SSH Angriffe von unserem Server?

[madmetzi]

Hi, also erstmal vorab, ich hab von Linux und Servern so gut wie keinen Schimmer. Ich bin 43 Jahre alt und man hat uns/mir den Server aufs Auge gedrückt.
Wir haben auf dem Server div. Hps laufen und Gameserver! Mehr nicht.
Die Firewall die man über Yast einrichten kann wurde von einem sehr guten Bekannten konfiguriert.
Dort sind als Dienste zugelassen: HttpServer,Mailserver,Pop3Server und SSH.
Ebenfalls sind diverse Ports freigeschaltet um die Gameserver,Teamspeak und Webinterfaces freizugegeben.

Jetzt bekamen wir ne Mail vom Provider das auf einem Server in Italien mehrere Attacken durch unseren Server stattgefunden haben.

Sep 13 08:45:23 myhost sshd[14343]: Failed password for invalid user
guadalupe from 85.10.208.236 port 27763 ssh2

There are 3060 attempts from Sep 13 08:15:20 to Sep 13 08:45:23, I can

provide You
the whole log relating to 85.10.208.236

Der Port 27763 ist aber nicht freigegeben!?
Was kann das sein und wie kann ich das überprüfen. Mit welchen Befehlen in Putty? Welche Logs?
Wir haben auch solche Logversuche von anderen Serven.
Jeden Tag!
Gibt es da vielleicht irgendwelche Programme die die IP anderer benutzen um ihre eigene zu verschleiern um sowas durchzuführen?
Der Provider hat schon unsere offenen Ports gecheckt aber der Port 27763 war nicht dabei. Auch wenn ich netstat -plentux eingebe ist der Port nicht aktiv, oder ist das gar nicht unser Port.

Bitte helft einen unwissenden.
Ich weiss , wenn man keine Ahnung hat sollte man die Finger davon lassen aber ich hab mich nicht darum gerissen den SysDepp zu machen.

[mattiass]

Der Provider hat schon unsere offenen Ports gecheckt aber der Port 27763 war nicht dabei. Auch wenn ich netstat -plentux eingebe ist der Port nicht aktiv, oder ist das gar nicht unser Port.

Das war der Ursprungsport. Es ist kein offener Zielport.

Bitte helft einen unwissenden.
Ich weiss , wenn man keine Ahnung hat sollte man die Finger davon lassen aber ich hab mich nicht darum gerissen den SysDepp zu machen.

Schwierig. Sichere mal den Inhalt von /tmp, dann fahr die Kiste runter und mit aktivem Rettungssystem erstmal wieder hoch...

[madmetzi]

Also ist der Port 27763 bei uns.?
Ich sagte ja ich hab keinen Schimmer.

aktivem Rettungssystem erstmal wieder hoch...

/tmp zu sichern kein Problem aber wie geht das andere?

[mattiass]

Also ist der Port 27763 bei uns.?
Ich sagte ja ich hab keinen Schimmer.

aktivem Rettungssystem erstmal wieder hoch...

/tmp zu sichern kein Problem aber wie geht das andere?

Wenn der Server beim Provider steht, gibt es dort ein Administrations-Frontend. In dem kannst Du ein "Rettungssystem" oder "Notfallsystem" aktivieren, das dann beim nächsten Start per PXE (aka aus dem Netzwerk) gebootet wird. Du notierst dann das angezeigte Rootpasswort, wartest eine Viertelstunde und rebootest die Kiste.

Dann meldest Du Dich nochmal hier, jemand anderes hilft Dir dann. Bei mir ist grad ein Kunde mit einer Vorbereitung fertig geworden und ich muss übernehmen und fertig machen...

[madmetzi]

DS 5000 (2 TB) #11806 (85.10.208.236) Allgemeine Daten
1 x Resetservice DS 5000/7000/9000 inkl. Allgemeine Daten
Rescuesystem aktivieren
(Auswahl nach Prozessortyp) 32bit 64bit


Beim Aktivieren vom Rescue-System wird auf unserem DHCP-Server eine Konfigurationsdatei angelegt. Beim nächsten Neustart Ihres Servers wird dieser vom Netzwerk gebootet, holt sich diese Konfigurationsdatei für das Rescue-System und lädt ein minimales Grundsystem von unserem TFTP-Server. Nachdem Sie Ihre Reparaturen abgeschlossen haben, starten Sie den Server erneut. Der Server bootet dann wieder von der Festplatte und Sie können sich mit Ihrem normalen Root-Passwort einloggen.

