Server gehackt(Anfänger)

  • Hallo liebe Community

    Ich habe vor etwa 2 Wochen einen V-Server bestellt, da ich einen kleine MC-Server aufsetzen wollte und mich mit v-servern vertraut zu machen.

    Mein Grundgedanke war, dass ich am besten lerne beim selbst verwalten einen Servers.


    Nun habe ich aber vor ein paar Tagen eine Abuse-Meldung erhalten.

    Mein Server wurde für Angriffe auf andere Netz-Teilnehmer genutzt und ich soll nun eine Stellungsnahme schreiben. Nach einigem durchforsten von Foren habe

    ich heraus gefunden, dass es in den letzten Tagen vermehrt zu unrechtmäßigen einlogg versuchen kam(um die 100000 aus Vietnam), da ich kein fail2ban hatte. Also ist

    das Problem der Schwachstelle geklärt(meine Eigene Naivität;(). Das Problem der Schadsoftware besteht jedoch noch. Ich habe mir die Prozesse, letzte veränderte Dateien

    angeschaut und habe genau wie der Viren-Scanner clamav keine Auffälligkeiten gefunden. Natürlich wurde auch das Protokoll vom Benutzer vom Angreifer gecleart.


    Ich denke mal das der "Einbrecher" irgendetwas Hinterlassen haben muss oder?

    Ich habe jetzt auch schmerzhaft spüren müssen, dass ein V-Server kein learn-by-doing Projekt ist und das braucht auch nicht mehr erwähnt werden.

    Ich hoffe das ihr mir bei der Identifizierung und Behebung der Schadsoftware helfen und ein paar Tipps geben könnt.


    Danke.

  • Hallo!


    Ganz einfach: Plattmachen und neu aufsetzen. Ein einmal kompromittiertes System bekommt man nicht mehr so schnell sauber.


    Backups sind ja hoffentlich vorhanden, allerdings musst du da aufpassen das die nicht auch kompromittiertert sind.


    Viele Grüße

    margau

  • Nee, komplett neu installieren. Identifizieren musst da nix, es gibt zuviele Möglichkeiten.


    Wie stark waren deine SSH Passwörter? Ein paar Millionen Versuche dein Passwort zu brute forcen sollte man leicht abkönnen.


    War der root Account deaktiviert?


    Gab es irgendwelche php Software die übers Internet/Webserver erreichbar war?


    Thomas

  • Hay,


    wenn die Platte mal leer gemacht ist und neu installiert ist, beginnt das Spiel von neuem. Der Virus oder das Rootkit ist dann auch weg.


    Wenn man neu ist (oder faul wie ich), eine Verwaltungssoftware für den Server benutzen, wie z.B. Plesk und zuallererst eine firewall installieren, alles unnötige dicht machen (leider hat Plesk eine umfangreiche Liste, was offen sein muss...), fail2ban drauf (gibts auch als Plesk-Modul), login per ssh für root sperren und dem Sudo-Nutzer nur gestatten, sich mit Key zu identifizieren. Ich möchte absichtlich nicht ins Detail gehen... die Beschreibung enthält alles, was Du brauchst, um Dich durch die notwendigen Themen für einen Erstlings-sicheren-Server durchzulesen... und das solltest Du tun.


    Wer nicht neu ist und keine Verwaltungssoftware verwendet, soll installieren, mit iptables alles bis auf den Port 22 dicht machen und dann im obigen Satz bei "fail2ban drauf" weiterlesen :)


    Dann nach und nach wieder freigeben. Port 443, Port 80 etc. und immer schauen, was die Logfiles sagen. Bevor man da nicht sicher ist, nichts für Anfänger schwer handhabbares installieren, z.B. eine asterisk-Telefonanlange 8o


    Viel Spaß.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Naja, die Ursache sollte man aber schon identifizieren. Sonst ist die Kiste eventuell sofort wieder übernommen...


