Fremde Netzwerke wurden über eigenen Server gescannt

[matrix142]

Guten Abend,

ich bin durch Google schon öfter auf dieses Forum gestoßen und habe hier oftmals Antworten auf meine Fragen gefunden.
Nun habe ich allerdings ein ziemlich großes Problem mit meinem Server, worauf hin ich mich hier registriert habe.

Vorgeschichte:
Seit mittlerweile fast 2 Jahren habe ich einen VServer bei Strato. Bislang lief alles gut und es gab noch keinerlei Problem.

Der Vorfall:
Am 10.11.10 trudelt eine E-Mail von Strato bei mir ein. Ich werde darauf hingewiesen, dass über meinen Server Netzwerke nach Sicherheitslücken gescannt werden. Dies hat Strato durch Dritte erfahren, so schreiben sie.

Strato fügte einen Log mit IP Adressen bei, die von meinem Server aus gescannt wurden. Laut meineipadresse.de gehören die alle einem Kalifornischen Institut für Technologie.

Strato wies außerdem darauf hin, dass derzeit eine Sicherheitslücke in dem FTP Dienst proFTPD besteht, woraufhin ich diesen gestoppt habe.

Das Merkwürdige:
Zufällig eigentlich habe ich ebenfalls auf meineipadresse.de die Traceroute meiner Domain angeschaut und kam zu einem verwunderlichen Ergebnis:

1 1 1 0 70.84.211.97 61.d3.5446.static.theplanet.com
2 0 0 0 70.87.254.5 po101.dsr02.dllstx5.theplanet.com
3 0 0 0 70.85.127.109 po52.dsr02.dllstx3.theplanet.com
4 0 0 0 70.87.253.25 et3-2.ibr04.dllstx3.theplanet.com
5 0 0 0 67.17.168.93 tengigabitethernet6-2.ar5.dal2.gblx.net
6 129 122 122 64.210.14.78 xe-10-1-0.morla.as6724.net
7 134 134 134 85.214.0.74 te0-1-0-4.core-b2.as6724.net
8 134 134 135 85.214.0.175 vl451.dcata-b17.as6724.net

Nach Recherchen zufolge ist theplanet.com ein Serverhoster aus den USA und gblx.net eine Firma, die sich mit IP Netzwerken beschäftigt.

Beim Aufruf der Domain as6724.net werde ich auf die Seite peeringdb.com weitergeleitet. Logge ich mich da mit den aufgeführen Guest Account ein, sind Informationen über sämtliche Server, mitunter der Deutschen Telekom, zu finden.

Die Fragen:
1. Wieso sendet mein Server an diese Adressen und was haben sie zu bedeuten?
2. Von dem von Strato genannten Hackangriff habe ich leider keinerlei Informationen. Wo finde ich Logs, die solche Eingriffe gespeichert haben?
3. Was kann ich gegen weitere Angriffe unternehmen?

Ich hoffe, ihr könnt mir weiterhelfen.

Viele Grüße,
matrix142

 

[PapaBaer]

Siehe:

[!] Strato meldet Kompromittierung meines Servers über proftp

Hallo liebe Community, ich bin mal wieder auf eure Hilfe angewiesen. Heute erhielt ich von meinem Provider Strato eine Email mit der dringlichen Bitte meinen Debian 5.0 VServer zu überprüfen, da Beschwerden von Dritten über Securityscans über proftp von meinem Server ausgingen. Nach Prüfung...

serversupportforum.de

 

[matrix142]

Hi,

danke für den Link. Den habe ich selber gefunden, leider erst nach dem posten. War sehr hilfreich das Thema.

Allerdings würde mich trotzdem interessieren, was es mit der Traceroute auf sich hat.

Viele Grüße,
matrix142

 

[PapaBaer]

Beachte dringend die Informationen in den Threads zum Umgang mit der Situation

Strato wies außerdem darauf hin, dass derzeit eine Sicherheitslücke in dem FTP Dienst proFTPD besteht, woraufhin ich diesen gestoppt habe.

Der Einbruch hat schon stattgefunden. Das stoppen kommt damit zu spät.

