu x64.

  • Ich glaube in diesem Falle wird wohl nur der Support helfen können,
    mit ist es auch direkt ins Auge gesprungen aber ich dachte die IP wurde verfälscht.


    Dass es ein Wordpress Plugin ist kann ich mir nicht vorstellen
    sonst hätten wahrscheinlich hier schon mehrere deswegen Probleme gehabt.


    MfG
    Impact

  • Wie in dem Log zu sehen ist hat die Software ein paar Minuten gewartet, bis die Entscheidung getroffen wurde zu sperren, also schaut man scheinbar ob es nur kurzzeitig ist (möglicherweise so gedacht) oder eher nach einem Angriff aussieht, dann wird höchstwahrscheinlich dein Server permanent gesperrt, denn wenn der einmal verseucht ist, bringt es auch nichts ihn in 5min wieder neuzustarten.

  • Zitat von ubuntu;31607

    chroot: Du wechselst mit dem Rettungssystem nach /vserver und machst dann chroot ./ /bin/bash


    Dann installierst du rkhunter


    apt-get install rkhunter.


    Kleine Anmerkung: /bin/bash aus /vserver und die Installation von rkhunter über das betroffene System ist nur teilweise sinnvoll. Beides könnte bereits infiziert sein! ;)


    Bessere Lösung: rkhunter im Rettungssystem installieren und entweder direkt von dort aus scannen oder alle benötigten Dateien (Shell, rkhunter, Libs, ...) nach /vserver kopieren, chrooten und ausführen.


    Die Sache mit dem privaten Adressraum sieht für mich aber fast nach einem Konfigurationsfehler einer Software aus. Durchsuche doch einmal alle Dateien nach der IP oder dem CIDR.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Dem Port 10050 nach könnte es etwas mit der Software Zabbix zu tun haben (die ich aber nicht kenne). Verwendest du die oder ein Script, was darauf zugreifen könnte? Da der Port gleich geblieben ist, könntest du auch mal ein "grep 10050" auf alle Dateien in /etc und /var/www laufen lassen, um Konfigurationsdateien und Skripte zu finden, in denen dieser Port steht.

  • Zitat von ice-breaker;31663

    Dein 1. Post :confused:
    In dem Scanlog sind Zeiten zu sehen von wann bis wann gescannt wurde.


    Ach ich dachte, du würdest meinen aus dem Log würde man sehen wann gesperrt wurde. Klat die Zeit des "NC-Scanns" ist daraus schon ersichtlich. :p


    Danke für die beiden anderen Tipps. Werde ich spätestens am WE mal ausprobieren. :)