Hacker führt bind9 Script aus

  • Hallo,


    auf meinen upgedateten Debian-Wheezy Server ist ein Hacker eingedrungen, der Spam per SMTP verschickt. Mein alter Backup ist zwar noch clean, aber sobald ich mit diesem Online gehe, connected der Remote Server sofort und fürt ein bind9 Script aus.


    Diesyslog zeigt folgende Auffäligkeit, siehe pastbin:
    Jan 21 19:23:19 my-hostname rsyslogd: [origin software="rsyslogd" swVersion="5.8 - Pastebin.com


    Die auth.log sieht sauber aus. In der mail.log erkenne ich den massenhaften Versand. Ich gehe davon aus, dass einen veraltete Joomla Version schuld ist. Es wurde sichtlich ein bind9 Scriipt ausgeführt. Hat einer eine Idee, wie ich die Ursache genau finden kann? Danke!

  • Hallo! Danke für den Hinweis.


    Ich habe momentan einige Passwörter geändert und der Spam lässt sich nicht stoppen: rootpw, sqlrootpw, mail-postfächer pws.
    Ich nehme nun mal sql in den Fokus. Es ist schon merkwürdig, dass das Remote Script einfach connecten kann, obwohl ich die Passörter alle ändere.


    /etc/mysql/main.cf scheint zu viele Rechte zu haben! Wenn ich diese auf chmod 640 setzen ist folgende Auffälligkeit in der Syslog zu erkennen:
    nJan 22 18:33:22 my-hostname postfix/postfix-script[9431]: starting the Postfix - Pastebin.com



    Sieht aus als hätte hier jemand Zugriff diese Datei wieder zu ändern?


  • Ich habe momentan einige Passwörter geändert und der Spam lässt sich nicht stoppen: rootpw, sqlrootpw, mail-postfächer pws.
    Ich nehme nun mal sql in den Fokus. Es ist schon merkwürdig, dass das Remote Script einfach connecten kann, obwohl ich die Passörter alle ändere.


    Das unsichere Joomla ist gesichert oder gesperrt worden? Der gesamte Webspace wurde auf Schadcode untersucht?


    Über MySQL wird jedenfalls ziemlich sicher keine Mails verschickt. Irgendwie stocherst du mir viel zu sehr im Dunkeln herum anstatt mal zu schauen, wer die Mails überhaupt versendet... (das müsste in den Mail-Logs ersichtlich sein)


    /etc/mysql/main.cf scheint zu viele Rechte zu haben! Wenn ich diese auf chmod 640 setzen ist folgende Auffälligkeit in der Syslog zu erkennen:
    nJan 22 18:33:22 my-hostname postfix/postfix-script[9431]: starting the Postfix - Pastebin.com



    Sieht aus als hätte hier jemand Zugriff diese Datei wieder zu ändern?


    Wo willst du das denn sehen!? Während MySQL neu gestartet wird, kann Postfix natürlich nicht darauf zugreifen, was ein paar Fehlermeldungen erzeugt.


  • Das unsichere Joomla ist gesichert oder gesperrt worden? Der gesamte Webspace wurde auf Schadcode untersuch?


    Ja, inklusive Virenscanner und finds. Interessant ist aber insbesondere, dass der Angreifer sofort (wirklich sofort!) auch dort connecten kann. Dort scheint etwas automatisiert abzulaufen, was sofort immer einbricht. Ich klemme jetzt nach und nach Funktionen ab. Mit postfix start/stop sehe ich sofort ob er wieder spamt. Den backup kann ich immer zurückrollen.


    (das müsste in den Mail-Logs ersichtlich sein)


    Leider nicht :( Ich habe sogar find auf die Zeit des Eindringends ausgeführt und veränderte Dateien gesucht.


    EDIT: Das abklemmen der Webeiten im Rettungsodus hat nicht geholfen, mit fehlt momentan leider eine Idee.

