Posts by hannes.b

    Wir verwenden nur original Software, auf dem User selbst der zum arbeiten dient gibt es nur Putty,Winscp,Namo (alte Namo version die schon ca 5 Jahre im Einsatz ist).
    Auf dem Standard User gibt es mehr Software Office, Lexware etc die aber alle original sind.


    Ich bin was den PC angeht sehr empfindlich, Jahre lange Erfahrung (oder auch Alpträume mit MS Produkten genannt:)) und etliche Nerven lassn mich da sehr vorsichtig werden.

    Sunshine
    Mein PC kann ich zu 99,9% ausschliessen, der wird mehrmals die Woche geprüft und verfügt über eine Reg sperre (bei jeder änderung egal welcher wird die angezeigt und abgfragt ob ok oder nicht auch für den Admin).
    Arbeits PC Windows 7 x64 > Avast Pro x64 antiviren Soft > Spybot > Hostdatei gesperrt. (uptodate)

    Dazu kommt wenn ich arbeite/sürfe wechsele ich den Benutzer am PC mit eingeschränkten Rechten um ein evtl Zugriff auf wichtige Daten erst gar nicht zu ermöglichen (Buchhaltung, Banking usw).

    Dazu sitze ich hinter 2 Firewalls (Router,PC).
    Ein Scan mit den genannten Software und auch anderen brachte keine Befunde.

    Wenn das auch das Problem wäre hätte ich das Problem auch mit sämtlichen anderen Servern von mir und auch ganz anderen Dingen.
    Das würde dann ja nur ein Keylogger ermöglichen der viel mehr Preis geben würde als ich mir derzeit leisten kann :)

    In der Zeit habe ich auch aktiv auf 2 anderen Servern änderungen gemacht.

    Ich denke man kann es erst genau sagen wenn man zb eine komplette Passwortliste die verwendet wurde einsehen könnte, nach welchen Prinzip abgefragt wurde.

    Aber denke das ich in Zukunft dann nur noch mit Authkeys und Pass Abfrage arbeiten werden (zu dem Port ändern,Pass sehr komplex wählen).

    EDIT: felix, welche Möglichkeiten würden den noch in Betracht kommen?

    Guten Morgen, der Pass wurde in den 3 Std nicht geändert. Als der Eingriff passierte war das standard generierte Passwort aktiv, wei das aussah kann ich leider nicht sagen da ich es in der zwischenzeit nicht mehr habe.

    Nach dem Wechsel war ein Passwort mit 10 Zeichen, Zahlen aktiv (vermutlich etwas schwerer einzuschätzen als die standard).

    Nach einem Setup dann: (am ende ist der Passwechsel, zugang gabe es aber schon vorher)
    Nov 13 08:28:32 v123 sshd[10716]: Accepted password for root from meine.ip port 57859 ssh2 // Login Ich selbst
    Nov 13 08:28:57 v123 sshd[10790]: Accepted password for root from meine.ip port 57863 ssh2
    Nov 13 08:34:19 v123 sshd[14608]: Accepted password for root from meine.ip port 57957 ssh2
    Nov 13 08:35:30 v123 sshd[16272]: Accepted password for root from meine.ip port 57961 ssh2
    Nov 13 08:35:56 v123 sshd[16483]: Accepted password for root from meine.ip port 57962 ssh2
    Nov 13 08:46:28 v123 sshd[2655]: Accepted password for root from meine.ip port 58256 ssh2
    Nov 13 12:49:24 v123 sshd[25761]: Accepted password for root from 62.193.228.27 port 51937 ssh2 // wpc1310.amenworld.com
    Nov 13 12:53:31 v123 sshd[30548]: Accepted password for root from 62.193.228.27 port 41331 ssh2
    Nov 13 12:53:40 v123 sshd[31423]: Accepted password for root from 62.193.228.27 port 42904 ssh2
    Nov 13 12:53:46 v123 sshd[32210]: Accepted password for root from 62.193.228.27 port 44100 ssh2
    Nov 13 12:59:48 v123 sshd[2967]: Accepted password for root from 188.26.82.36 port 2198 ssh2 // Romäne
    Nov 13 13:01:37 v123 sshd[14203]: Accepted password for root from 188.26.82.36 port 2201 ssh2
    Nov 13 13:02:19 v123 passwd[20202]: pam_unix(passwd:chauthtok): password changed for root

    Vom Server her ar er auch nach Aussage von Floo sehr sicher, anhand den Logs findet mal unzählige Fehlversuche von Logins (teil 3-4MB dateien) und auch das was gemacht wurde um sich dauerhaften Zugang einzurichten. Das komsiche ist das 2 verschiedene drauf Zugriff bekommen haben sieh Post oben.

