Abuse meldung bitte um hilfe

    Hallo erstmal habe ein problem


    Ich hab ein Vserver bin eigentlich sehr zufrieden nun habe ich eine abuse meldung bekommen und mein server ist deaktivert was mich sehr stört da ich nicht weis wie es dazu kommen konnte.


    hab auf dem server eine website laufen und ein teamspeak server.


    könnt ihr mir bitte helfen was dies hier beudet also wie das eurer meinugn anch passiert ist und was ihr mir raten würdet neuinstallation ? oder lässt es sich anders beheben.


    von xxxxxx aus dem Netcup Netz gehen Bruteforce Attacken auf
    meine Infrastruktur bei OVH aus.


    Auszug aus /var/log/auth.log


    Jun 2 15:55:55 vi1-1 sshd[32366]: Invalid user tomcat from
    xxxx


    Jun 2 15:55:55 vi1-1 sshd[32368]: Invalid user tomcat from
    xxxx


    Jun 2 15:55:56 vi1-1 sshd[32370]: Invalid user user01 from
    xxxx
    Jun 2 15:55:56 vi1-1 sshd[32372]: Invalid user user1 from
    xxxxx


    Jun 2 15:55:56 vi1-1 sshd[32374]: Invalid user user1 from
    xxxxx
    Jun 2 15:55:56 vi1-1 sshd[32376]: Invalid user user from xxxxx
    Jun 2 15:55:56 vi1-1 sshd[32378]: Invalid user user from xxxx


    Jun 2 15:55:57 vi1-1 sshd[32380]: Invalid user user from xxx


    Jun 2 15:55:57 vi1-1 sshd[32382]: Invalid user user123 from
    xxxxx
    Jun 2 15:55:57 vi1-1 sshd[32384]: Invalid user user from xxx


    Jun 2 15:55:57 vi1-1 sshd[32386]: Invalid user user from xxxx
    Jun 2 15:55:58 vi1-1 sshd[32388]: Invalid user user1 from
    xxxxxx
    Jun 2 15:55:58 vi1-1 sshd[32390]: Invalid user user2 from
    xxxx.xx



    verstehe das vi1-1 sshd nicht mit der zahl also ich denke das es was mit sshd zutun haben muss würde mich über hilfe freuen.

    Jemand oder etwas hat von Ihrem vServer aus versucht sich auf anderen Servern im Web per SSH anzumelden. Wer oder was dies war, können nur Sie genauer prüfen. Sie sollten bereits Zugangsdaten zum Rettungssystem erhalten haben oder können diese per Antwort auf die Abusemeldung anfordern.

    Danke für die antwort



    ok daten habe ich angefordert kenn mich da nicht so gut aus wie kann ich am besten überprüfen durch was dapassiert ist .


    in welche logs finde ichda am bestenw as dazu .


    das ich weis wie ich mich dann am besten davor schütze werde das system ja neu installieren müssen denke ich mal.

    Durch eine Neuinstallation ist dir unter Umständen aber nur kurzzeitig geholfen. Interressant wäre, wie ein Angreifer ins System kommen konnte, oder ob irgendetwas das installiert wurde bereits schadhaft war. Wenn du den Server genau so aufsetzt wie vorher, dann wird der Angreifer eventuell wieder Zugang finden. Vielleicht waren auch deine Passwörter zu einfach, und wurden über BruteForce "geknackt". War/Ist der Server gegen BruteForce gesichert? Sind die Passwörter gut gewählt? (Gross-/Kleinschrift, Zahlen/Buchstaben/Sonderzeichen, nicht zu kurz, keine Strings der Tastatur).


    Erst einmal alle Daten sichern. Dann mit viel Mühe und Ausdauer die Log-Dateien durchforsten. Erkundigen (Google ist dein Freund) ob über irgendwelche installierten Sachen Schwachstellen bekannt sind und diese ggf entfernen. Erst dann neu installieren.

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.

    Ich könnte mein Beitrag nicht mehr Bearbeiten, weil ich 5 Minuten überschritten habe.
    So eine Mist habe den Text nicht kopiert.
    Da Löschen nicht möglich ist konnte ich nichts machen.

    Was ich eigentlich schreiben wollte ist das der Beitrag noch aus der Betaphase von Teamspeak 3 stammt und nicht mehr so wichtig ist.


    Außerdem sollte man bei einem V-Server folgendes tun:
    - Firewall verwenden
    - Regel eintragen die man bei Bedarf verwendet (Firewall)
    - Andere Prozesse nicht als root ausführen (neuen Benutzer anlegen)
    gilt nicht für Webserver, Datenbankserver und E-Mail Server weil dort andere Benutzer von automatisch angelegt werden.

    Ärgerlich, wenn soetwas passiert.


    Wozu ich dir in Zukunft auf jeden Fall raten kann ist, dass man beim ssh login von root verbietet und stattdessen als ein anderer User einloggt und sich dann zum root macht.
    Damit nimmst du angreifern wieder einen Angriffspunkt.
    Angreifer wissen, dass es einen Benutzer root gibt daher versuchen die meisten immer den benutzer root mit riesigen passwortlisten (bruteforce).
    Wenn du jetzt den Benutzer root den Login verbietest, können die die Liste 100 mal probieren :)


    In der Firewall alles blockieren und dann einzeln z.B. Port 80 für http von außen öffnen oder eben die ports deiner Teamspeak-server....


    Des weiteren befasse dich einmal mit fail2ban.
    Fail2ban wie soll ich sagen überwacht deine logs n bischen also wenn z.B. eine IP innerhalb von x sekunden x mal versucht einzuloggen, wird dieseip tempotär in der Firewall auf geblockt gesetzt.
    Fail2Ban Script für die VCP API



    Wenn du irgentwie hilfe benötigen solltest oder fragen haben solltest, stehen dir sicherlich viele zur Seite.Und zum absichern eines servers gibt es auch schon viele viele tutorials und Threads...
    Kannst dich ja auch gern per pn an mich wenden oder du sendest mir eine email :)


    liebe Grüße Steffen

    Der Login ohne Passwort ist auch gut.
    Also sprich nur mit Key Datei bei SSH.
    Dann muss man aber drauf achten das man keine Trojaner oder Maleware auf dem PC hat sonst kann die Key Datei gestohlen werden, besser wäre eine Kompo aus beiden.
    Was leider nicht über SSH geht.
    Root sollte man aber trotzdem blockieren.

    Ähm du kannst beim generieren der Key-Datei einfach sagen dass der Private Teil verschlüsselt werden soll. Dann musst du beim SSH-Login das Passwort eingeben was du beim verschlüsseln der Key Datei gewählt hast.