Page 1 of 2
SSH Atacken von meinem Server
Posted: 2006-02-10 13:43
by afrika123
Nachdem ich das in auch bei mir in den Logs hatte, versucht nun auch mein anderer Server diese Atacken auszuführen.#
Code: Select all
/var/log/secure:Feb 9 13:21:45 secure sshd[1230]: Failed password for illegal user tobias from xxx.xxx.xxx.xx port 43836 ssh2
/var/log/secure:Feb 9 13:21:46 secure sshd[1233]: Illegal user web000 from xxx.xxx.xxx.xx
/var/log/secure:Feb 9 13:21:49 secure sshd[1233]: Failed password for illegal user web000 from xxx.xxx.xxx.xx port 43939 ssh2
Wie heist denn der Schlingel, und wie kann ich den Identifizieren?
Re: SSH Atacken von meinem Server
Posted: 2006-02-10 13:51
by chris76
Der Schlingel hat den Namen Josef Meier.
Nein im Ernst. Benutze mal die Forensuche.
Man versucht sich auf deinem Server einzuloggen, aber da du die IP ausge"x"t hast kann man auch net sagen woher das kommt. Aber ich sehe keinen ausgehenden versuch, die werden nicht geloggt.
Re: SSH Atacken von meinem Server
Posted: 2006-02-10 14:01
by afrika123
Ne, die Attacke geht von meinem Server aus.Also die ausgexte IP ist meine.
Forumsuche habe ich benutzt, aber nicht gefunden.
Re: SSH Atacken von meinem Server
Posted: 2006-02-10 14:06
by chris76
Also von einem Deiner Server geht eine Attacke auf einen anderen Deiner Server aus? Verstehe ich das nun richtig?
Re: SSH Atacken von meinem Server
Posted: 2006-02-10 14:09
by afrika123
Ja, genau.
Es hat eine Beschwerde gegeben, und da hab ich das eben gesehen.
Nun weiss ich nicht, wie ich das lokalisieren kann wer da was macht, und woher das kommt.
Noch 2 Beschwerden, und der Server wird vom Netz genommen.
Re: SSH Atacken von meinem Server
Posted: 2006-02-10 14:14
by chris76
Schau doch mal nach was an Prozessen läuft und komisch ist.
Wobei wenn Du jemand auf der Maschine hast es nix mehr vertrauenswürdig ist, wenn dem so ist kommst du um ein Reinitialisieren eh net rum.
Was spricht ein netstat -tulpen?
Ist wer eingeloggt außer dir?
Re: SSH Atacken von meinem Server
Posted: 2006-02-10 14:21
by afrika123
Ne, ich bin alleine eingeloggt.
Diese Angriffe kommen wohl durch irgendeinen Wurm, der vielleicht durch ein User im Forum wbb hochgeladen wurde. Ich hatte CPU load 75 und habe einen reboot gemacht. Nun ist es wieder ruhig, aber das wird ja nicht lange dauern, biss es wieder anfängt.
Re: SSH Atacken von meinem Server
Posted: 2006-02-10 14:31
by afrika123
Habe ein .bmp gefunden, das einen Volumenfehler hatte, und auch nicht geöffnet werden konnte.