Von dem von Strato genannten Hackangriff habe ich leider keinerlei Informationen. Wo finde ich Logs, die solche Eingriffe gespeichert haben?

Unter Umständen nirgendwo. Da ein Angriff stattgefunden hat, ist das System nicht länger vertrauenswürdig.

Was kann ich gegen weitere Angriffe unternehmen?

Die einzige Lösung ist System sauber neu aufsetzen oder sauberes Backup einspielen und Updaten.

In den verlinkten Threads ist alles diskutiert und beschrieben. Bitte wirklich beachten!

 

[matrix142]

Danke für die Antwort. Darum geht es eigentlich gar nicht mehr. Hatte ja bereits geschrieben, dass der Thread, den du verlinkt hattest sehr hilfreich war.

Ich werde den Server morgen neu aufsetzen.

Allerdings möchte ich trotzdem noch wissen, wieso er irgendwelche Server aus den USA und diese peeringdb.com Seite anpingt.

 

[DerMitSkill]

Allerdings möchte ich trotzdem noch wissen, wieso er irgendwelche Server aus den USA und diese peeringdb.com Seite anpingt.

Weil er infiziert ist?

Edit: Nicht richtig gelesen.

 

[Joe User]

http://en.wikipedia.org/wiki/Traceroute

 

[PapaBaer]

Schwer zu sagen. Eine Erklärung wäre, dass zur Zeit Portscans über große IP-Ranges gefahren werden, um weitere verwundbare Systeme zu finden. Mit dem Wissen über die im Moment weit verbreitete Lücke ließe sich so relativ fix ein großes Bot-Netz aus gehackten Servern aufbauen.

Edit sagt: Gerade bemerkt, dass ist ja ein traceroute zu dir, nicht von deinem Server. Das is so vollkommen richtig und normal.

 

[matrix142]

Hi,

danke für die zahlreichen Antworten. Echt ein super Forum hier *top*

Wenn das normal ist, bin ich ja beruhigt.
Trotz alledem warte ich nun auf die Mail von Strato und werde wahrscheinlich gezwungen sein, das Teil neu zu installieren.

Finde es zwar etwas merkwürdig, aus welchem Grund auch immer Server aus den USA und eine peeringdb zu meinem Server senden. Aber nun gut

 

[Whistler]

Finde es zwar etwas merkwürdig, aus welchem Grund auch immer Server aus den USA und eine peeringdb zu meinem Server senden.

Weil Du es selber so angefordert hast!

Der von meineipadresse.de in einem Frame angebotene Traceroute stammt nunmal von centralops.net bzw. hexillion.com, die ihren Server bei The Planet (einem großen Serverhoster in den USA) stehen haben.

Ein Trace zu einem meiner Server sieht genauso aus:

hop 	rtt 	rtt 	rtt 	  	ip address 	fully qualified domain name
1 	2 	3 	6 	  	70.84.211.97 	61.d3.5446.static.theplanet.com
2 	7 	2 	1 	  	70.87.254.1 	po101.dsr01.dllstx5.theplanet.com
3 	0 	0 	0 	  	70.85.127.105 	po51.dsr01.dllstx3.theplanet.com
4 	0 	0 	0 	  	70.87.253.9 	et3-1.ibr04.dllstx3.theplanet.com
5 	0 	0 	0 	  	67.17.168.93 	tengigabitethernet6-2.ar5.dal2.gblx.net
6 	156 	123 	123 	  	64.210.14.78 	xe-10-1-0.morla.as6724.net
7 	135 	136 	135 	  	85.214.0.74 	te0-1-0-4.core-b2.as6724.net
8 	135 	134 	134 	  	85.214.0.157 	vl432.dcata-b16.as6724.net
9 	* 	* 	* 	  		
10 	134 	134 	134 	  	85.214.xxx.xxx 	xxx.de

gblx.net ist Global Crossing, ein großer ISP in den USA und morla der Border-Router von Strato im Berliner B-CIX (DECIX Frankfurt wäre atuin).
Anschließend geht es schon ins Datacenter, Hop 9 ist der Kunden-Verteilerrouter (genauer gesagt eine per VRRP virtualisierte Instanz, die dann auch nicht auf Traces antwortet), der nächste Hop ist Dein Server. AS6724 ist das AS von Strato.

