Ubuntu Server / Overtake / DoS Attack

[algorim]

Hello everyone,

I am new to this forum, but I'll jump right into my problem to prevent boring you about my history.

My virtual Server recently got shutdown with the hint of the provider, that there has been noticed a DoS-Attack outgoing from my Server to another.

Now. The situation is, that this server has rly no presence in the web. It is just unknown, except to a few of my fellows.
I'm rly wondering how this server even can be a victim of an overtake, because this would need some affort.
There is no software, which could possibly harmful.

So sb. needed to take advantage out of nowhere.

(1)I'd like to hear if you, experts, can imagine somebody just fall over the server, which is completly unknown and uninteresting, and hack it.


(2)My second interest is, how to chase the method the Attacker took.
I'm assuming the attacker just got a ssh login to a user i created, with a password, which was indeed rly weak. If the server is up again, i hope the ssh log is activated, so i can check the logins.

Btw, the Attacks have had the following format:
17:13:51.792097 IP XXX.XXX.XXX.XXX:53769 > XXX.XXX.XXX.XXX:113: UDP, length 1

(3)Next question would be, which rights an attacker needs to perform such an attack. The user, I created, had no write and execute permissions.

So at the very end I want to ask, if you have any advice for me, that i rly need to take care of.

It is a base ubuntu system with the following software running:
Apache
MySql
Git
Gitosis

Sorry for my bad english, i hope you dont suffer too much.

Thanks for your help.

Greetings

algorim

[algorim]

Ach, ist ja doch ein deutsches Forum.

War irritiert von der Bestätigungsemail.

Ich hoffe, dass die Herren der Server des Englischen mächtig sind. :)

[Joe User]

Ich hoffe, dass die Herren der Server des Englischen mächtig sind. :)

Sorry, you have to rephrase your problem in the language of choice: klingon ;)

OK, ja wir können Englisch und kennen auch Dein Problem. Meine Antwort kommt in Kürze, muss nochmal kurz weg.

[Joe User]

Zunächst ist jeder Server, der direkt ans Internet angebunden ist, öffentlich über seine IP-Adresse(n) ansprechbar und somit nicht "unbekannt". Die IP-Adressen werden in Blöcken (Subnet/Pool) gegliedert und dann den jeweiligen Providern (ISPs) von den Registries (RIRs) zugeteilt. Somit ist schonmal bekannt, welchem ISP welche Subnets zugeteilt sind und ob es sich um Internetanschlüsse oder Server handelt.
Diese Informationen nutzen die Bösen, um sich ihre potentiellen Opfer auszusortieren und geziehlter anzugreifen. Nun werden die interessanten IP-Blöcke mit diversen Tools (Portscanner/Exploitpacks/etc.) automatisiert abgescannt und die schlecht(er) gesicherten Systeme rausgepickt und solange bearbeitet, bis der Böse sein Ziel erreicht hat.

In Deinem Fall tippe ich jetzt mal darauf, dass Du, da Du ja fälschlicherweise dachtest Dein Server wäre unbekannt, die Sicherheit Deines Servers vernachlässigt hast und (wenn überhaupt) nur selten Updates eingespielt hast und auch die sichere Konfiguration der diversen Dienste und WebApps spielten für Dich bisher keine grosse Rolle, hauptsache es lief irgendwie.

Das ist leider ein typischer Fehler der meisten Neulinge auf diesem Gebiet. Aus diesem Grund bekommen Neulinge von mir und anderen Admins gerne mal folgenden Link vor die Füsse geworfen, in der Hoffnung sie nehmen sich den Inhalt zu Herzen und lassen erstmal die Finger von Servern:
http://www.rootservice.org/howtos/gener ... arted.html

Da das Kind bei Dir bereits in den Brunnen gefallen ist, gleich der nächste Link, damit Du wenigstens ein bischen Hilfe bekommst:
http://www.rootservice.org/howtos/secur ... acked.html
Der Text ist leider noch sehr ausbaufähig, aber das Gröbste steht schon drin und sollte Dir genug Futter für Google liefern. Selbstverständlich kannst und solltest Du bei konkreten Problemen/Verständnisproblemen zuerst hier bei uns nachfragen, bevor Du etwas kaputt machst. Wir beissen nicht, auch wenn es manchmal so ausschaut ;)

Hoffe, ich konnte Dir ein Wenig weiterhelfen und manche Illusion rauben.