Der code im texteditor:
Re: SSH Atacken von meinem Server
Posted: 2006-02-10 14:33
by afrika123
Nun läuft das hier:
Code: Select all
6167 heide 20 0 944 940 808 R 1.7 0.3 0:04 take
6158 heide 19 0 984 980 852 R 1.6 0.3 0:04 take
6168 heide 20 0 944 940 808 R 1.6 0.3 0:04 take
6388 heide 19 0 984 972 852 R 1.6 0.3 0:03 take
6153 heide 19 0 984 980 852 R 1.5 0.3 0:03 take
6155 heide 18 0 984 980 852 R 1.5 0.3 0:03 take
6166 heide 18 0 944 940 808 R 1.5 0.3 0:04 take
6169 heide 20 0 944 940 808 R 1.5 0.3 0:04 take
6215 heide 20 0 984 980 852 R 1.5 0.3 0:03 take
6252 heide 19 0 984 980 852 R 1.5 0.3 0:03 take
6357 heide 19 0 984 972 852 R 1.5 0.3 0:02 take
6365 heide 18 0 984 972 852 R 1.5 0.3 0:03 take
7005 web12 20 0 4724 4724 1576 R 1.5 1.8 0:00 php
6152 heide 18 0 984 980 852 R 1.4 0.3 0:03 take
6160 heide 18 0 984 980 852 R 1.4 0.3 0:03 take
6195 heide 18 0 984 980 852 R 1.4 0.3 0:04 take
6266 heide 19 0 984 972 852 R 1.4 0.3 0:03 take
6318 heide 19 0 984 972 852 R 1.4 0.3 0:03 take
6411 heide 19 0 984 972 852 R 1.4 0.3 0:03 take
6429 heide 19 0 984 972 852 R 1.4 0.3 0:03 take
6470 heide 19 0 984 972 852 R 1.4 0.3 0:03 take
2127 root 12 0 1112 1112 668 R 1.3 0.4 0:07 top
6161 heide 18 0 984 980 852 R 1.3 0.3 0:03 take
6162 heide 16 0 984 980 852 R 1.3 0.3 0:03 take
6164 heide 18 0 984 980 852 R 1.3 0.3 0:03 take
6212 heide 17 0 984 980 852 R 1.3 0.3 0:03 take
6244 heide 18 0 932 928 792 R 1.3 0.3 0:03 take
6251 heide 18 0 984 980 852 R 1.3 0.3 0:03 take
6263 heide 15 0 944 932 808 S 1.3 0.3 0:03 take
6288 heide 19 0 984 972 852 R 1.3 0.3 0:03 take
6313 heide 18 0 984 972 852 R 1.3 0.3 0:03 take
6363 heide 19 0 984 972 852 R 1.3 0.3 0:04 take
6428 heide 18 0 984 972 852 R 1.3 0.3 0:03 take
6449 heide 18 0 984 972 852 R 1.3 0.3 0:03 take
6456 heide 18 0 984 972 852 R 1.3 0.3 0:03 take
6684 heide 19 0 984 972 852 R 1.3 0.3 0:03 take
6936 heide 19 0 984 972 852 R 1.3 0.3 0:02 take
7071 heide 19 0 984 972 852 R 1.3 0.3 0:01 take
7125 heide 14 0 984 972 852 R 1.3 0.3 0:01 take
7496 heide 18 0 984 980 852 S 1.3 0.3 0:00 take
6457 heide 15 0 984 972 852 S 1.2 0.3 0:03 take
7280 heide 16 0 984 980 852 S 1.2 0.3 0:00 take
6224 heide 16 0 984 980 852 R 1.1 0.3 0:03 take
6380 heide 16 0 984 972 852 R 1.1 0.3 0:02 take
6384 heide 14 0 984 972 852 S 1.1 0.3 0:02 take
Code: Select all
14:32:36 up 20 min, 1 user, load average: 38.89, 25.60, 11.90
454 processes: 429 sleeping, 25 running, 0 zombie, 0 stopped
CPU states: 87.0% user, 12.9% system, 0.0% nice, 0.1% idle
Mem: 254220K total, 250080K used, 4140K free, 4908K buffers
Swap: 2094112K total, 2580K used, 2091532K free, 49820K cached
Unknown command `7' -- hit `h' for help
PID USER PRI NI SIZE RSS SHARE STAT %CPU %MEM TIME COMMAND[quote][/quote]
Re: SSH Atacken von meinem Server
Posted: 2006-02-10 14:35
by chris76
was ist das take von user heide? Ist das einer deiner User?
Schau dir das mal näher an.
Re: SSH Atacken von meinem Server
Posted: 2006-02-10 14:36
by afrika123
Ist kein User.