Beachten Sie bitte, dass eine Anfrage nach ca. 2 Stunden wieder gelöscht wird, wenn der Server bis dahin nicht neu gestartet wurde.

Bevor ich diese tue, was für Reparaturen soll ich dann durch führen und sind dann unsere ganzen Hps, Gameserver etc.weg?
Was hat das ganze für einen Sinn? Wenn man nichts ändert?

[mattiass]

Bevor ich diese tue, was für Reparaturen soll ich dann durch führen und sind dann unsere ganzen Hps, Gameserver etc.weg?
Was hat das ganze für einen Sinn? Wenn man nichts ändert?

Nein. Das Rettungssystem macht nix kaputt. Es bootet ein sauberes System (stell Dir was wie Knoppix vor), von dem aus Du dann nötige Reparaturen durchführen kannst. Und Deine Kiste richtet keinen weiteren Schaden mehr an. Hetzner wird Dich sonst noch abklemmen. Rettungssystem ist das kleinere Übel.

Und untersuche den gesicherten Inhalt von /tmp. Dort finden sich bestimmt als txt-Dateien getarnte Perl-Scripte...

[madmetzi]

Ich hab noch nichts beantragt und durch geführt.
Ich habe aber mir den Inhalt des /tmp Ordners angesehen und darin ist keine einzige Text Datei. Nur ein paar Ordner die aber leer sind.
Bzw von Yast sind ein paar Ordner wo was drin steht aber in den 10 Ordnern steht überall dasselbe drin.

Erklär mir bitte mal für Dummies was passiert wenn ich dieses Rescue System aktivier und was ich anschliessend neu machen müßte.

PS. Mir fällt grade ein das ich die letzten drei Tage mit phpKIT und Joomla herum probiert habe.Dabei ist auch öfters mein Rechner abgestürzt.(Jetzt nicht mehr)
Kann es damit zusammen hängen? Der Mist ist aber mittlerweile wieder runter.

[mattiass]

Erklär mir bitte mal für Dummies was passiert wenn ich dieses Rescue System aktivier und was ich anschliessend neu machen müßte.

Du aktivierst das zum Server passende Rescuesystem, wartest 10 oder 15 Minuten und rebootest dann den Server mit "reboot" (im Putty eingeben). Dann kannst Du Daten sichern etc. ohne dass Dein Server Schaden anrichten kann.

Den Server lässt Du dann das WE über im Rescuesystem. Am Montag fragst Du im Freundes- oder Bekanntenkreis und den EDV-Dienstleister Deines geringsten Mißtrauens, ob er/sie jemanden kennt, der einen Rootserver sauber einrichten kann.

Das ist gut investiertes Geld, glaub mir.

Sorry, aber um einen Rootserver zu betreiben, sollte man seine Fähigkeiten richtig einschätzen können. Ich weiss: Du hast die Kiste aufs Auge gedrückt bekommen, was Du nicht wolltest. Aber hinsichtlich der Risiken (Stichwort: Verkehrssicherungspflichten) hättest Du einfach ablehnen müssen.

PS. Mir fällt grade ein das ich die letzten drei Tage mit phpKIT und Joomla herum probiert habe.Dabei ist auch öfters mein Rechner abgestürzt.(Jetzt nicht mehr)
Kann es damit zusammen hängen? Der Mist ist aber mittlerweile wieder runter.

Klink Dich mal in den Thread von Fulltilt ein...

[madmetzi]

Ich danke dir für deine Hilfe.
Ich werd das machen.

P.S. Hetzner gibt die Meldungen nur weiter macht aber nichts deswegen.
Die sagen , das geht uns nichts an was Sie mit dem Server machen.

[mattiass]

Ich danke dir für deine Hilfe.
Ich werd das machen.