BTW: Willkommen an Board und viel Erfolg beim dringend notwendigen Lernen.

[algorim]

Hey,

danke für die Antwort zunächst einmal.

Diese Informationen nutzen die Bösen, um sich ihre potentiellen Opfer auszusortieren und geziehlter anzugreifen. Nun werden die interessanten IP-Blöcke mit diversen Tools (Portscanner/Exploitpacks/etc.) automatisiert abgescannt und die schlecht(er) gesicherten Systeme rausgepickt und solange bearbeitet, bis der Böse sein Ziel erreicht hat.

Dazu muss ich sagen, dass ich nicht ganz grün bin und mir über die Dinge, die du angesprochen hast weitestgehend im Klaren bin. Zugegebenermaßen ist mir die Art und Weise wie Angreifer vorgehen im makroskopischen Sinne nicht bekannt.
Besonders bin ich davon ausgegangen, dass niemand Bruteforceattacken und Verwandte auf meine User ausführt. Nach wie vor vermute ich, dass das Problem bei dem User lag, den ich angelegt habe.

In Deinem Fall tippe ich jetzt mal darauf, dass Du, da Du ja fälschlicherweise dachtest Dein Server wäre unbekannt, die Sicherheit Deines Servers vernachlässigt hast und (wenn überhaupt) nur selten Updates eingespielt hast und auch die sichere Konfiguration der diversen Dienste und WebApps spielten für Dich bisher keine grosse Rolle, hauptsache es lief irgendwie.

Der Server ist ziemlich frisch und die verwendete Software war keinen Monat alt. Bei der Software, die ich eingerichtet habe, habe ich, soweit mir leichtverdauliche Informationen dazu zugänglich waren (damit will sagen, dass ich nur im Internet recherchiert habe, was zu beachten ist), darauf geachtet, dass alles so sicher, wie möglich ist. Wobei ich dazu anmerken muss, dass ich ein absoluter Linux Grünling bin und ich lediglich mit generellen Prinzipien der Sicherheit vertraut bin.
Ich habe allerdings gerade bei Git und Apache wenig über das Nutzen der Standardeinstellungen (bei Apache die public config) hinaus konfiguriert, bis auf hier und da einige kleine htaccess Anpassungen, da ich eigentlich davon ausgegangen bin, dass die Standardkonfigurationen mit dem entsprechenden offiziellen Startupvorgang sicher ist.

Beim httpserver habe ich lediglich php scripte verwendet und kann definitiv versichern, dass dort keine der üblichen Lücken enthalten sind.

Außerdem bin ich davon ausgegangen, dass der ubuntu server werksseitig bereits sicher konfiguriert ist.
(Es ist ein Presetup von 1und1, leider mit nebenläufigem plesk, wobei ich plesk nur zu statistikzwecken verwendet habe)

Falls ich in diesen Punkten generell falsch liege, bitte ich um einen Hinweis.

Desweiteren bin ich für jede Vorfilterung von Information dankbar und werde mir die gegeben Links auf jedenfall zu Gemüte führen.

Gruß

algorim

[ddm3ve]

Hello everyone,

Now. The situation is, that this server has rly no presence in the web. It is just unknown, except to a few of my fellows.
I'm rly wondering how this server even can be a victim of an overtake, because this would need some affort.
There is no software, which could possibly harmful.

Jede software ist potentiell Gefährlich bzw. Verwundbar.

So sb. needed to take advantage out of nowhere.

(1)I'd like to hear if you, experts, can imagine somebody just fall over the server, which is completly unknown and uninteresting, and hack it.