    Was mit der IP vorher war, kann ich leider nicht sagen oder wem sie gehörte. Der Server steht ab da ständig in Beschuss :) auch von anderen Tools wie Hacktool.dfind

    Da der Server neu aufgesetzt war zu dem Zeitpunkt war nur mir der Pass bekannt, auf meinem PC ist keine Schadsoftware oder Trojaner usw (dann hätte ich vermutlich noch ganz andere Probleme :)).
    Er war auch nirgends hinterlegt wo man ihn abgreifen hätte können.
    Bin da auch etwas Ratlos aber kann mir nur extremes Pech erklären, von der Zeitrecherche des Tages (13ter) kann so nicht in bertacht kommen da ich in der Zeit auch arbeiten musste und Sohenmann in Kindergarten bringen usw.

    d.h ich hätte nach dem aufssetzen keine Zeit Pass usw zu ändern sondern erst ca 3 std später wo es schon zu spät war. Erst dann wurde er geändert, d.h das es einzig in Winscp eingegeben wurde und auf einem Zettel das ich ihn nicht vergesse (auf dem Tisch in einem Raum wo keiner zu der Zeit drin sein konnte). Kein Dritter hat den Pass gewusst.

    Es ist wirklich komisch aber anhand der Logs/Zeitablauf wohl zu 99,9% sicher das die Pass da eine grosse Rolle spielen (evtl auch nur ein blödes erwischt oder ein dummer Zufall, es ist aber sehr eindeutig).

    Netcup trifft da auch keine Schuld, man sollte halt sofort die Passwörter ändern und nicht erst warten. Es wäre aber evtl hilfreich wenn man die Passwörter etwas schwerer gestaltet um selbst die kleinste Wahrscheinlichkeit auszuschliessen.

    Mann sieht ja anhand der Logs in welchen Zeitrahmen das passierte oder welche Möglichkeit kommt den sonst noch in Betracht?

    Der Server war frisch aufgesetzt, es gab keine Fremdsoftware auf dem Server oder meinem PC (selbst Syscp wurde erst gegen mittag/abend installiert). Der Zugang zum Zettel mit dem Pass ohne mein wissen unmöglich (abgeschlossene räumlichkeiten).

    Stelle auch Netcup gerne die Logs zur Verfügung (bzw wird in dem Fax alle Infos dabei sein, da es ja auch als Frage erwünscht war wie es passierte und was man dagegen in Zukunft macht), wichtig war mir nur zu wissen wie es passierte um es in Zukunft zu unterbinden.

    Da der Server und das Projekt was damit verbunden ist schon im Zeitverzug ist und sich auch keine Hacker angriffe (erfolgreiche) leisten kann. Die dann evtl noch andere Server abschiessen und evtl noch Rechtliche folgen mit sich bringen.

    Wichtig ist mir das der Server nun schnellst möglich wieder Online kann neu installiert und in Betracht der empfohlenen Änderungen die ich dann direkt erledige.

    Manchmal ist das Leben ganz gemein zu einem, ich ziehe sowas manchmal an :D

    Ich möchte mich hier auch noch mal für die Hilfe von Floo bedanken der hier eine grosse Hilfe war.

    Fazit keine kreative Pause nach einem frischen Server, auch wenn es nur min,Std sind :) sondern sofort den Port, Pass und Art des Logins ändern.

    Das es so schnell bei doch relativ "scheinbar" sicheren Passwörtern so schnell zu Einbrüchen kommt hätte ich mir nicht gedacht.
    Scheibar hatte ich auch Pech im Pech da nur 1min nach dem der Server Online ging versucht wurde drauf zu kommen und dann noch ein "blödes" Standard Passwort hatte was dann in 3-4 std geknackt war.

    Danke nochmals Floo

    Gruß Hannes

    Mit den 30 war der Port gemeint nicht die Passwort länge :)

    Das mit den Logs per Mail ist ne gute Idee :o hoffe die machen das auch, gleich mal anrufen.