Wie kann ich den sperren / lokalisieren?
Re: SSH Atacken von meinem Server
Posted: 2006-02-10 15:42
by timeless2
Du kannst den User zwar löschen und seine Verzeichnisse entfernen, das garantiert dir aber nicht, dass nicht irgendwo noch etwas liegt bzw. Hintertürchen offen sind.
Also Server in den Rescue-Modus, Daten sichern, Logs sichern und die Kiste neu initialisieren lassen.
Bevor du neustartest, kannst du mal schauen, ob du im /tmp-Verzeichnis noch etwas findest, was Rückschlüsse auf die Sicherheitslücke zulässt.
Re: SSH Atacken von meinem Server
Posted: 2006-02-10 16:49
by afrika123
Scheint nun wieder zu gehen.(Mit großartiger Hilfe :D)
Der Hack wurde über eine Datei namens p.php gestartet.
Der Angreifer kam / kommt über eine rumänische IP von Cablelink Slatina
Auszusperrende IPs:
82.78.140.0 - 82.78.143.255
Re: SSH Atacken von meinem Server
Posted: 2006-02-10 18:48
by whyte
hi,
wie kam die Datei p.php überhaupt auf deinen Server ?
Es nutzt ja nix eine IP zu sperren, wenn das Scheunentor noch offen ist.
Gruß
Marco
Re: SSH Atacken von meinem Server
Posted: 2006-02-13 15:50
by Anonymous
He. Das kommt mir auch irgendwie bekannt vor.
Bei mir sah es ähnlich aus.
Anscheined hat sich die Datei durch eine alte Version von phpBB in einer vergessenen Subdomain auf meinem Server eingeschlichen.
Ersteinmal das phpBB-Forum deaktiviert und gelöscht. Wurde sowieso nicht mehr genutzt!
Auf dem Server durfte ich auch einige Dateien im /tmp und /var/lib/wwwrun löschen um den ganzen Kram los zu werden.
Ich muß zugeben, das ich einige elementar Sicherheitsrichtlinien nicht beachtet habe.
Mein "public_html"-Verzeichniss habe ich immer mit FTP als Root bearbeitet. Also waren auch alle Datei root:root. Ganz Böse!!!
Einen reinen FTP-User und Gruppe erzeugt. Keinen Shell Zugriff.
Anschließend alle Dateien in "public_domain" auf den FTP-User gesetzt ftp_user:ftp_group (natürlich nicht mit diesen Namen!)
Und vorsichtshalber den zugriff auf /var/lib/wwwrun deutlich eingeschränkt.
Seid 2 Monaten habe ich keine Probleme mehr mit dem Eindringling.
Für Vorschläge was man besser/anders machen kann bin ich natürlich offen.
Re: SSH Atacken von meinem Server
Posted: 2006-02-16 01:35
by lord_pinhead
Wie sah/sieht es im PHP aus? Safemode aktiv? Openbasedir? suphp? Oder einfach Out-of-the-box die Kiste laufen und gar nicht darüber nachgedacht?
Re: SSH Atacken von meinem Server
Posted: 2006-02-17 15:11
by afrika123
Safemode = off Rest war standart.
Bei mir war kein phpbb mehr drauf, aber eine WBB 2.3.3
Die habe ich immer noch im Verdacht, aber es kann auch über unsichere FTP Passwörter passiert sein, die ich jetzt nach einem neuen Image auch anders generiert habe.
Bei dem 2 Angriff wurden folgende Dateien verändert:
/sbin/sysctl [ BAD ]
/bin/kill [ BAD ]
/bin/more [ BAD ]
/bin/ps [ BAD ]
/usr/bin/top [ BAD ]
/usr/bin/w [ BAD ]
/usr/bin/whereis [ BAD ]
Dieses Mal war es dann auch der root als User.
Kann man die iP Blöcke nicht in der http.conf sperren?
Was brauche ich rumänische Besucher???
Re: SSH Atacken von meinem Server
Posted: 2006-02-17 16:14
by nils
iptables ist dein freund, was aussperren angeht.
