Ausgehende Attacke verfolgen

[uhu]

Hi

Mein Server wurde gestern von meinem Hoster vom Netz genommen da er mehrere Millionen Pakete an eine IP gesendet hat.
Ich dachte erst er hätte sich aufgehängt und habe daher einen Hardware-Reset durchgeführt.
Nun versuche ich fieberhaft zu finden welcher Dienst o.ä. diese Attacke durchgeführt hat.
Hat jemand eine Idee wie ich dies noch raus finden kann?
Die Log Files habe ich alle durch, kann leider soweit nichts erkennen.

Ich hoffe mir kann geholfen werden.

Lg

Uhu

P.S. Auf dem Server läuft ein Standard Debian 5 LAMP Image

Edit

Mir fällt gerade noch auf, das die /var/log/mail.log und /var/log/mail.info mehrere Mb groß sind und der "Postfix throughput" exakt zur "Attack-Zeit" sehr hoch war. Kann es sein das mein Server iwie als Relay für Spamer genutzt wurde??

[uhu]

Vielen Dank für deine Antwort.
Ich habe vom Hoster schonmal das Rescue-System gebootet und nach rootkits gesucht, nichts gefunden!
Die Auth.log sagt das mehrere IPs ganz massiv (etwa 1 Dutzend Versuche die Sekunde) versucht haben per SSH auf den Server zu kommen. Für mein Dafürhalten ist dies nicht gelungen. Nicht zu letzt da ich 15 stellen lange autom. generierte Passwörter verwenden.

Die attackierte IP war die 201.132.183.154

Vielen lieben Dank für die Hilfe hier.

Lg

Uhu

[uhu]

Hi

Nochmals danke für deine Unterstützung...
Ist es generell möglich das mein Postfix zu Spam-Relay Zwecken gekapert wurde?
Verursacht der dann soviel traffic !?

Lg

Uhu

[daemotron]

Ich persönlich glaube nicht, dass dein Server über SSH gekapert wurde (für mich immer das unwahrscheinlichste Einfallstor). Um herauszukriegen, was tatsächlich passiert ist, empfehle ich die folgenden Schritte:

• Erzeuge ein Image von Deiner Server-Festplatte, damit Du nicht ggf. Beweismaterial veränderst oder vernichtest
• Durchsuche eine Kopie der Logfiles nach der von Dir genannten IP. Wenn es eine Spam-Flut war, müsstest Du im Maillog fündig werden.
• Bitte Deinen Provider um nähere Angaben - wenn er Attacken festgestellt hat, müsste er Dir auch mitteilen können, welches Transportprotokoll (TCP/UDP/ICMP/...) und welcher Port das Ziel der Angriffe waren.
• Suche nach korellierenden Einträgen in den Logfiles. Wenn es eine Spamwelle war, die über ein ungesichertes Web-Formular (per Injection) losgetreten wurde, müsstest Du in etwa zeitlich übereinstimmende Einträge in Web- und Mailserverlog finden.
• Wenn irgendetwas anderes gelaufen ist (ping of death, IRC-Geschichten, etc.), hat der Angreifer Shell-Zugang auf Deinem Server erlangt. In diesem Fall musst Du auf jeden Fall das System plätten und neu aufsetzen - Du kannst Dir niemals sicher sein, dass er nicht noch andere Dinge auf Deinem System verändert hat.

Auf jeden Fall ist es wichtig, das tatsächliche Einfallstor zu finden, damit Du dieses für die Zukunft schließen kannst. Statistisch gesehen sind unsichere Webapplikationen das häufigste Einfallstor (ungepatchte bekannte Lücken oder Zero-Day Exploits sind hier beide leider nicht gerade selten), aber es kommen natürlich auch die "Klassiker" (IRC-Dienste, ungepatchte Mailserver, offene RPC-Dienste etc.) in Frage.

P. S. was mir hier recht auffällig erscheint, ist der hohe Traffic zu einer einzelnen IP-Adresse. Das klingt mehr nach einer Rache-Aktion zwischen Clan-Kiddies oder so... wenn es ein DoS war, dann hat Dein Server ein ernsthaftes Problem (s. o.)

[Joe User]

P. S. was mir hier recht auffällig erscheint, ist der hohe Traffic zu einer einzelnen IP-Adresse. Das klingt mehr nach einer Rache-Aktion zwischen Clan-Kiddies oder so...

Bei einer mexikanischen IP-Adresse eher ungewöhnlich -- Klingt für mich eher nach einem IRC/Spam/DoS-Bot...

[daemotron]

Bei einer mexikanischen IP-Adresse eher ungewöhnlich -- Klingt für mich eher nach einem IRC/Spam/DoS-Bot...

Yep, das kam mir auch schon spanisch vor... vielleicht hat der Server die Schweinegrippe?

[Joe User]

Bei einer mexikanischen IP-Adresse eher ungewöhnlich -- Klingt für mich eher nach einem IRC/Spam/DoS-Bot...

Yep, das kam mir auch schon spanisch vor... vielleicht hat der Server die Schweinegrippe?

YMMD :D/