vServer gehackt: Joomla auslöser?

    Hallo liebe Community,


    nachdem ich eben erfahren habe, dass mein vServer gehackt wurde, bin ich nun erst mal buff. Wie konnte das passieren? Die Frage stelle ich mir die ganze Zeit durchgehend. Ich hatte eigentlich gedacht, dass mein Server sicher ist und mir so etwas erspart bleiben würde. Denkste! Hatte ihn nach empfohlenen Anleitungen abgesichert und hatte auch mit dem Support Rücksprache gehalten, der mir zustimmte und meinte, dass der Server so sehr gut geschützt ist.
    Nun bin ich durchgegangen was ich heute an dem Server alles gemacht habe, was eventuell dazu geführt haben könnte, dass jemand fremdes sich Zugriff zu dem Server verschafft. Als eine der letzten Sachen habe ich Joomla in einen neuen Ordner entpackt und wollte es installieren, als mir selbst zu Hause das Internet versagt ist (lag an einem Problem im Heimnetz). Nachdem ich das Problem im Netzwerk zu Hause behoben hatte, loggte ich mich wieder im Server ein. Da zwischenzeitlich eine neue Aufgabe auf dem Server angefallen war, die dringlicher war als der Aufbau einer neuen Webseite, widmete ich mich zunächst dieser (auf einer anderen Seite auf dem Server sollten Beiträge hinzugefügt werden), als dann plötzlich die Verbindung weg war und mir mitgeteilt wurde, dass der Server gehackt wurde. Jetzt stelle ich mir gerade die Frage: Könnte die offene Joomla-Installation, die noch nicht ausgeführt war, also jeder einrichten konnte, Fruchtboden für solch einen Angriff gewesen sein?


    Ich danke euch für eure Hilfe im Voraus. Ich bin um jede Antwort die mich weiter bringt richtig dankbar!


    Gruß
    droelfvonelf

    Um eine Sicherheitslücke zu finden braucht man bedeutet mehr Informationen. So einfach kann man das nicht sagen.
    Würde aber ausschließen das es an Joomla liegt solange dies aus offiziellen Paket Quellen war.


    Was bedeutet bei dir überhaupt gehackt und wer hat dir mitgeteilt das dein Server gehackt wurde?
    Also wie gesagt so einfach lässt sich die Frage ohne Umfangreiche Informationen nicht beantworten.

    Danke erst mal für die schnelle Antwort!


    Ich habe das Joomla Paket von folgender Seite: J!German - Joomla! 2.5 Deutsch
    Da gehe ich eigentlich davon aus, dass dies sicher ist.
    Mir war das als "Quelle des Unheils" in den Sinn gekommen, da ja durch die nicht durchgeführte Installation, die Installation praktisch jeder machen könnte bzw. darüber Skripte einfügen? Oder täusche ich mich da?


    Von meinem Server aus wurde eine DDoS-Attacke auf einen anderen Server unternommen.


    Kannst du mir eventuell weitere Ratschläge geben was ich jetzt tun soll? Ich würde mir morgen den Server im Rettungsmodus starten lassen und dann die LogFiles mal durchsuchen - sofern der Eindringling diese nicht schon längst gelöscht hat...

    Ich würde den Server sofort in den Rettungsmodus versetzen, das kannst du übrigens auch selber im VCP solange du darauf noch Zugriff hast.
    Danach solltest du dir wie du selbst schon gesagt hast alle Logs nach Auffälligkeiten durchsehen.
    Jetzt hab ich es erst richtig verstanden das du die Joomla Installation nicht ausgeführt hast dies aber über deinen Webserver möglich war.
    Außerdem solltest du einen PC auf Viren, Trojaner etc... prüfen. Das am besten per Live CD.


    In diesem Fall bin ich mir nicht sicher in wiefern man über eine nicht ausgeführte Installation einer Webanwendung Schadware auf einen Server einschleusen kann. Das dies möglich ist würde ich aber an dieser Stelle nicht ausschließen. Die Logs sollten allerdings Auskunft darüber geben.