Willkürliche "Attacken" auf IPs, Domainadressen etc.
Anfangen würde jemand ggf. per mit einer simplen suche ob z.B. alte Versionen von phpMaydmin und co vorhanden sind.
Hey, da war doch was mit Plesk.
Ja, da ist auch dem dümmsten Angreifer bekannt wo welche und ggf. veraltete Anwendungen zu suchen sind.
Das betrifft übrigens jede standardisierte Software.

(2)My second interest is, how to chase the method the Attacker took.
I'm assuming the attacker just got a ssh login to a user i created, with a password, which was indeed rly weak. If the server is up again, i hope the ssh log is activated, so i can check the logins.

Logfiles lesen. Hättet du diese gelesen und verstanden, würdest Du dich nicht fragen, wie es sein kann, dass Dein vermeintlich unbekannter Server attackiert wurde, sondern hättest erkannt, das er schon ab dem ersten Tag und permantenen Beschuss steht.
Andere nennen es typisches Grundrauschen.

Btw, the Attacks have had the following format:
17:13:51.792097 IP XXX.XXX.XXX.XXX:53769 > XXX.XXX.XXX.XXX:113: UDP, length 1

Perlscript..

(3)Next question would be, which rights an attacker needs to perform such an attack. The user, I created, had no write and execute permissions.

Jetzt würde mich mal interessieren, wie Du das dem Benutzer ausgetrieben hast.
Vieleicht findest Du hier schon einen fatalen Irrtum oder / und sogar die Lücke.

So at the very end I want to ask, if you have any advice for me, that i rly need to take care of.

Überache Dein System, wann wer eingelocht ist und lerne Logfiles lesen.
Lerne überhaupt zu verstehen, welcher dienst dir was wann und wo sagen will.

Das ist keine blöde anmache sondern ein ernst gemeinter Rat.
Wenn Du nicht weist, wo Du welche Informationen abgreifen kannst und lernst bestimmte "Angriffigster" / Aktivitäten zu erkennen und zu beurteilen, dann bleibt der Server lange Zeit eine Blackbox. Und das wiederum freit jeden Angreifer, der auch gerne ein 2. 3. x-tes mal wieder kommt, wenn er Deinen Server grad gebrauchen kann.

[Joe User]

Die Grundinstallationen der Anbieter sind grundsätzlich immer veraltet, da sie nur alle paar Monate neu erstellt und dann intern nochmal eine unbestimmte Zeit lang auf Hardwarekompatibilität getestet werden. Diese Grundinstallationen werden dann per Festplattenimage den Kunden zur Installation angeboten. Es handelt sich also nicht um eine frische Installation wie Du sie von zu Hause kennst. Leider hängen hier gerade die grossen Anbieter wie 1und1, Strato, S4Y und Co oft Monate hinterher und informieren ihre Kunden nicht darüber.

Daher ist der Grundinstallation durch den Anbieter grundsätzlich nicht zu trauen und es vorzuziehen, die jeweiligen Minimal-Systeme zu wählen und umgehend alle Updates einzuspielen. Erst danach installiert und konfiguuriert man dann nach und nach die Dinge die man wirklich zwingend benötigt.

Von den Adminpanels wie Plesk und Co sollte man ebenfalls die Finger lassen, da sie im Regelfall viel zu tief ins System eingreifen und zum Teil eigene Softwareversionen mitbringen (wie Plesk zum Beispiel), diese aber nur sehr zögerlich mit Sicherheitsupdates versorgen. So brauchte der Hersteller von Plesk zum Beseitigen der letzten grossen Sicherheitslücken mehrere Wochen, wodurch Plesk-Systeme massenhaft zu leichten Zielen wurden.

Nur wenn Du echte Kunden hast und ihnen eine hübsche Weboberfläche für das Verwalten ihres Webspaces anbieten willst, dann macht ein Adminpanel Sinn. Aber dann musst Du auch ganz genau wissen, was das Adminpanel wann und wie mit Deinem System macht und wie Du die Sicherheitslücken des Adminpanels und dessen Pakete selbstständig temporär beheben kannst. Dazu ist allerdings erhebliches Fachwissen nötig, weshalb man als nicht-Profi keine Kunden betreuen sollte (schon rein rechtlich problematisch).



