Beiträge von klobi

    Hat jemand vielleicht ne Idee wie man ssh bzw sshd halt so hinkriegt dass der nur von meiner IP connections annimmt? Will da nichts einstellen und komme dann nicht mehr drauf :D
    Dachte mir ich mache das so in der sshd_config : AllowUsers username@meineip oder AllowUsers username@meineip.dyn.dns würde beides funktionieren, also das nur noch ich rauf kann?


    Ausserdem denke ich dass es eine Passwort bruteforceattacke war da mein Passwort SEHR leicht gewählt war, da ich nie in Erwägung gezogen habe, dass irgendwelche Leute den ausfindig machen, bzw versuchen den zu hacken. Darum ist das Passwort nach dem aufspielen komplexer und länger, so dürfte kein Bruteforce möglich sein. Bruteforce denke ich, da es echt viele geloggt wurden , also Loginversuche wie bereits gesagt in der auth.log



    Also ich denke ich habe es somit auch geschafft dass keiner mehr rauf kann. Falls doch ist klar ich einen Keylogger auf meinem Rechner :thumbdown:

    Also bitte Sie was soll denn diese Ausdrucksweise..


    Ich moechte anhaengen dass jeder Hacker einen Server braucht.. Denkt doch mal an die armen serverlosen hacker man man seif ihr geizig.....


    Haha ne spaß hattr halt rumexperimentiert vlt von ner falschen seite n scriot oder so gezogen. Hab jetzt auch sehr altes backuo wo nix war. Betreibe eh nur ne kleine seite und teamspeak halt.



    Nochmal vielen Dank für alle , hab jetzt erstmal Experimente satt da mich das Wiederherstellen nachher ankotzt, belasse es jetzt dabei.

    Naja hatte halt ein altes Snapshot auf der Controlpanel seite, und dachte mir mache ich das rauf, wo halt alles noch normal lief war das über einem Monat alt, statt Linux aufzusetzen.


    Und gameserver will ich nur mal testen ob es klappt, denn anscheinend soll es gehen aber irgendwie will steamcmd nicht mitmachen , und der Vorposter meinte ja auch dass es da nicht viel Unterschied gibt, also Linux oder Freebsd ist doch nicht so unterschiedlich, da hätte ich doch genauso wenig Ahnung von Linux , vielleicht sogar weniger wenn die Befehle hier anders lauten, aber meistens sind ja gleich.

    Also auf dem Freebsd bekomme ich hldsupdatetool.bin zu laufen nach dem ich das hier gemacht habe:
    https://www.freebsd.org/doc/ha…linuxemu-lbc-install.html


    Jedoch ist HLDSUPDATETOOL DEPRECATED , also veraltet und es wird auch nix zum Download bereitgestellt. Und auf der Steamseite steht, dass es durch Steamcmd abgelöst wurde.


    steamcmd.sh habe ich probiert kann es jedoch nicht mal starten , da ein Fehler sofort kommt :


    $ ls
    linux32 steam.sh steamcmd.sh steamcmd_linux.tar.gz steamcmd_linux.tar.gz.1
    $ ./steamcmd.sh
    su: ./steamcmd.sh: not found

    Ok ich hab den ganz ausgemacht setze jetzt eines der linux images rauf also Debian Jessie ( cozy cloud, Froxlor, Minimal, Nextcloud, ownCloud, Plesk, PowerDNS Master, PowerDNS Slave, ... )
    oder Debian Wheezy ( Froxlor, iMSCP 1.1, Minimal, OpenVPN Access Server, Plesk 12, ... )


    Setze dann mein Backup Schritt für Schritt ein damitich weiß dass nix in den Codezeilen verändert worden ist.


    Hätte aber zu gerne gewusst wie ich mir das verbockt habe, aber hab halt keine Ahnung wie ich das rausfinden soll im Recovery mode.

    Ok wenn ich den Recovery hab was dann?


    Ich habe ja schon gesagt, dass ich gerne rausfinden würde woher dies kommt, denn auf blocklist.de waren auch andere netcup server verzeichnet, die sogar bereits wegen über 30 Angriffen in diesem Monat gemeldet wurden, was ja auch schon merkwürdig ist..