    Was heißt DDos? Bei dem Angriff waren also noch andere Server beteiligt?
    Wie war dein SSH Zugang abgesichert?
    Hattest du alle unnötigen Ports gesperrt?
    Gab es Zugänge für andere Nutzer (FTP etc...)?


    Hat eventuell der Ausfall deines Internets Zuhause etwas damit zu tun, das ein Trojaner der Grund für den Angriff war?


    Bitte weitere Informationen wenn du noch Fragen hast ;)

    Den habe ich aber nicht mehr. Der Server ist für mich deaktiviert....
    Das werde ich machen, sobald ich morgen bei Netcup in den normalen Geschäftszeiten anrufen kann.
    Genau das war mein Gedanke... Ist super blöd gelaufen. Aber ich konnte die Joomla Installation dann leider nicht wieder runter nehmen. Muss leider auch gestehen, dass ich in diesem Moment keine Gefahr darin gesehen habe. Aber möglich wärs aus meiner Sicht bestimmt.
    Habe ich getan. Mir wird nichts gemeldet.


    Die Logs werde ich morgen direkt einmal durchkämmen. Ebenfalls lief TS3 auf dem Server. Habe im Internet gelesen, dass Exploits über den FTP genutzt werden können. Aber da mein Server mit Passwort gesichert ist und so in letzter Zeit keine Leute die mir unbekannt sind / bei denen der Verdacht besteht bösartige Scripts etc., zu installieren auf dem Server waren, würde ich das zunächst ausschließen...


    Was heißt beteiligt :P Mein Server hat einen anderen Server attackiert per DDoS. Anbei das was mir Netcup aus dem Log geschickt hat.

    Code
    Jan 8 18:10:16 ne412 kernel: [2994477.335871] outgoing rate exceeded: IN= OUT=eth0 SRC=[Mein vServer-IP] DST=[Zielserver-IP] LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=63608 DF PROTO=TCP SPT=35284 DPT=443 WINDOW=5840 RES=0x00 SYN URGP=0


    Mein SSH Zugang ist so gesichert, dass ich root Zugriff nur über meine statische IP erlaubt habe.
    Alle eingehenden Ports waren auf DROP außer die die ich wirklich brauche. Desweiteren war ESTABLISHED AND RELATED aktiviert. Hatte das ganze über das VCP geregelt.
    Habe meine Benutzerverwaltung über Froxlor abgewickelt. Also gab es auch Zugänge für FTP, E-Mail etc. über Froxlor


    Nein, das Problem war eher eine hardwaretechnischer Ursache geschuldet :D .

    DDos bedeutet:

    Zitat


    Zitat Wikipedia:
    Wird die Überlastung von einer größeren Anzahl anderer Systeme verursacht, so wird auch von einer Verteilten Dienstblockade oder englisch Distributed Denial of Service (DDoS) gesprochen.

    Das meine ich damit.


    Solange der Server jetzt offline ist dürftest du das gröbste schon mal geschafft haben ^^
    Hab mich noch mal schnell informiert und so wie fallobst schon gesagt hat ist das durchaus möglich und relativ wahrscheinlich.
    Aber genaueres sagen dann nur die Logs.

    Okay danke für eure Mithilfe, das hat mir schon mal geholfen!


    Achso! Also ich habe lediglich von Netcup die Info erhalten:

    Zitat

    Sie oder ein Skript führten ein DDoS auf die IP xxx.xxx.xxx.xxx der [Website]

    Mehr kann ich leider auch nicht sagen.


    Nur ich frage mich halt, wie der genau dann auf mich kommt und gerade die Lücke mit dem Joomla findet.... Naja kann einfach Pech sein!


