Mein Webserver scannt Netze

Rund um die Sicherheit des Systems und die Applikationen
andreasn
Posts: 5
Joined: 2009-03-16 10:10

Mein Webserver scannt Netze

Post by andreasn » 2009-03-16 10:14

Hallo zusammen,

mein Webserver wurde gerade gesperrt da er offensichtlich Netze scannt und dadurch hohen Traffic verursacht..
Ich habe jetzt 2 Stunden über ein Fernwartungstool die Möglichkeit mir diverse Log-Dateien anzuschauen um rauszufinden wie sowas passieren konnte. Habt ihr mir einen Tipp wonach ich da suchen kann?

Anbei das Traffic-Protokol:

###################################################################
# Netscan detected from host 78.46.91.3 #
###################################################################


time src_ip dest_ip:dest_port
-------------------------------------------------------------------
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.0: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.1: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.2: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.3: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.4: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.5: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.6: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.7: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.8: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.9: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.10: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.11: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.12: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.13: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.14: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.15: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.16: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.17: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.18: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.19: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.20: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.21: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.22: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.23: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.24: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.25: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.26: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.27: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.28: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.29: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.30: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.31: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.32: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.33: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.34: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.35: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.36: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.37: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.38: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.39: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.40: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.41: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.42: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.43: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.44: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.45: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.46: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.47: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.48: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.49: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.50: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.51: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.52: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.53: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.54: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.55: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.56: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.57: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.58: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.59: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.60: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.61: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.62: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.63: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.64: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.65: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.66: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.67: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.68: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.69: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.70: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.71: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.72: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.73: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.74: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.75: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.76: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.77: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.78: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.79: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.80: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.81: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.82: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.83: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.84: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.85: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.86: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.87: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.88: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.89: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.90: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.91: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.92: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.93: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.94: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.95: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.96: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.97: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.98: 80
Mon Mar 16 09:02:13 2009: 78.46.91.3 => 195.2.192.99: 80

EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: Mein Webserver scannt Netze

Post by EdRoxter » 2009-03-16 10:55

Damit kann man wenig anfangen, weil z.B. nicht angegeben ist, welcher Dienst oder welche Applikation die Verbindungen aufbaut.

Die "üblichen Verdächtigen" für das Einschleusen von Schadcode, auch auf Systemebene, sind aber in erster Linie unsichere PHP-Scripts, Webanwendungen etc. Dafür spricht auch, dass deine Kiste andere IPs auf Port 80 gescannt hat. Könnte gut sein, dass er nach weiteren unsicheren Web-Anwendungen snifft. Was hast du denn alles auf der Kiste laufen?

Wenn du guten Gewissens ausschließen kannst, dass der Angreifer über SSH reinkam (kein root-Login per SSH, PubKeyAuth etc.), wird es entweder ein veralteter Dienst sein oder, wie gesagt (und das ist am Wahrscheinlichsten) eine unsichere Webanwendung.

Schau dich mal ein wenig in den Apache/lighttpd-Logfiles um, ob du da etwas Verdächtiges findest.

andreasn
Posts: 5
Joined: 2009-03-16 10:10

Re: Mein Webserver scannt Netze

Post by andreasn » 2009-03-16 11:09

Ich hab jetzt eine s.g. LARA-Fernwartungskonsole vom hoster zur Verfügung gestellt bekommen womit ich dachte, dass ich mich einloggen kann auf dem Webserver (SSH etc. ist ja aktuell alles gesperrt). Leider komme ich da nur auf irgend ne Seite dieses Tools wo ich genau gar nichts machen kann.

Unsichere PHP-Scripte kann ich eigentlich ausschließen da auf dem Webserver lediglich ein COmmunity-Script läuft welches ich nicht selbst programmiert habe und diese FIrma auch auf vielen anderen Webservern erfolgreich einsetzt.

Kent jemand dieses LARA-Tool?

andreasn
Posts: 5
Joined: 2009-03-16 10:10

Re: Mein Webserver scannt Netze

Post by andreasn » 2009-03-16 11:22

Jep, da steht aber nur, was es ist, aber nicht wie man es bedient. Ich kann mit dieser Oberfläche mir meinen Servernamen anzeigen lassen und schauen in welchem Rechenzentrum er steht und fertig. Bringt mir bloss nicht wirklich was logischerweise. ](*,)

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Mein Webserver scannt Netze

Post by daemotron » 2009-03-16 14:23

Uh-oh, hab grade mal nachgeschaut: Raritan hat tatsächlich alle Spuren der ehemaligen Peppercon-Produkte von seiner Website getilgt, u. a. auch die Anwender-Doku für die LARA. Also an den Hetzner-Support halten, mit Glück haben die noch ein PDF bei sich rumfliegen...