  • Hallo,


    ich führe hier einfach mal meinen Jagd-Fortschritt fort ;)


    Ich habe den Server heute mal als neues Debian Image im Rettungsmodus gestartet. Ind er Log ist dort zu sehen, dass der Hacker den ganzen Tag versucht hat eine SSH-Verbindung aufzubauen:


    Code
    Jan 23 14:22:16 haccp-system sshd[22454]: Address 61.174.49.103 maps to 103.49.174.61.dial.wz.zj.dynamic.163data.com.cn, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
    Jan 23 14:22:18 haccp-system sshd[22454]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.174.49.103  user=root
    Jan 23 14:22:19 haccp-system sshd[22454]: Failed password for root from 61.174.49.103 port 41959 ssh2
    Jan 23 14:22:22 haccp-system sshd[22454]: Failed password for root from 61.174.49.103 port 41959 ssh2
    Jan 23 14:22:24 haccp-system sshd[22454]: Failed password for root from 61.174.49.103 port 41959 ssh2
    Jan 23 14:22:24 haccp-system sshd[22454]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.174.49.103  user=root


    Das ist defintiv der Angriffsversuch der sichd en ganzen Tag wiederholte!

  • Solche Zugriffsversuche über SSH sind (leider) recht verbreitet. Dagegen kann man mit fail2ban vorgehen oder den SSH-Port ändern. Gab es denn erfolgreiche Logins?

    Ja leider sind die Zugriffsversuche auf den SSH Port "normal" wie Dragon schon schreibt fail2ban nutzen, root zugriff verbieten und am besten nur zertifikatbasierten Zugriff erlauben.
    Ich bin in der glücklichen Lage das ich ne Feste IP Adresse an meinem heimischen Anschluss habe, so kann ich sogar den Zugriff auf eine IP beschränken.


    Zu deinem Mail Problem:


    Ist es möglich das jemand eine Mailbox anlegen konnte und darüber sendet, oder noch schlimmer der Spam über eine Adresse gesendet wird die in Froxlor etc angelegt worden ist und einfach die Zugangsdaten bekannt geworden sind? Dann ist es ja nicht mal ein Hack.


    Gruß
    Philipp

  • Auf den neuen Image haben die Nutzer keinen Zugriff. ich glaube auch mittlerweile weniger, dass der Hacker ssh Zugriff hatte. Die Zugriffe heute waren nur alle 10-20 min einamlig. Gehe ich mit dem Server Online gehen die Mails jedoch sofort (!) in scharen raus.


    Ist es möglich das jemand eine Mailbox anlegen konnte und darüber sendet, oder noch schlimmer der Spam über eine Adresse gesendet wird die in Froxlor etc angelegt worden ist und einfach die Zugangsdaten bekannt geworden sind?


    So etwas ist wahrscheinlich. Ich frage mich jedoch warum dann meine cleaner Backup vom 5. Januar auch sofort Spam versendet. Der Hacker muss also irgendwelche Zugangsdaten haben. Merkwürdig ist, dass er einfach weitersendet wenn ich die Mail / SQL / root-Passwörter ändere. Ich habe mal in SsyCP reingeschaut: Dort sind keine verdächtigenm Konten oder MailAdressen sichtbar. Beim Blick in die Spam Mails wird eine bereits bestehender Mail-Adresse von mir verwendet, oder eine solche, wo der erste Buchstabe fehlt. Zumindest ist das die Angabe zum Absender der Mail. In /var/customers/mail ist sonst leider nichts auffällig.

  • Langsam hast du alle installierten Dienste verdächtigt und ausgeschlossen oder? Ich würde erstmal auf ein unsicheres Script tippen, hast du dir schon alle Access Logs vorgenommen?
    Kannst du uns bitte die relevanten Logs des Mail-Servers posten, darin sollte man sehen wie der Versand erfolgt.