So, genug des langweiligen Geblubbers, kommen wir zu ein paar Deiner Fragen:

Die von Deinem Server aus geführten Angriffe, werden sehr wahrscheinlich durch ein Script (PHP/Perl), sogenannte Bots, gestartet. Diese werden durch die Angreifer gerne in dem Verzeichnis /tmp abgelegt. Also fangen wir dort und in der Prozessliste mit der Suche an und dazu loggst Du Dich bitte per SSH als root ein und postest die Ausgaben folgender Befehle:

Code: Select all

uname -a
ps -auxf
ls -alh /tmp

[algorim]

Danke für die konstruktive Hilfe,

Was die tatsächliche Behebung des Problems angeht, wird das noch eine Weile dauern, da ich mich erst einmal umfassend informiere, was zu tun ist und dann erst die von 1und1 angeforderte Unterlassungserklärung unterschreiben und abschicken werde. Es befindet sich nichts auf dem Server was eine schnelle Behebung des Problems erfordert.

Danke für den Hinweis mit dem tmpordner. Kommt mit auf die Liste. ^^

Eine interessante Frage ist auch noch, ob Plesk ein Problem ist, wenn ich apache und mysql und weitere Dienste von Plesk deaktiviert habe. Plesk jedoch dennoch läuft.

Ich hab händeringend versucht bei 1und1 ein Grundsystem zu initialisieren, wo Plesk nicht irgendwo mit im System war.

[ddm3ve]

Danke für die konstruktive Hilfe,

Eine interessante Frage ist auch noch, ob Plesk ein Problem ist, wenn ich apache und mysql und weitere Dienste von Plesk deaktiviert habe. Plesk jedoch dennoch läuft.

Ich hab händeringend versucht bei 1und1 ein Grundsystem zu initialisieren, wo Plesk nicht irgendwo mit im System war.

1. Wenn Du solche zentrale Dienste wie Mysql und Apache deaktiviert hast, wie oder was soll dann von Plesk noch laufen? Ich kann dir irgendwie nicht folgen und habe den Eindruck, dir ist nicht ganz klar, was eine Plesk Installation bedeutet.

Plesk bringt eine ganze Reihe an z.B. rpm/deb etc. Pakete mit, welche auf dem System installiert werden.
-> Aus dem Repository der Distribution z.B. werde oft die gleiche Produkte mit anderen ggf. aktuelleren Versionen und besserem Pachlevel geliefert.
Das bedeutet also, dass sich Plesk in sehr zentrale Punkte einbindet.
Das ist nicht mit dem Apache und Mysql getan.
Da gehören noch diverse Libraries, FTP Server, der ganze Mailapperat usw. usw dazu.

Was die 1und1 installiert, weiss ich nicht, aber es gibt Anbieter, die packen auch noch alle Addons von Plesk mit drauf. Viel hilft Viel und ist toll.

Entsprechend müstest Du wohl sehr genau prüfen, was auf Deinem System installiert ist und alle Plesk relevanten Dinge z.B. raus werfen.

Eine nicht ganz unerhebliche Frage wäre:
Was willst denn Du mit einem Server machen, der weder httpd, noch mysql, und im Zweifel auch keinen Maildienst anbietet? Allerdings lässt sich Plesk auch nicht einfach so den Hahnen ab drehen.
Plesk bringt einen eigenen Überwachungsdienst mit, der ggf. auch Dienste selbständig startet.