P.S. Hetzner gibt die Meldungen nur weiter macht aber nichts deswegen.
Die sagen , das geht uns nichts an was Sie mit dem Server machen.

Vorgestern war einer hier, der von Hetzner abgeklemmt wurde. 80 Sein Server hat wohl in RZ5 oder RZ6 gewütet (dort nach Schwachstellen gesucht) und so sogar Hetzners Geduld überstrapaziert. Der Kollege wurde mit Lara (Remote Konsole) ausgestattet und vom Netz genommen...

Wenn Du die Kiste erstmal im Rettungssystem hast, kannst Du in Ruhe WE machen. Wenn Du wirklich den Rootserver selbst warten möchte, brauchst Du jemanden, der Dir über die Schulter schaut und Dir sagt, was Du machen musst. An drei, vier Nachmittagen kannst Du schon viel lernen, aber nur mit diesem Forum geht es halt nicht. Gerade Linux-Grundkenntnisse sind weit besser im persönlichen Gespäch zu vermitteln, wo es auch einfacher ist, Kleinigkeiten nachzufragen...

[manica]

habe auch gerade das rescuesystem hochgefahrenb aber da kann man garnichts machen. Wie kann ich da daten sichern?

[daemotron]

Wahrscheinlich musst Du Deine Platte(n) erst mal mounten, damit Du darauf zugreifen kannst... Danach einfach mit tar/bz2 die benötigten Dateien in ein hübsches Archiv packen und per FTP/SCP/SFTP/... auf eine andere Maschine verschieben.

[lordy]

Das ist nicht persönlich gemeint, aber du solltest dir in jedem Fall Hilfe von jemandem "vor Ort" holen. Dieses Forum kann zwar bei Fragen sehr hilfreich sein, aber um Forensik/Reparatur durchzuführen ist es, glaube ich, nicht das Richtige.

Ich glaube, wenn die Bremsen deines Autos nicht mehr funktionieren würden, würdest du auch eine Werkstatt anrufen anstatt ein Internet-Forum zu befragen um anschließend selbst Hand anzulegen

[rootsvr]

Ich hab noch nichts beantragt und durch geführt.
Ich habe aber mir den Inhalt des /tmp Ordners angesehen und darin ist keine einzige Text Datei. Nur ein paar Ordner die aber leer sind.
Bzw von Yast sind ein paar Ordner wo was drin steht aber in den 10 Ordnern steht überall dasselbe drin.

Erklär mir bitte mal für Dummies was passiert wenn ich dieses Rescue System aktivier und was ich anschliessend neu machen müßte.

PS. Mir fällt grade ein das ich die letzten drei Tage mit phpKIT und Joomla herum probiert habe.Dabei ist auch öfters mein Rechner abgestürzt.(Jetzt nicht mehr)
Kann es damit zusammen hängen? Der Mist ist aber mittlerweile wieder runter.

Hpffentlich ein phpkit mit den patchen aus dem phpkit Forum.. die auf der Webseite angebotene Version ist ja seit Mitte 2004 ungepflegt und hält mehrere Schwachstellen, die eine Rechnerübernahme ermöglichen. kit-security.de gibt einen kleinen Vorgeschmack..

Ansonsten stimm ich den anderen zu: keine Ahnung haben und nen Server administrieren (zu müßen) ist immer ne ganz schlechte Idee.
Was dabei rauskommt siehst Du ja um einen kompletten neuinstall kommst Du nicht herum, schliesslich weißt Du nicht wer was mit deinem Rechner angestellt hat. von etwaigen Rechtspflichten oder Polizeibesuchen die dich wegen sowas ereilen könnten garnicht zu sprechen.

Leicht OT: Die "ich hab eine Firewall die ein [hier Begriff für "besonders begabt" einfügen] Kollege/Freund/Spezialist eingerichtet hat" ist immer so unnötig. Hat man sein System komlett dicht gemacht reißt man Öffnungen um es zu nutzen.

Stell es Dir als Schloß mit 10 m dicken 20 m hohen Wänden vor dadrinnen sind ne Menge offener Türen namens HTTP, POP3, SMTP, Teamspeak usw.. nützt alles nichts der Angriff kommt fast sicher über diese Punkte (ich tippe aber stark auf phpkit)