Re: SSH Atacken von meinem Server
Posted: 2006-02-17 18:38
by timeless2
afrika123 wrote:Bei dem 2 Angriff wurden folgende Dateien verändert:
/sbin/sysctl [ BAD ]
/bin/kill [ BAD ]
/bin/more [ BAD ]
/bin/ps [ BAD ]
/usr/bin/top [ BAD ]
/usr/bin/w [ BAD ]
/usr/bin/whereis [ BAD ]
Dieses Mal war es dann auch der root als User.
Kann man die iP Blöcke nicht in der http.conf sperren?
Was brauche ich rumänische Besucher???
Server neu initialisieren lassen!
Konfiguriere deine Dienste besser oder sperre alle User aus (shutdown -h now), partiell irgendwelche IPs zu sperren und die eigentlichen Sicherheitslücken offen zu lassen, ist doch schwachsinnig
Re: SSH Atacken von meinem Server
Posted: 2006-02-17 22:49
by afrika123
Es ist schon ein neues Image drauf, und auch gleich mit aktuelleren Versionen. Trotzdem werden nie alle Sicherheitslücken zu schließen sein, wenn User eigene Daten hochladen können.
Re: SSH Atacken von meinem Server
Posted: 2006-02-18 02:17
by lord_pinhead
Doch, die Dienste so regressiv und sicher einstellen das die User nicht jeden Müll zum laufen bekommen ;)
Re: SSH Atacken von meinem Server
Posted: 2006-02-18 12:01
by alexander newald
Und dann bin ich mir sicher, dass in der neuesten Version von Apache (Nur als Beispiel) nach dem Updaten kein Sicherheitsloch ist????
Wohl eher nicht.
Re: SSH Atacken von meinem Server
Posted: 2006-02-18 13:05
by afrika123
@Lord_Pinhead
Wie sollte denn das aussehen?
Safemode aktiv - momentan wieder ja
Openbasedir - Ist leer
suphp - sollte man es nehmen?
Re: SSH Atacken von meinem Server
Posted: 2006-02-24 18:44
by clonecommander
Hi!
Ich habe genau die selben (siehe 1. Post) Einträge in meiner Systemlog, und zusätzlich noch solche:
Code: Select all
Feb 23 17:19:01 www kernel: printk: 85 messages suppressed.
Feb 23 17:19:01 www kernel: ip_conntrack: table full, dropping packet.
Feb 23 17:19:05 www kernel: printk: 17 messages suppressed.
Feb 23 17:19:05 www kernel: ip_conntrack: table full, dropping packet.
Feb 23 17:19:10 www kernel: printk: 17 messages suppressed.
Feb 23 17:19:10 www kernel: ip_conntrack: table full, dropping packet.
Feb 23 17:19:20 www kernel: printk: 223 messages suppressed.
Feb 23 17:19:20 www kernel: ip_conntrack: table full, dropping packet.
Heute Morgen um halb 3 wurde der Root von meinem Provider vom Netz genommen, weil er laut dessen Aussage DoS-Attacken durchführte...
Nun bin ich im Rescue-System und weiß nicht wirklich weiter... wie finde ich nun heraus was da los ist und wie kann ich es unterbinden? Ich habe auf dem server einige Webseiten, die schnellstens online müssen - aber wenn ich die Kiste im normalen Modus boote und er macht weiter wirds sehr teuer....
Hat jemand einen Rat?
Re: SSH Atacken von meinem Server
Posted: 2006-02-24 19:52
by cat
Daten (am besten alle in eigenen Archiven), datenbanken und Logfiles sichern ...
Maschine neu aufsetzten lassen
webseiten einzeln restoren (Dabei einfach mal schaun, wer hat was am rennen ...)
und dann zuhause in Ruhe die Logfiles durchsehen!
GreetZ
Cat
PS: eventuell auch Hilfe von einem erfahrenem Admin einkaufen ;)