[AWOHille]

Ich kann den Ausführungen von ddm3ve voll und ganz nur zustimmen. Als ich Anfing, mich vor ca. 8Monaten sehr intensiv mit dem Thema Linux zu beschäftigen, stand ich auch vor etlichen Fragen und Problemen. Bis dato kannte ich nur Windows-Server. Allerdings habe ich mir nicht gleich einen Root-Server angemietet, sondern lokal einen alten P4 Rechner dazu benutzt, der nicht von außen erreichbar war. Erst als ich auch wirklich verstanden habe, was ich da eigentlich mache bzw. gelernt habe Log-Files zu lesen bzw.Dienste zu konfigurieren, erst dann habe ich mir einen Root-Server gemietet. Alle Fragen konnten man mir hier im Forum beantworten und es waren nicht wenige :) .Und Fragen kommen immer wieder, man lernt halt nie aus. Irgend welche Admin Tools habe ich bewusst gar nicht erst eingesetzt. Selbst bei der Auswahl des richten Anbieters, habe ich mich erst belesen und bin mit dem jetzigen sehr zufrieden. Ich persönlich halte aber von diesen "Massen-Hostern" rein gar nichts.

Wie schon gesagt, man muß sich wirklich über die Risiken bewußt sein, wenn man sich einen Root oder VServer mietet. Das kann manchmal ganz schön teuer werden. Manchmal ist halt ein Webspace-Paket vielleicht sogar besser.

Gruß Hille

[ddm3ve]

Ich kann den Ausführungen von ddm3ve voll und ganz nur zustimmen. Als ich Anfing, mich vor ca. 8Monaten sehr intensiv mit dem Thema Linux zu beschäftigen, stand ich auch vor etlichen Fragen und Problemen.

Ich spreche hier i.d.r. aus meiner eigenen Erfahrung.
Seit rund 15 Jahren bin ich selbständiger IT Berater bzw. GF eines Beratungshauses, mit einem sehr umfassenden technischen, organisatorischem sowie juristischem Umfang.

Als ich angefangen habe, mit Server und co zu experimentieren, da war das Internet längst noch nicht so weit fort geschritten. Dennoch gab es auch damals schon Viren Würmer und Brute Force Angriffe. Ich wollte seinerzeit auch nicht vielen Glauben und war er Ansicht, dass mir gar nichts passieren kann. Dank Mailbox und co. habe ich auch einen rüden "RTFM" Umgangston kennen gelernt. Diesen pflege ich heute noch. Aus eigener Erfahrung hilft es nicht, wenn man Lösungen im Tutorial Stil vergekaut bekommt.
Denn auch solche Tutorials will man verstehen und vor der Umsetzung prüfen. Tun aber die wenigsten. Setzen einfach um, was teilweise schon nahezu grob fahrlässig ist. Mit einem vorgelegten Tutorial lernt ein "Anfänger" selbst meist wenig dazu. "Fortgeschritten" (kurz vor Profi) Anwender lernen und erkennen ggf. durchaus Lösungswege und andere Denkansätze.
Ich kann es zwar verstehen, wenn man sich nicht durch dicke Bücher lesen will.
Denke ich da allein an Mysql, Apache und Postfix habe ich da Bücher zu rum liegen, diese zu lesen einige Wochen Zeit beanspruchen.
Und selbst dann hat man vieles schon wieder vergessen, am ende eines Buches.

Aus meiner Erfahrung unterschätzt man sehr gerne die Komplexität eines Systemes und der Komponenten eines Webservers inkl. Mailserver, php und mysql als Datenbank. Mit meinen rund 20 Jahren Linux / Computer Erfahrung stelle ich jedes Jahr fest, dass ich zunehmend weniger Überblick und Tiefgang in der Materie habe.
Und das, obwohl ich an vielen Komponenten mit gewirkt habe.

Hätte man mich vor 15 Jahren gefragt, hätte ich mich sicherlich als Experte eingestuft. Heute weiss ich, das war damals eine Fehleinschätzung. Heute realisiere ich Dinge, die damals noch ausserhalb meines Kompetenzbereichs lagen. Weiss aber, das Überwiegende ist mir unbekannt. Und das, obwohl ich seit Jahren vollberufliche mit Studium und Dissertation, als Informatiker arbeite.
Titel sind aber auch keine Kompetenz Beweiß, wie ich das regelmässig fest stelle.

Was viel fataler ist, wenn sich zunehmend Berufsanfänger mit einem teilweise mangelhaftem Wissen profilieren wollen. Passiert leider zu oft in diversen Foren und Internetportalen.