    Und ob eine Neuinstallation notwendig ist, kann man auch erst danach sicher wissen. Bei einem gehackten Webaccount und ohne Kompromittierung des root-Accounts muss man keinen Server platt machen. Angriffe auf andere Systeme kann man auch mit eingeschränkten Rechten fahren, das bedeutet mal gar nichts.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Hay,



    Naja, die Ursache sollte man aber schon identifizieren. Sonst ist die Kiste eventuell sofort wieder übernommen..

    das sehe ich auch so, ... aber wer? Jemand, der sich gerade erst an einen eigenen Server im Neuland herantastet? Wäre natürlich eine schöne Übung, doch währenddessen kriecht das nächste Rootkit durch eine bereits installierte Backdoor in den Server. Bei einem meiner Lieferanten wurde durch eine Lücke in einem uralten Drupal der komplette Server komprommitiert. Zweimal.


    Ich habe es so gelesen, dass auf dem Server bislang noch nichts nennenswertes gelaufen ist, demnach nichts gerettet werden müsste. Also ist für mich der Reset auf Null die praktikabelste Vorgehensweise. Ich sehe es einfach so, dass das Ding vermutlich offen wie ein Scheunentor gewesen war.


    Als ich meine erste Telefonanlage aus einem internen Netz ins Internet gebracht habe, ist mir auch aufgefallen, dass man selbst bei Telefonen keine Deppenpassworte verwenden sollte, plötzlich hatte ich ein unbekanntes IP-Telefon an der Durchwahl 100 angemeldet vorgefunden. Mit Passwort 100. Ja, klar. Gut, dass ich noch keinen Wählplan installiert hatte und niemand telefonieren konnte, er hat sich aber schon fleißig Warteschlangenmusik (einen Radio-Stream) angehört :D


    Also plädiere ich für Projekt Genesis. Es werde Licht. Nochmals.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Wäre natürlich eine schöne Übung, doch währenddessen kriecht das nächste Rootkit durch eine bereits installierte Backdoor in den Server.

    Sowas kann man auch über das Rettungssystem machen… ;)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Hay,

    Sowas kann man auch über das Rettungssystem machen… ;)

    natürlich - macht es für einen Anfänger aber noch schwieriger als am dahinsiechenden System :)allerdings könnte man dann einen Watchdog wie z.B. rkhunter installieren oder laufen lassen.


    But however... Beantwortet noch immer nicht die primäre Frage: Wer ist "man"? :whistling:Gibt es hier eine fachkundige Person, die Zeit hat, merroy98 zu helfen? Das wäre natürlich optimal...


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Ich weiß zwar nicht ob ich kompetent genug bin, aber anschauen würd ichs mir gern. Je nach Qualität des Angriffs sollte das checken von ‚last‘, dem Maillog, dem Ordner ‚/var/www‘ sowie den SSH und weiteren Passwörtern (Komplexität) schon ausreichen. Leider hat mir der TO bislang noch nichtmal die Frage beantwortet wie Komplex seine SSH (und Plesk!) Passwörter waren, ob User ‚root’ aktiv war und ob es überhaupt eine Website da drauf gab...


    Thomas

  • Eine Variante zur forensischen Analyse wäre, einen Snapshot des vServers zu exportieren und mit qemu-img in eine VM-Disk zu konvertieren.

    Damit dann eine VM ohne Netzwerk aufsetzten oder mit einer Linux-Live-CD analysieren, ohne das installierte Betriebssystem zu starten.


    P.S. Das ist alles theoretisch, selbst gemacht habe ich das noch nicht.. :)

    CentOS 7 / nginx / php-fpm / postfix / rspamd / clamav / dovecot / nextcloud running on RS 1000 SSDx4 G8 / VPS 500 G8 / VPS 2000 G8 Plus

    • Offizieller Beitrag

    Nee, komplett neu installieren. Identifizieren musst da nix, es gibt zuviele Möglichkeiten.

    Ddie eindeutige Identifizierung der Schwachstelle wäre aber durchaus sinnvoll. Ohne diese identifiziert zu haben, lässt sich nicht sicher sagen was als Einfallstor genommen wurde. Wenn es dann z.b. eine Lücke in einer Zusatzsoftware oder eine unsicheren Konfiguration ist, installiert oder konfiguriert man sich die ja wieder, sofern man alles wieder wie vorher einrichtet.

    Mit freundlichen Grüßen
    Kai Stenders
    netcup Team
    Operations