 

[matrix142]

Das ergibt echt Sinn

Dankeschön.

 

[matrix142]

Seit dem Hackangriff war beim ProFTPD Dienst abgeschalten. Zwischendurch wurde dieser auch mittels Plesk update geupdated.

Als ich heute wieder etwas hochladen wollte, wurde zunächst der Dienst eingeschalten.

Leider blieb es nur beim Versuch des Hochladens, denn beim Verbinden mit dem FTP Server tritt immer eine Netzwerk Zeitüberschreitung auf.

Per SSH kann ich noch ganz normal connecten, mittels FTP nicht mehr.

 

[Ben.]

Hast du den Server neu installiert?

 

[matrix142]

Genau das ist für heute geplant.
Da ich aber vorher meine Daten sichern muss, benötige ich FTP Zugriff.

 

[DerMitSkill]

Nutz doch dazu gerade mal SFTP. Ist doch im SSH-Server drinnen..

 

[Huschi]

Strato wies außerdem darauf hin, dass derzeit eine Sicherheitslücke in dem FTP Dienst proFTPD besteht

Hast Du auch gelesen, dass es evtl. eine andere Lücke sein kann?
Ggf. hast Du die Lücke (und evtl. sogar das Scanner-Script) in Deinen Backups.
Nur eine echte Analyse des "Einbruchs" kann dies beheben. Ein Rätselraten bringt nichts. (Außer ggf. mehr Arbeit durch ständiges neu aufsetzen.)

huschi.

 

[matrix142]

Das ist mir schon klar, dass es auch eine andere Lücke sein kann.
Backups wuden ja auch gar keine eingespielt, sondern der Server ist nun neu aufgesetzt. ProFTPD ist auch gepatcht und nun wollen wir einfach mal hoffen, dass sowas nicht nochmal vorkommt.

 

[DHMH]

Gerad von STRATO bekommen:

Sehr geehrte(r) xxx,

ein kompromittierter Server ist in der Regel nur sehr schwer als ein solcher zu erkennen, da Angreifer sogenannte Rootkits installieren.

Ein Rootkit ist eine Sammlung von Softwarewerkzeugen, die nach einem Einbruch auf dem kompromittierten Server installiert wird, um zukünftige Logins des Eindringlings zu verbergen und Prozesse und Dateien zu verstecken.

Auf diese Weise versuchen Eindringlinge ihre Spuren zu verwischen; "ls" zeigt bestimmte Dateien nicht an, "ps" listet diverse Prozesse des Eindringlings nicht auf und Logins werden nicht mitgeloggt. Zudem wird meist noch ein versteckter SSH-Daemon gestartet, der auf einem beliebigen Port auf Befehle wartet. Bei aktuellen Angriffen lässt sich zumindest (noch) in der Liste der offenen Verbindungen eine Vielzahl an Verbindungsversuchen auf SSH-Ports anderer Rechner beobachten. Zudem versucht sich der kompromittierte Server via IRC mit Bot-Netzen zu verbinden.

Zurzeit beobachten wir eine deutliche Zunahme von Angriffen auf Server, deren Software nicht auf dem aktuellen Stand ist. Angreifer versuchen auf diesem Weg, root-Zugriff auf den Servern zu erlangen. Bei einem erfolgreichen Einbruch wird häufig der übernommene Server wiederum als Rampe für weitere Angriffe auf dritte Systeme in Form von DoS-Attacken oder Brute-Force-SSH-Scans missbraucht.

Auf vielen Servern befinden sich derzeit immer noch unsichere Versionen des FTP-Servers ProFTPd. Wir empfehlen dringendst, entsprechende Sicherheitsupdates einzuspielen, den Dienst zu stoppen oder ggf. den FTP-Dienst zu ersetzen.

Stoppen können Sie den FTP-Dienst meist mittels /etc/init.de/xinetd stop

Weitere Informationen zur Sicherheitslücke in ProFTPd finden Sie im Kundenservicebereich in den Technischen News in den Beiträgen von 08.11.2010 und 12.11.2010.