    Dachte vielleicht lass ich den mal laufen ne Nacht mit tshark und gucke rein, aber ist halt net so toll weil tshark ja nciht mitloggt welches programm / prozess das Internet nutzt.

    Was meinst du denn mit Syslog? Habe alle Logs durchgeguckt in /var/log aber meistens leer oder halt schon gepostet


    Schnell zum PHP-Code, der ist halt in PHP geschrieben und sollte wenn Apache oder PHP nicht dumm ist und die Rohdatei schickt also vor dem Auswerten dann sollte nix geschehen also Daten sollten nicht eingelesen werden können denke ich, es sei denn man kann irgendwie erzwingen dass der Server einem den PHP-Code schickt , das wäre jedoch sehr schlecht.
    Wie mein PHP konfiguriert ist kann ich nicht genau sagen , da es sehr viele Zeilen sind :D aber hauptsächlich sollte es auf Standard sein mit einigen Anpasungen wie short tags oder max filesize und execution time wegen upload



    Mysql ist offen im Netz ? Wieso? Ich habe phpMyAdmin installiert und greife so darauf zu sonst in den Nutzern ist nur localhost an. Die Logs von Mysql sagen aber dass jemand versucht hat zuzugreifen(ändere dass dann nächste mal in der my.cnf also bind-address = localhost) :
    2016-12-16 02:21:54 753 [Warning] Hostname 'ms-bg-rrrr-130.stretchoid.com' does not resolve to '107.170.202.184'.
    2016-12-16 02:21:54 753 [Note] Hostname 'ms-bg-rrrr-130.stretchoid.com' has the following IP addresses:
    2016-12-16 02:21:54 753 [Note] - 46.38.243.234
    2016-12-16 02:21:54 753 [Warning] Hostname 'ms-bg-oooo-6.stretchoid.com' does not resolve to '104.236.144.133'.
    2016-12-16 02:21:54 753 [Note] Hostname 'ms-bg-oooo-6.stretchoid.com' has the following IP addresses:
    2016-12-16 02:21:54 753 [Note] - 46.38.243.234
    2016-12-16 03:44:50 753 [Warning] IP address '218.92.126.142' could not be resolved: hostname nor servname provided, or not known
    2016-12-16 03:49:08 753 [Warning] IP address '113.240.250.156' could not be resolved: hostname nor servname provided, or not known
    2016-12-16 04:02:02 753 [Warning] IP address '124.133.7.42' could not be resolved: hostname nor servname provided, or not known
    2016-12-16 05:25:29 753 [Warning] IP address '169.54.233.120' has been resolved to the host name '78.e9.36a9.ip4.static.sl-reverse.com', which resembles IPv4-address itself.
    2016-12-16 07:57:09 753 [Warning] IP address '211.147.112.141' could not be resolved: hostname nor servname provided, or not known


    2016-12-16 20:10:12 753 [Warning] IP address '211.147.112.183' could not be resolved: hostname nor servname provided, or not known
    2016-12-17 02:38:27 753 [Warning] IP address '222.186.51.230' could not be resolved: hostname nor servname provided, or not known
    2016-12-17 03:50:52 753 [Warning] IP address '113.108.21.16' could not be resolved: hostname nor servname provided, or not known
    2016-12-17 04:37:53 753 [Warning] IP address '123.249.26.83' could not be resolved: hostname nor servname provided, or not known
    2016-12-17 10:33:49 753 [Warning] IP address '123.249.45.159' could not be resolved: hostname nor servname provided, or not known
    2016-12-17 11:07:13 753 [Warning] IP address '139.201.126.178' could not be resolved: hostname nor servname provided, or not known

    Hallo suche welche Gameserver auf einem Freebsd möglich wären, Freebsd 11 um genau zu sein.


    Hatte mal csgo probiert aber das ist ja nur für windows/linux . oder irre ich mich?


    Ansonsten welche (aktuellen/beliebten) Spiele haben einen Serverversion für Freebsd?