    Jetzt habe ich noch eine andere Frage: Mit welchen Konsequenzen muss ich rechnen? Irgendwelche seitens der Justiz? Ein Mitarbeiter von Netcup hat mir nur geschrieben, dass wenn so etwas erneut auftritt, dass mir dann der Vertrag gekündigt wird.

    Wieso nicht?
    Morgen gegen Nachmittag werde ich den Server im Rettungsmodus starten und den Server durchforsten. Anschließend melde ich mich, sollten nicht schon vorher Fragen auftauchen!
    Bisher vielen Dank für eure Hilfe und Bemühungen.

    Tipp: Kopiere zuerst alle Daten (inklusive Logs) und lade sie einmal herunter, damit du sie offline und schreibgeschützt gesichert hast. Das ist zur genauen Analyse einfach sehr wichtig. Bevor du nicht wenigstens einen Anhaltspunkt hast, welche Lücke und vor allem in welcher Software ausgenützt wurde, würde ich den Server danach lieber einmal offline lassen. Sonst wird die gleiche Schwachstelle selbst nach einer Neuinstallation vielleicht wieder missbraucht.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Zitat von Dragon

    Ich glaube nicht, dass das irgendwas mit Joomla zu tun gehabt hat...

    Warum sollte es nicht damit zu tun gehabt haben? Ich finde die Wahrscheinlichkeit ist doch gegeben, auch wenn dies schon ein Zufall wäre das in dem gegebenen Zeitfenster jemand die nicht abgeschlossene Installation findet, aber das kommt halt vor (außerdem ist uns das Zeitfenster nicht bekannt da es nicht näher benannt wurde). Die Installation ist schnell ausgeführt, und soweit ich weiß je nach Konfiguration des Servers auch mit einer externen Datenbank möglich. Dann schnell ein ein Script in Joomla importiert und es kann losgehen. RuckZuck hat man über Joomla auch FTP-Zugang (dieser sollte sich aber auf die Domain beschränken).


    droelfvonelf
    Du solltest dir, wie von Killerbees empfohlen, erst einmal alle Daten sichern/herunterladen. Überlege genau welche Dienste auf deinem Server laufen, da nicht alle ihre Log-Dateien in /var/log sichern (z.B. TS3). Gehe dann zumindest sämtliche Log-Dateien durch und suche nach Login-Versuchen oder unbekannten Usern. Teilweise ist diese Aufgabe (z.B. bei sehr großen Logs) direkt auf dem Server mit "grep" besser zu bewerkstelligen (falls dein Heimsystem kein Linux ist). Ich habe mir für solche Aufgaben extra ein Linux in einer virtuellen Umgebung eingerichtet, da ich als Heimsystem auch Windows habe.
    Welche Dienste laufen denn noch auf deinem Server? Ist womöglich auch ein CoD4-Server dabei? Ein Bekannter hatte auch ein Problem mit CoD4-Servern und ausgehenden Dos-Attacken (die kamen definitiv von den CoD4-Servern). Hierfür gibt es einen letzten Patch und man muss noch ein paar DVars in der Config vom Server setzen.

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.

    Zitat von RHA

    Teilweise ist diese Aufgabe (z.B. bei sehr großen Logs) direkt auf dem Server mit "grep" besser zu bewerkstelligen (falls dein Heimsystem kein Linux ist). Ich habe mir für solche Aufgaben extra ein Linux in einer virtuellen Umgebung eingerichtet, da ich als Heimsystem auch Windows habe.


    Die ganzen GNU Programme wie grep gibt es auch für Windows, funktionieren einwandfrei in der Eingabeaufforderung, Pipes und Umleitungen gibt es dabei auch: GnuWin32 Packages


    Sonst hätte ich mein Windows vermutlich schon ganz durch Linux ersetzt :D



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Hallo alle miteinander,


    ich habe nun den Server im Rettungsmodus und mir schon einmal den kompletten Ordner /var/logs runtergeladen. Zusätzlich habe ich die Minecraft Server Logs, die vom Teamspeak Server, die von Sockso und die die (ich vermute die sind von Froxlor) im Verzeichnis /var/customers/logs liegen (die sind verdammt groß!). Gleich werde ich mir noch die von der Joomla Installation anschauen und damit auch die configuration.php und andere Speicherorte.