    Das mit Lenny ist halt so eine Sache man hört halt auch negaives darüber, fakt ist das ich auf einem Server sogar noch Sarge einsetze (u. auch Etch Server) dort habe ich solche Probleme in den letzen 7-8 Jahren nicht gehabt.
    Die bekommen auch ab und an irgendwelche Angriffe ab, aber scheinbar muss hier ein kleines Leck sein. Da ja nicht viel drauf war liegt der Gedanke ja nahe. Aber rufe erstmal den Support an.

    Das erste Problem ist das ich die 2 wichtigsten Logs nicht öffnen kann (timeout beim download oder öffnen).

    Scheinbar was man teils aus anderen Logs schliessen kann muss es wohl über Mysql gelaufen sein.

    Was mich nur total verwundert wie ein Server dessen DNS nicht aufgelöst wurde zu dem Zeitpunkt für jemand im Netz bekannt ist.

    Passwörter sind 10 Stellig inkl Zahlen, Zeichen
    Open:base_dir wurde verwendet.
    SSH war auf 30 statt 23

    Fremdsoftware gab es nicht einzig Debian Lenny, Syscp und 2 Scripte für IP Drop und Firewall (sichere Scripte). Die Scripte sind bis dato auf anderne Servern sehr zuverlässig gewesen wobei einem so massiven Angriff waren sie glaube nie ausgesetzt (50mb Logs in 1-2 tagen sagt glaube alles).

    Bin im Moment eher unsicher was Lenny angeht, ich will der Sache auf den Grund gehen komme aber ohen die 2 Logs nicht weiter und bin wohl gewzungen einfahc alles zu überbügeln (am besten mit Etch oder einer guten Alternative) und dann gleich alles auf den neusten Stand zubringen inkl Script Firewall etc

    Fail2ban + firewall, reicht das aus? Scheint oft empf zu werden.

    Oder sollte man bei Lenny was anderes nehmen?

    Noch was anderes, lieber ein sauberes Backup drauf oder den aktuellen Server retten? Bzw rein würde ja laufen aber wie sieht es nach draussen aus?

    gibt es evtl irgendwo eins ehr gutes sript für sie IP Drob Table?

    Es war eins drin was aber scheinbar nicht viel brachte, der Dfind kam dann von der nächsten IP (total andrer Bereich).

    Ich habe mir mal die Logs angeschaut und gemerkt das er wohl alle möglichen variablen abfragt zB.

    phpadmin/2.1
    phpadmin/2.2
    usw

    das auch mit allen möglichen Usern - Variablen und auch Ports (für SSH verwendete er 10 Portbereiche)

    Ich denke früher oder später findet er was, da ich auch nicht weiss wie lange seine Möglichkeiten Liste ist könnte das Zeitverschwendung sein.

    Man müsste ihn gezielt unterbinden können (nicht über di eIP da er zuviele benutzt).

    Soweit war ich auch gekommen (Hacktool Dfind nochwas).

    Was mich beunruhigt ist:

    Sehr geehrte Damen und Herren,


    Ihr vServer mit der im Betreff genannten IP-Adresse hat einen Angriff auf einen anderen Server im Internet ausgeführt.

    Dabei wurden erhebliche Netzwerkressourcen beansprucht und folglich ein Segment unseres Netzwerkes stark negativ beeinträchtigt.

    Ihr vServer wurde deshalb vorsorglich deaktiviert.

    Bitte geben Sie uns folgendes schriftlich (Post / Fax) bekannt:

    -> Wie konnte es zu dem Angriff kommen?
    -> Was werden Sie in Zukunft dagegen unternehmen?
    -> Das keine derartigen Angriffe mehr von Ihrem vServer stattfinden werden.

    Auf Wunsch starten wir Ihren vServer in das Rettungssystem.

    Log:


    Scheinbar muss er ja Erfolg gehabt haben ?

    Hallo,

    habe das Problem (was erst zum We klar wurde) das unser Vserver von :

    GET /w00tw00t.at.ISC.SANS.DFind:) heim gesucht wurde.

    Die Logs sind voll von ihm (über 50mb logdatei in 1-2 tagen), der Vserver wurde runtergefahren da er scheinbar Angriffe auf andere Seiten ausführte.

    Ich vermute das wohl eine Schwachstelle dafür ausschlaggebend war (Passwort sehr komplex und sämtlich standard ordner geändert).