    Ich weiß aber nicht wie ich das herausfinden kann wie der kompromittiert wurde.. Hab zzt 2 Verdächte


    - Eventuell war das alte root passwort per bruteforce knackbar, das könnte es sein und dann kann er ja machen was er will, auch logs löschen oder? aber warum dann nicht die auth.logs gelöscht worden sind weiß ich nicht.


    - Vielleicht auch eine PHP-Seite die per SSH sich auf den Server einloggt und TS3 startet/stoppt/restartet aber dort konnte man keine eigenen Befehle eingeben da alles vorbereitete Strings waren und nur geprüft wurde welches Item der Liste ausgewählt war.
    Es sei denn man kann irgendwie raw-php dateien herunterladen aber wenn das geht wäre das ja voll doof, weiß auch gar nicht wie das gehen sollte.


    Also sonst wollte ich mal postfix und so installieren was nicht ging und bekomme jetzt sendmail nicht mehr zum laufen ^^ FreeBSD-Postfix-MySQL-SpamAssassin-Maia-Virtual Setup | Purplehat Organization Aber glaube nicht dass es damit zu tun hat. Ansonsten habe ich vlc installiert letztens wegen Streaming, aber ist aus den ports gewesen also sollte gut sein.


    Achso wegen rkhunter kann ich btw nicht installieren der meint iwie source kernel oder so fehlt.


    Edit: Also tshark läuft seit nicht mal 2 Stunden und die Datei ist 150 MB groß jetzt :<

    Hmm habe sicherheitshalber mal das root passwort geändert und werde den admin mal löschen erinnere mich nicht dass ich froxlor raufgepackt habe und wofür das sonst sein soll keine Ahnung, oder ich ändere einfach mal das pw von admin auch und schaue dann ob es zu Problemen kommt.


    Naja ich hab halt noch nicht viel Ahnung von und dachte dass man da nicht viel machen muss wegen SSH dachte das ist schon richtig eingerichtet nach der Installation, hab ja ein Image ( Freebsd11 ) von Netcup verwendet.
    Da war auch kein Froxlor oder so bei nur das minimalste.


    Wie kann ich denn den Port von 22 auf X verlegen?
    Das mit dem Loginbegrenzen muss ich dafür in
    /etc/ssh/sshd_config
    die Zeile
    AllowUsers user1
    reinschreiben und das war es dann?


    Oh stimmt hatte sftp laufen soll ich das nochmal machen ohne? Wusste nicht dass das schlecht ist sorry deswegen.


    Ja also die Ips sind merkwürdig vorallem bei netstat die ESTABLISHED sind also 217.12.208.28:37788 und 69.53.211.251:51916 und dann noch eine udp Verbindung 194.97.114.3:2010


    Also ist echt merkwürdig aber ich ändere erstmal pw und hoffe du kannst mir erklären wie man ssh ändert, den Port bzw absichert dass sich nur zb userX einloggen kann.
    Danke :D


    Edit könnte man doch in die sshd_config noch reinmachen dass zb ne ip ist , sodass nur von meiner ip rein kann , also müsste ich das so machen stimmt das ? :


    AllowUsers root@MeineIp

    In meiner .bash_history finde ich nur das was ich zuletzt hatte.


    In der auth.log steht auch was von einem Nutzer admin , wusste gar nicht dass ich einen angelegt habe, oder ist der standardmäßig bei freebsd? Vielleicht habe ich es auch vergessen.
    Hier steht es:
    Dec 17 02:37:07 v22016114014640431 sshd[75750]: Accepted keyboard-interactive/pam for admin from 94.50.2.175 port 7178 ssh2


    Mal su admin gemacht , aber dort ist überhaupt keine .bash_history , also in /usr/home/admin/ , bzw der befehl history wurde nicht gefunden steht da!