    Bei Grep habe ich leider keine Ahnung was das ist :( . Auch auf der Downloadseite bin ich mir unsicher was ich davon brauch :P . Denn ihr habt Recht: Die LogFiles sind doch recht viele und vor allem ist das Problem, dass sie im Editor kaum lesbar sind. Kennt ihr dafür ein Programm das die besser sortiert bzw. die Zeilenumbrüche an den vorgesehenen Stellen einfügt??


    Gruß
    droelfvonelf

    So habe nun Joomla mal analysiert: Die Installation wurde nicht ausgeführt (habe ich daran festgemacht, dass keine configuration.php vorhanden ist und so die Sachen die typisch für eine Installation wären fehlen).
    Mir stellt sich so eben aber auch noch eine Frage: Kann man auslesen wann welcher Script ausgeführt wurde? Weil ich ja von Netcup eine Kernel Information bekommen habe, frage ich mich ob man über den Zahlencode das auf den Script zurück verfolgen kann? Oder ist das ganze anders möglich?


    Desweiteren ist mir eben noch etwas zweites eingefallen: Ich meine am 04.01.2012 (ich glaube das Datum ist korrekt, bin mir aber nicht zu 100 % sicher. Wäre aber ein Anhaltspunkt) einen Ausfall gehabt zu haben bei dem der Server einfach abgeschmiert war bzw. nicht mehr angesprochen werden konnte/ nicht mehr reagierte. Als ich beim Support angerufen hatte, wurde mir da mitgeteilt, dass momentan Wartungsarbeiten am VCP stattfinden und dies die Ursache sein könnte. Ist eventuell da jemand in den Server eingedrungen?? Eventuelle Ausfälle am VCP könnten einen durchgang durch die Firewall ermöglicht haben? Ist jetzt natürlich erst mal reine Spekulation, daher frage ich ob es so gewesen sein könnte...


    Ich danke euch für eure Mithilfe :)


    Gruß
    droelfvonelf

    Zitat von droelfvonelf

    die sind verdammt groß!


    Dann pack alle in einen Tarball und komprimiere sie vorher. Das sollte bei Logfiles gut 80% der Größe einsparen ;)


    Zitat von droelfvonelf

    Bei Grep habe ich leider keine Ahnung was das ist


    Schau mal in die Manpage oder google danach, das ist Grundausstattung jeder GNU Linux Installation.


    Zitat von droelfvonelf

    dass sie im Editor kaum lesbar sind. Kennt ihr dafür ein Programm das die besser sortiert bzw. die Zeilenumbrüche an den vorgesehenen Stellen einfügt??


    Das sind Linux Zeilenumbrüche. Nimm einen Editor, der die versteht, z.B. Wordpad (bei Windows dabei) oder einen anderen. Der Standard Windows Editor kennt das Format der Zeilenumbrüche nicht.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    KB19: War eben weg und hab sie einfach so geladen. Aber trotzdem danke :)


    okay, ich verwende erst mal Wordpad und wenn mir das nicht passt dann werde ich Notepad++ benutzen :) Ist mir schon aus früherer Zeit bekannt :-P.


    Dragon: Das war eine blöde Formulierung meinerseits. Sorry! Klar gibt es da viele Möglichkeiten. Wenn ihr auch nicht meine genaue Konfiguration kennt ist es ja so oder so schwer. Aber ich werde jetzt erst mal nach für mich ersichtlichen Schlupflöchern schauen und dann mal weiter sehen.


    Wie sieht es eigentlich mit grep aus: Ich habe jetzt eine Win-Version gefunden, nur bin ich mir nicht sicher nach was für Schlagwörtern ich suchen soll. Habt ihr da Tipps?