    Verwenden Lenny mit Syscp alles auf dem neusten Stand, wie kann man sich vor sowas den schützen? Liegte s evtl an Lenny?

    Was mich total verwundert ist das die Attacken 1-2 std nachdem der Server Online ging (nur unter Ip erreichbar, Domain kam später) veruscht wurd drauf zu kommen. Es hat defenetiv kein dritter die Zugangsdaten.
    Wie konnte der Server überhaupt gefunden werden?

    NAch ein paar Stunden Schalf und Aspirin ghet es wieder weiter :)
    Und gleich zu totalen Verwirrung (habe seit dem nichts gemacht) hat der Server zugeschlagen.

    Die Dateien die vorhin noch da oder auch leer waren sind nun weg....
    etc/apache2/sites-available/99_syscp_vhosts.conf ist weg und statt dem ist die default nun da... (sie scheint alle infos der obrigen datei zu haben)

    unter /etc/apache2/sites-enabled ist kein symlink mehr da nur einer auf die 000-default (soll esnicht auf default laufen?)

    zusätzlich wurden 3 Dateine angelegt

    10_syscp_ipandport
    20_syscp_normal_vhost
    30_syscp_diroption

    Erste Zeile der Datein heisst es man soll es nicht ändern da sie übers Panel überschrieben werden (scheinbar mehr als die 3).

    Werde mich ertsml durchtesten um es eingrenzen zu können.

    Stimmt, das muss es sein.
    Habe eben reingeschaut und nach dem Fehler ist die Datei leer, vor dem Fehler ist so noch gefüllt.
    Wer gleich mal testen ob es was bringt sie Schreib zuschützen wenn sie es noch nicht ist, muss mich aber erts 1-2Std mit einer Asperin hinlegen sonst bekomme ich nicht mehr hin.
    Ach ja der Punkt im Sycp Rebuild Config Files funktioniert soweit auch hat aber scheinbar kein Einfluss (gehe davon uas das Syscp seine Configs selbst neu schreibt, oder macht er das evtl selbst im Cronjob?)
    Aber brauch erstmal ein kurzen Standby :o

    Das hatte nicht geholfen (hatte es schon über Googel gefunden), habe es auch noch hinbekommen (weiss nicht mehr genau was es war, im Sycp Froum unter Contrib/lenny/Bugs war ein Eintrag mit einer Änderung).

    D.h ich konnte "fast" alle Fehler beseitigen der Server läuft auch d.h ich kann über Syscp alles verwalten und es funktioniert (Backup von dem Punkt vorhanden).
    Doch ich verstehe einfach nicht warum nach 10-20 min ohne was zu machen einfach die Seite (Login) nicht erreichbar ist. Alles andere läuft dann weiterhin nur halt ohne Login.

    Werde heute nochmal Etch aussetzen mir sämtliche Configs abschauen und dann mal ein Update auf Lenny so versuchen.

    Zu früh gefreut :p

    Ohne ersichtlichen Grund selbes Problem nachdem alles fertig eingerichtet war. Es wurden keine Änderungen vorgenommen, nach jeden Schritt. Ein Fehler in der Config asugeschlossen (es liess sich im Syscp alles einrichten etc)

    :confused:

    Edit: Wenn ich ein Backup herstell läuft es dann ca 10 min dann ist der Fehler wieder da

    Habe es geschafft :D:D:D

    Einziges Problem noch Exim4 MEldung:

    Starting MTA:2009-11-10 23:27:18 Exim configuration error in line 176 of /var/lib/exim4/config.autogenerated:
    main option "mysql_servers" unknown
    Warning! Invalid configuration file for exim4. Exiting....failed.



    Passwort usw stimmen.

    Erstaml ein Kaffeeentzugs Tag einlegen :)

    Der Fehler macht mir noch nicht so die Sorgen :)
    Ich weiss auch nicht ob er evtl beseitigt ist wenn FTP über Syscp konfiguriert ist (ist ja noch im Urzustand d.h auch keine User erstellt o.ä).

    Zu Not könnte man ja auch ein anderen FTP Service nehmen.

    Wichtig ist denke ich ertsmal das das Login erreichbar ist (habe mir diesmal die Guides gespeichert - klugerweisse :)).

    Wenn ich das richtig verstehe ist im Prinzip nur der Apache2 (oder Config) für die erreichbarkeit von Syscp notwendig? D.h der Fehler müsste hier zu suchen sein?