[Abuse]Scans von meinem Server entdeckt

  • Hi@all,


    ich bekam heute ne Mail, dass mein Server gesperrt wurde, weil angeblich von diesem aus Scans ausgeführt wurden. Da ich nichts in dieser Art und Weise gemacht habe, wollte ich mal fragen, wie ihr am besten vorgehen würdet. Mein Verdacht ist, das der Server gehackt wurde? Hier der Scanlog:

    Wie ist in so einem Fall die beste Vorgehensweise um die Ursache zu finden?


    Gruß
    Hount

  • Das mit Logs zu analysieren habe ich vergessen.

    Ich würde Password anmeldung per SSH verbieten und nur Key zulassen ausserdem würde ich auch noch den SSH port ändern.

    Gruss

  • So hab dann mal angefangen in den Logs zu wühlen. Bin mal gespannt ob ich da was finde. So "Forensik" ist für mich Neuland.


    Aber mal ne Frage: Ich habe auf meinem Wordpress ein Plugin installiert, dass das Wordpress nach Sicherheitslücken scannt. Kann das Plugin zufällig diese ominösen scanns verursacht haben?


    Edit:
    Es wären folgende zwei Plugins:
    wp-security-scan
    exploit-scanner

  • Quote


    Tue Feb 15 09:09:29 2011 TCP meine IP-Adresse 34620 => 192.168.1.1 10050


    bis


    Tue Feb 15 09:26:49 2011 TCP meine IP-Adresse 42937 => 192.168.1.105 10050



    Wurden die geändert ? weil die IP Adressen kommen doch eigenlich nur im Homenetz vor

    Gruss

  • Nein die wurden nicht geändert. Das einzigste was geändert wurde ist "meine IP-Adresse".


    Was ich bis jetzt schon in der auth.log herausgefunden habe, dass von 3-4 versch. IP immer wieder versucht wurde mit versch. usern Zugriff per SSH zu bekommen. Schätze mal, dass das auch irgendwie gelungen ist. :(


    Aber was die Scans betrifft, fische ich noch ziemlich im trüben....

  • Den Gedanken hatte ich ja auch schon. Deswegen meine Frage mit den Wordpress Plugins.


    Wie könnte ich so einen internen Scan feststellen?


    Installiert ist Xabbix und versuchsweise Icinga. Die könnten doch theoretisch solche scans doch auch ausführen oder?

  • Um die Frage der Sicherheit zu klären muss man einiges abklären:
    - War Root Login erlaubt?
    - Wie lang war das PW?
    - War der Server auf dem neuesten Stand?
    - Irgendwelche verdächtigen Prozesse?
    - Chroote in Dein System. Was sagt RKHUNTER / CHROOTKIT?



    Sofern scannende IP's bekannt sind:
    - ripe.net => WHOIS => IP eingeben
    - Abusemail zu der dort angegebenen IP schreiben, sofern es eine Deutsche IP ist Strafanzeige



    Viele Grüsse
    ubuntu

  • Vielen Dank. :)


    - War Root Login erlaubt? --> Nein
    - Wie lang war das PW? --> 14 Zeichen
    - War der Server auf dem neuesten Stand? --> Yupp ein immer "upgedatetes" Ubuntu
    - Irgendwelche verdächtigen Prozesse? --> Keine Ahnung
    - Chroote in Dein System. Was sagt RKHUNTER / CHROOTKIT? --> Könntest Du mir das bitte genauer erklären? :o


    Das mit ripe.net habe ich vor. Will aber vorher wissen was Sache ist.

  • Naja mit ubuntu hatte ich das Problem dass nie Updates kamen. Seitdem ich Debian hab ist das weg.


    chroot: Du wechselst mit dem Rettungssystem nach /vserver und machst dann chroot ./ /bin/bash


    Dann installierst du rkhunter


    apt-get install rkhunter.


    Mit dem Teil kannst Du auf rootkits scannen.