Mein vServer dreht vollständig durch

  • Seht selber. Sollte ich mir Sorgen machen?

  • Nein, ein Upgrade habe ich nicht gemacht. Traffic in diesem Monat 0,78GB Traffic, also auch nichts auffälliges. Habe jetzt mal per Firewall komplett dicht gemacht und werde das Problem analysieren. Denn auch rkhunter findet keine Rootkits.

  • Schöön :)
    Wie groß ist denn deine /bin/bash?
    Meine hat 793kB.
    Ich weiß nicht, ob Virenscanner korrupte bins erkennen. Hast du mal eine der bins an VirusTotal geschickt?
    Ansonsten irgendwelche Auffälligkeiten wie komische Einträge in /etc/passwd und /etc/shadow, unbekannte Ports, Mehrtraffic, merkwürdige Prozesse, abnormes Verhalten des Servers wie Zugriffsbeschränkungen und so?


    EDIT: ups, bissle spät, was?
    Ach so, der hat gecheckt, ob sich die Dateigröße geändert hat, nicht, ob die Datei zu groß ist. Upsa...

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

  • Mehrtraffic nein, einschicken werde ich gleich. Passwd hat ein paar Einträge die mich verunsichern



    So, vserver shutdownen und Logs (hab die extern gesichert) anschauen

  • Quote from ubuntu;23944
    Code
    [ Rootkit Hunter version 1.3.0 ]


    Deine Version ist vom 22/09/2007. Wieso updatest du nicht? Das Programm in dieser sehr alten Version auszuführen ist so sinnvoll wie einen Virenscanner von einer CD von 2007 auf einem aktuellem System zu installieren und dann irgendwas zu hoffen.


    Ich habe rkhunter bei mir spasseshalber installiertert, hier die Zusammenfassung:

    rootkits sind auf einem vserver im user-Space nicht möglich, die Warnings sind naja..


    update:

    Quote from ubuntu

    Passwd hat ein paar Einträge die mich verunsichern


    Sieht doch alles normal aus - Was verunsichert dich denn?

    "Security is like an onion - the more you dig in the more you want to cry"

  • Welche verunsichern dich denn?
    Bei den meisten sehe ich bei der Shell ein /bin/false, was einen Rauswurf bedeutet. Interessant ist jetzt folgendes:
    a) Existiert eine ~/.ssh/authorized_keys für die Benutzer?
    b) Ist in der /etc/shadow ein gültiger Hash als PW angegeben?
    c) Werden unerwünschte Prozesse der Benutzer ausgeführt?


    Dir ist aber klar, dass diese Benutzer schon bei einer nackten Installation mit dabei sind? Es sind keine Einbruchsbenutzer.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

  • Mich verunsichert IRCD, gnats, bind, proxy, games


    Solches habe ich nie angelegt bzw installiert. Key-Login habe ich nie eingerichtet, da der SSH port nur für meine IP zuhause frei ist.


    Shadow:

    Code
    entfernt


    Warum ich nicht geupdatet habe: apt-get update, apt-get upgrade, apt-get dist-upgrade bringt bei mir seit 3 Monaten keine Updates, habe netcup angefragt, als Antwort kam, dass kein Fehler im Image bekannt ist.

  • Tja, offenbar kann man sich nur bei root, web und user per PW einloggen (warum eig? Reicht ein Zugang nicht aus, wenn es nur für zu Hause ist?). Warst du das? Paswörter bekannt?
    Interessant ist nicht, ob du public keys hinterlegt hast, sondern, ob es jemand anderes getan hat. Ich bin einmal genau so in einen Server eingedrungen, habe per FTP public keys hinterlegt.


    Die Benutzer ircd und games sind bei der Installation dabei. Frag micht nicht, wieso.


    Was die Updates angeht: Repos-Quellen mal angesehen?


    Also, ich glaube nicht, dass etwas mit deinem vServer los ist. Erst recht nicht bei 780MB Traffic in einem (knappen) Monat.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

  • Quote from ubuntu;23960

    Mich verunsichert IRCD, gnats, bind, proxy, games


    Solches habe ich nie angelegt bzw installiert.


    Bei Debian waren immer so ein Haufen Service-User dabei. Das ist deren Konzept.


    Wenn dich die User verunsichern: Welche Dateien gehören denn den entsprechenden Usern?

    "Security is like an onion - the more you dig in the more you want to cry"

  • Habe gerade die Webserverlogs der letzten 3 Tagen gecheckt, da ist nichts auffälliges dabei. syslog und auth.log auch nicht. Ich weiss, dass das vor 3 Tagen noch nicht war. Wie soll ich weiter vorgehen?

  • Vergessen und ins Bett gehen, wird, denke ich, die richtige Wahl sein.
    Und morgen ein wachsames Auge auf Traffic, Prozesse und Ports haben.


    Btw: Bei mir läuft Zabbix als Sicherheitsinstanz. Einfach abschalten kann es der Eindringling nicht, da sonst Alarm geschlagen wird (denn der Server zum Client läuft auf einem separaten Host, der wiederum nur den Client für den andern Server hat, und wenn der keine Verbindung kriegt, gehen die Alarmglocken los). Und der kriegt u.a. mit, ob sich die /etc/passwd oder die /etc/shadow ändert, ob es neue authorized_keys gibt, ob sich die bins ändern, ob sich die wichtigen Configs wie die vom sshd ändern, ob plötzlich viele Prozesse laufen oder ob mit einem Mal ordentlich Traffic verursacht wird. Alles hübsch grafisch und mit Email- , Telefon- und SMS-Benachrichtigung.

    Mein Server:
    v(olks)Server 1. Serie: 2,5GHz, 1024MB RAM, 1024MB Swap, 2x60GB-Raid1-HDD, Traffic-Flat
    Node:
    78.46.117.9x | hos-tr2.ex3k4.rz7.hetzner.de

  • Naja, dann kann ich nicht schlafen weil ich Angst haben muss dass der vServer gehackt wird oder wurde?


    Mein Problem ist, dass ich unter 18 bin und der Vertrag über meinen Vater geht, darum ist 10fache Vorsicht erforderlich. Ich habe in diese Installation kein Vertrauen mehr.


    EDIT: Nach einem purgen von rkhunter und erneuten installation meint er wieder dass alles im grünen Bereich ist, virustotal zur /bin/bash ergibt auch nichts. Laut Munin sehen auch alle Graphen normal aus.

  • Quote from ubuntu;23964

    Habe gerade die Webserverlogs der letzten 3 Tagen gecheckt, da ist nichts auffälliges dabei. syslog und auth.log auch nicht.


    Da steht nirgendwo

    HTML
    <blink>Server ist gehackt</blink>

    drin? Dann wäre ich misstrauisch. Erst wenn da irgendwo ein

    HTML
    <blink>Server ist nicht gehackt, alles ist gut!</blink>

    steht, dann ist es auch so.


    HTML
    </ironie>


    Natürlich würde ein Angreifer die Log-Dateien entsprechend anpassen, wenn er es halbwegs ernst meint. Aber hast du wirklich so vertrauliche Daten auf deinem Server drauf, die einem echt professionellem Angriff wert sind?

    "Security is like an onion - the more you dig in the more you want to cry"

  • Hehe, nein da ist nur mein kleines Wordpress drauf, kein Mailsystem, SMTP Port ausgehend ist dicht. Webserver-Logs liegen extern (werden immer mitternacht gzipped und meine NAS lädt sie mittels wget herunter)

  • So, ich habe jetzt rkhunter in der aktuellen Version 1.3.6 installiert. Dieser meckert noch bei 4 Dateien: