Ausgehende Attacke verfolgen

Rund um die Sicherheit des Systems und die Applikationen
uhu
Posts: 14
Joined: 2006-11-27 14:42

Ausgehende Attacke verfolgen

Post by uhu » 2009-05-07 09:51

Hi

Mein Server wurde gestern von meinem Hoster vom Netz genommen da er mehrere Millionen Pakete an eine IP gesendet hat.
Ich dachte erst er hätte sich aufgehängt und habe daher einen Hardware-Reset durchgeführt.
Nun versuche ich fieberhaft zu finden welcher Dienst o.ä. diese Attacke durchgeführt hat.
Hat jemand eine Idee wie ich dies noch raus finden kann?
Die Log Files habe ich alle durch, kann leider soweit nichts erkennen.

Ich hoffe mir kann geholfen werden.

Lg

Uhu

P.S. Auf dem Server läuft ein Standard Debian 5 LAMP Image

Edit

Mir fällt gerade noch auf, das die /var/log/mail.log und /var/log/mail.info mehrere Mb groß sind und der "Postfix throughput" exakt zur "Attack-Zeit" sehr hoch war. Kann es sein das mein Server iwie als Relay für Spamer genutzt wurde??

uhu
Posts: 14
Joined: 2006-11-27 14:42

Re: Ausgehende Attacke verfolgen

Post by uhu » 2009-05-07 10:37

Vielen Dank für deine Antwort.
Ich habe vom Hoster schonmal das Rescue-System gebootet und nach rootkits gesucht, nichts gefunden!
Die Auth.log sagt das mehrere IPs ganz massiv (etwa 1 Dutzend Versuche die Sekunde) versucht haben per SSH auf den Server zu kommen. Für mein Dafürhalten ist dies nicht gelungen. Nicht zu letzt da ich 15 stellen lange autom. generierte Passwörter verwenden.

Die attackierte IP war die 201.132.183.154

Vielen lieben Dank für die Hilfe hier.

Lg

Uhu

uhu
Posts: 14
Joined: 2006-11-27 14:42

Re: Ausgehende Attacke verfolgen

Post by uhu » 2009-05-07 11:12

Hi

Nochmals danke für deine Unterstützung...
Ist es generell möglich das mein Postfix zu Spam-Relay Zwecken gekapert wurde?
Verursacht der dann soviel traffic !?

Lg

Uhu

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Ausgehende Attacke verfolgen

Post by daemotron » 2009-05-07 11:17

Ich persönlich glaube nicht, dass dein Server über SSH gekapert wurde (für mich immer das unwahrscheinlichste Einfallstor). Um herauszukriegen, was tatsächlich passiert ist, empfehle ich die folgenden Schritte:

  • Erzeuge ein Image von Deiner Server-Festplatte, damit Du nicht ggf. Beweismaterial veränderst oder vernichtest
  • Durchsuche eine Kopie der Logfiles nach der von Dir genannten IP. Wenn es eine Spam-Flut war, müsstest Du im Maillog fündig werden.
  • Bitte Deinen Provider um nähere Angaben - wenn er Attacken festgestellt hat, müsste er Dir auch mitteilen können, welches Transportprotokoll (TCP/UDP/ICMP/...) und welcher Port das Ziel der Angriffe waren.
  • Suche nach korellierenden Einträgen in den Logfiles. Wenn es eine Spamwelle war, die über ein ungesichertes Web-Formular (per Injection) losgetreten wurde, müsstest Du in etwa zeitlich übereinstimmende Einträge in Web- und Mailserverlog finden.
  • Wenn irgendetwas anderes gelaufen ist (ping of death, IRC-Geschichten, etc.), hat der Angreifer Shell-Zugang auf Deinem Server erlangt. In diesem Fall musst Du auf jeden Fall das System plätten und neu aufsetzen - Du kannst Dir niemals sicher sein, dass er nicht noch andere Dinge auf Deinem System verändert hat.
Auf jeden Fall ist es wichtig, das tatsächliche Einfallstor zu finden, damit Du dieses für die Zukunft schließen kannst. Statistisch gesehen sind unsichere Webapplikationen das häufigste Einfallstor (ungepatchte bekannte Lücken oder Zero-Day Exploits sind hier beide leider nicht gerade selten), aber es kommen natürlich auch die "Klassiker" (IRC-Dienste, ungepatchte Mailserver, offene RPC-Dienste etc.) in Frage.

P. S. was mir hier recht auffällig erscheint, ist der hohe Traffic zu einer einzelnen IP-Adresse. Das klingt mehr nach einer Rache-Aktion zwischen Clan-Kiddies oder so... wenn es ein DoS war, dann hat Dein Server ein ernsthaftes Problem (s. o.)
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Ausgehende Attacke verfolgen

Post by Joe User » 2009-05-07 17:40

jfreund wrote:P. S. was mir hier recht auffällig erscheint, ist der hohe Traffic zu einer einzelnen IP-Adresse. Das klingt mehr nach einer Rache-Aktion zwischen Clan-Kiddies oder so...

Bei einer mexikanischen IP-Adresse eher ungewöhnlich -- Klingt für mich eher nach einem IRC/Spam/DoS-Bot...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Ausgehende Attacke verfolgen

Post by daemotron » 2009-05-07 19:45

Joe User wrote:Bei einer mexikanischen IP-Adresse eher ungewöhnlich -- Klingt für mich eher nach einem IRC/Spam/DoS-Bot...

Yep, das kam mir auch schon spanisch vor... vielleicht hat der Server die Schweinegrippe?
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Ausgehende Attacke verfolgen

Post by Joe User » 2009-05-07 22:45

jfreund wrote:
Joe User wrote:Bei einer mexikanischen IP-Adresse eher ungewöhnlich -- Klingt für mich eher nach einem IRC/Spam/DoS-Bot...

Yep, das kam mir auch schon spanisch vor... vielleicht hat der Server die Schweinegrippe?

YMMD :D/
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.