    Vielleicht sollte ich nur meine IP freigeben für ssh? Sieht das nach aus als ob jemand eingebrochen ist oder so?




    netstat -an :


    Active Internet connections (including servers) Proto Recv-Q Send-Q Local Address Foreign Address... - justpaste.it


    Hier mal top kopiert :
    PID USERNAME THR PRI NICE SIZE RES STATE C TIME WCPU COMMAND 2811 root 1 20 0 20120K 3368K CPU0 0... - justpaste.it


    Hier ps aux :


    ps aux [url=https://justpaste.it/11hi4]root 11 198.5 0.0 0 32 - RL 12:55 163:40.35 root 0 0.0 0.0 0 240 - DLs 12:55 0:07.97 root 1 0.0 0... - justpaste.it[/url]





    Dazu muss ich sagen, dass ich den neugestartet habe vor ner Stunde, und gestern war dort ein Prozess .swap oder so hieß der mit über 2000 MB Size glaube ich oder 3000 .
    Den habe ich zuvor noch nie gesehen und hab ihn gekillt das war vielleicht was wichtiges ? Ausserdem war der CPU verbrauch für meine Verhältnisse hoch, 8 % oder so , normalerweise ists aber bei 1 - 2% da nur apache, mysql , und teamspeak laufen.




    Jedoch in der AUTH.LOG sieht es merkwürdig aus , hier mal ein Auschnitt aus dem aktuellen :

    Code
    Dec 17 11:00:00 v22016114014640431 newsyslog[84390]: logfile turned over due to size>100K
    Dec 17 11:00:53 v22016114014640431 sshd[84416]: Received disconnect from 58.218.199.182 port 56069:11:  [preauth]
    Dec 17 11:00:53 v22016114014640431 sshd[84416]: Disconnected from 58.218.199.182 port 56069 [preauth]
    Dec 17 11:01:46 v22016114014640431 sshd[84430]: Received disconnect from 58.218.199.182 port 26820:11:  [preauth]
    Dec 17 11:01:46 v22016114014640431 sshd[84430]: Disconnected from 58.218.199.182 port 26820 [preauth]


    Und das ist voll von diesen Sachen hab schon mehrere logfile archive so 7 stück.



    Hier mal den von 2:40 : Dec 17 02:37:07 v22016114014640431 sshd[75750]: Accepted ... - justpaste.it


    Sorry wegen externer Links, aber sonst ist das unübersichtlich, irgendwie funktioniert das CODE teil nicht, da er alles in eine Zeile packt..




    Hab mir die ApacheLogs angeschaut, leider nix gefunden!


    Ich mache mal tshark an kann mir jemand den richtigen Befehl nennen? Will nicht die ganze Zeit ein terminal anhaben. Am besten speichert er es in einer Datei die ich runterladen kann und am PC anschauen kann.
    Edit : habs raus, einfach screen benutzt dafür . So mal sehen was kommt. Was aber noch praktisch wäre, so ein Logprogramm für freebsd was nicht wie tshark nur ip und so daten loggt , sondern welche prozesse wann das netz benutzen also halt wie tshark nur mit prozessname falls es vom freebsd herkommt.


    Danke vielmals für eure Hilfe!!

    Hallo, ich habe ein echt schlechtes Problem.
    Ich habe gestern eine Meldung von blocklist.de bekommen dass mein Server anscheinend einen Server namens manitu1 attackiert hat
    ( manitu1 steht da mehr nicht..) und dass es ein ssh angriff war.
    Das war um 3:30 ca steht da. Da war ich schlafen. Heute bekam ich wieder ne mail aber diesmal von it-incident@iu.edu . Da steht ich habe um 2:40 angegriffen
    . Irgendwas mit guzzle9, Snort Alert, attempted login with suspicious username was detected,<myri0> ,ne ip die angegriffen wurde mit port 22. Meine ip mit port 34119.


    Ich war in beiden Fällen nicht wach bzw nicht am Server. Hab ich einen Virus oder was? Ich hab Freebsd 11 , mit apache , mysql und php drauf. Hab einiges probiert muss ich zugeben, also paar scripts da ich mich kaum auskenne damit, vielleicht habe ich mir dabei was eingefangen. Und ich kenn mich auch nicht so aus mit Logs oder so wie man nachschauen kann zb wer da eingeloggt war oder welches programm zu der zeit diesen port zb benutzt hat. Gibt es vlt was dafuer?