Wir empfehlen Ihnen die regelmäßige Nutzung des Tools chkrootkit, das eine Vielzahl von Rootkits identifiziert. Die Installation erfolgt unter Debian und Ubuntu mittels "apt-get install chkrootkit", bei openSUSE mit "yast -i chkrootkit". Je nach verwendetem Repository kann die installierte Version von chkrootkit veraltet sein. Um die neuste Version zu erhalten, können Sie diese selbst aus dem Sourcecode erzeugen. Gehen Sie dazu als Benutzer root wie folgt vor:

cd /root
wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xvzf chkrootkit.tar.gz
cd chkrootkit-0.49/
make sense

Führen Sie danach chkrootkit aus. Wenn Sie chkrootkit aus dem Repository Ihrer Distribution installiert haben, genügt der Aufruf von "chkrootkit". Wenn Sie chkrootkit selbst kompiliert haben, führen Sie bitte "/root/chkrootkit-0.49/chkrootkit" aus.
Lesen Sie sorgfältig die Ausgaben auf der Konsole.

Zeilen wie die folgenden sollen Sie alarmieren:

Checking ifconfig... INFECTED
Checking pstree... INFECTED
Searching for t0rns v8 defaults... Possible t0rn v8 \(or variation\) rootkit installed
Searching for Showtee... Warning: Possible Showtee Rootkit installed
Checking bindshell... INFECTED (PORTS: 465)
chkproc: Warning: Possible LKM Trojan installed
Checking bindshell... INFECTED (PORTS: 465)
Checking chkutmp... The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! root 15781 pts/0 -bash

Diese Zeilen sind nicht einfach nur Beispiele, sondern entstammen einem aktuellen Fall!

Ein weiteres Indiz dafür, dass Ihr Server kompromittiert ist, liegt in der Datei /root/.ssh/authorized_keys. Enthält diese SSH-Keys, die Ihnen nicht bekannt sind, so können Sie davon ausgehen, dass ein Angreifer auf Ihrem Server root-Zugriff erlangt hat.

Da chkrootkit nicht alle ausgetauschten Dateien findet und die händische Korrektur keine 100%-ige Sicherheit bietet, empfehlen wir Ihnen, bei einem solchen Fund umgehend eine Datensicherung durchzuführen und das System neu zu installieren. Nur so ist sichergestellt, dass keine Hintertür übersehen wird. Bitte verwenden Sie unbedingt neue Passwörter, da die alten dem Eindringling im Zweifel bereits bekannt sein dürften.

Bitte aktualisieren Sie nach der Neuinstallation regelmäßig die eingesetzte Software, um erneuten Einbrüchen vorzubeugen.

Bei den virtuellen Servern haben wir Abwehrmaßnahmen getroffen, um der Verbreitung der Angriffe entgegenzuwirken:

Wir haben gestern (30.11.2010), um ca. 20.45 Uhr eine Überwachung auf allen V-Server-Hardwarenodes aktiviert. Diese überprüft alle V-Server permanent, ob die Prozesse "/usr/sbin/sshd -p 59997" oder "dd_ssh" laufen und beendet diese dann vollständig. Dies sind aktuell Prozesse, die gestartet werden, nachdem das System von Dritten übernommen wurde (in erster Linie durch die Sicherheitslücke im ProFTPd). Zudem wird eine Firewall-Regel aktiviert, welche ausgehenden IRC-Traffic von diesem System nach außen verwirft. Diese Regel kann durch einen Reboot deaktiviert werden. Der "dd_ssh"-Prozess ist genau der Prozess, der SSH-Scans durchführt, eine ausgehende IRC-Verbindung herstellt und von dort Befehle empfängt. Der Prozess "sshd -p 59997" bietet eine offene Root-Shell für ein Login. Vorbeugend wird eine weitere Firewall-Regel für V-Server aktiviert, die eingehenden Traffic auf Port 21 verwirft, wenn eine verwundbare proftpd-Version gefunden wird.

Ihr STRATO Server Team.

Interessant, was STRATO unternommen hat, um sowas und weiteren Schaden zu verhindern 1a Job!