Ansonsten: Du willst sicherlich die Konsole starten (Java-Applet, das Dir Zugriff auf die TTYs verschafft).
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Mein Webserver scannt Netze

Post by Roger Wilco » 2009-03-16 19:48

Nächstes mal selbst auf Multipostings hinweisen!
http://serversupportforum.de/forum/serv ... post201629

andreasn
Posts: 5
Joined: 2009-03-16 10:10

Re: Mein Webserver scannt Netze

Post by andreasn » 2009-03-23 19:41

jfreund wrote:Ansonsten: Du willst sicherlich die Konsole starten (Java-Applet, das Dir Zugriff auf die TTYs verschafft).


Das ist nicht das Problem. Rein komme ich.
Spektakulärerweise funktioniert in dieser Console aber z.B. kein ls-Befehl. Wenn ich ls mit irgendeinem Parameter aufrufe, hüpft er einfach in den nächste Zeile und macht genau gar nichts. Dem Support-Mitarbeiter ist diese Anomalie nicht bekannt. Ich hab jetzt gesagt, die sollen das Teil mal austauschen. Wobei ich nicht denke, dass es damit was zu tun hat.

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Mein Webserver scannt Netze

Post by daemotron » 2009-03-23 21:48

Wenn Dein Server Netze scannt, solltest Du davon ausgehen, dass Du nicht mehr der einzige root auf der Kiste bist. Das erste, was nach einem erfolgreicher root-Hack ausgetauscht wird, sind Befehle wie ls oder ps, um den Angriff möglichst lange zu verschleiern. Kann also sein, dass auf dem Server gar nicht mehr das originale ls herumliegt. Ich würde Dir folgendes Vorgehen empfehlen:

  • Memory Dump erzeugen (falls das System nicht inzwischen neu gestartet wurde)
  • Festplatten-Image ziehen
  • Kiste plätten bzw. herunterfahren
  • Anhand des Memdumps und des Disk Image eine forensische Analyse durchführen. Wenn Dir das eine Nummer zu groß ist, Fachmann konsultieren. Wichtig ist dabei, dass Du herausfindest, wie genau der Einbruch erfolgt ist (Dienst, LPE, ...) und wie weit der Angreifer gekommen ist (welche Rechte er erlangt hat, welche Daten, Passwörter etc. er ggf. kopieren konnte usw).
  • Auf Basis der gewonnenen Erkenntnisse ein neues Sicherheitskonzept erarbeiten (Konfiguration, Prozesse, Policies, Auditing)
  • Server neu installieren. Dabei das neu erstellte Sicherheitskonzept implementieren. Durch geeignete Konfigurationsmaßnahmen erzwingen, dass sich alle Personen mit Zugriff auf das System auch an die definierten Prozesse (z. B. regelmäßige Passwortwechsel, keine Role-Logins etc.) und Policies (Mindestkennwortlänge, ...) halten.
  • Einhaltung von Policies und Prozessen regelmäßig auditieren; Abweichungen sofort beheben/beseitigen
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time

andreasn
Posts: 5
Joined: 2009-03-16 10:10

Re: Mein Webserver scannt Netze

Post by andreasn » 2009-03-23 23:41

@jfreund:
Vielen Dank für diese umfassende Hilfe.
Ich habe rausgefunden, dass der ls-Befehl per alias umbenannt wurde. ich habe jetzt ein Backup von Datenbank und Daten gemacht welches ich auf den Backupspace des Providers verschoben habe. Ich werde dem Server jetzt komplett reseten und ein neues Linux verpassen, die Daten dann zurück spielen damit ich sie mir runterladen kann nach lokal (der Backupwebspace ist so wied er gesperrte Webserver nicht von extern aufrufbar).

Danach kündige ich den Root-Server, wechsle auf einen Managed-Server und betreibe paralell dazu einen Root-VPS auf welchem ich red5 laufen lasse und sonst nichts. Das ist auch der einzige Grund wieso ich letzendlich zu einem Root-Server gegriffen habe. Ich denke, wenn auf dem Root-VPS als zusätzlicher Dienst nur red5 drauf läuft ist die Wahrscheinlichkeit, dass mir das Teil jemand zerschießt eher gering da ja dann wirklich alle Dienste ausschalten kann die nicht zum direkten Betrieb des Servers benutzt werden. Im Prinzip könnte ich ja den Provider sogar veranlassen, dass er den Root-VPS komplett vom Netz abhängigt und die Kommunikation mit diesem Server nur über den ManagedServer bzw. eine Remote-Console läuft,oder?

Schlussendlich benutze ich den Root-VPS dann nur um die Funktionalität von red5 zu benutzen (Video-/Audio-Streaming, etc.) und auf dem ManagedServer laufen alle anderen Dinge.