  • Ich habe mich dazu entschlossen neu zu installieren. Dafür habe ich das netcup Debian squeeze Image mit Froxxlor gewählt. Interessanterweise bekomme ich sofort nach der neu-Installation wieder Dinge in der Syslog


    1) Das sind immer noch Mails, die als Respones von den Spams zurückkommen
    oder
    2) Der Hacker hat Froxxlor als EInstiegspunkt gewählt. Das wäre dann auch sicher für netcup interessant.
    oder
    3) Das sind nun alles rejects von anderen die meinen Server vollspammen


    Hier die syslog:
    Jan 23 22:38:33 my-host rsyslogd: [origin software="rsyslogd" swVersion="4.6.4" - Pastebin.com


    Auch wenn ich das debianz wheezy Image wähle und froxlor selbst installiere kommen noch jede Menge Responeses an. Aber dann keinerlei sql logs! Das lässt vermuten, dass die alte Froxlor Version eine Sicherheitslücke sein könnte. Jedenfalls kommen mit frischen Wheezy mit frischem eigenen Froxlor nun nur noch viele derartige Logs an. Es sieht mir aber auch aus, als wird nur meinen Server vollgemüllt von anderen Spammern:


    Code
    Jan 23 23:23:24 my-host postfix/smtpd[18220]: NOQUEUE: reject: RCPT from ool-44c3f48a.static.optonline.net[68.195.244.138]: 550 5.1.1 <[email]riedrichs@my-host.de[/email]>: Recipient address rejected: User unknown in local recipient table; from=<> to=<[email]riedrichs@my-host.de[/email]> proto=ESMTP helo=<millmanaronslaw.com>



    EDIT: Es scheint als sei ich Oper einer Backscatter Attacke:
    Fail2ban for the uninitiated. | Binaryone - Part 8
    Postfix Backscatter Howto


  • Hier die syslog:
    Jan 23 22:38:33 my-host rsyslogd: [origin software="rsyslogd" swVersion="4.6.4" - Pastebin.com


    Auch wenn ich das debianz wheezy Image wähle und froxlor selbst installiere kommen noch jede Menge Responeses an. Aber dann keinerlei sql logs! Das lässt vermuten, dass die alte Froxlor Version eine Sicherheitslücke sein könnte. Jedenfalls kommen mit frischen Wheezy mit frischem eigenen Froxlor nun nur noch viele derartige Logs an.


    Laut syslog stimmen die MySQL-Daten bei Postfix und libnss-mysql nicht. Wie das auf eine Sicherheitslücke hinweisen soll, ist mir allerdings völlig schleierhaft.


    EDIT: Es scheint als sei ich Oper einer Backscatter Attacke:


    Dass du nach einer Neuinstallation Bounce-Mails bekommst, zeigt noch lange nicht, dass es nur Backscatter ist. Wenn dein Server vorher gehackt wurde und Spam verstandet hat, dann sehe das jetzt genauso aus.

  • Wenn dein Server vorher gehackt wurde und Spam verstandet hat, dann sehe das jetzt genauso aus.


    Nunja ein frisches Debian Wheezy Image mit frischem postfix -> und sofort geht es los. Ich gehe nicht davon aus, dass so einfach in ein völlig frisches System eingedrungen werden kann. Zumal ist nicht zu erkennen, dass ich die Mials versendet habe. Es sieht mir mehr danach aus, als wäre bei den angegriffenen anderen Server ich nur als der Absender eingetragen.


  • Nunja ein frisches Debian Wheezy Image mit frischem postfix -> und sofort geht es los.


    Ich meine ja auch das alte System... Wenn du dir gar nicht sicher bist, ob überhaupt Spam versendet wurde, dann hätte man das Thema ganz anders angehen müssen. Ob Spam versendet wurde, hätte man in den Logs vermutlich leicht erkennen können. :rolleyes:

  • Wenn du dir gar nicht sicher bist, ob überhaupt Spam versendet wurde, dann hätte man das Thema ganz anders angehen müssen. Ob Spam versendet wurde, hätte man in den Logs vermutlich leicht erkennen können. :rolleyes:


    Du hast du absolut recht! In den Logs war kein Versenden erkennbar. ich habe mich durch den Inhalt der Mails mit meinem Absender, die wiederrum als Zitat bei mir ankamen, täuschen lassen. Jedenfalls leistet gerade aut Logs fail2ban hervorragende Dienste. Danke soweit nochmal :)