Hack Problem

mildmr

mildmr

New Member
Hallo, ich hoffe das, das hier das richtig Forum ist

Ich bräuchte einmal Rat. Vor kurzem habe ich auf meinem Webspace ein Installation von PHPmyadmin gefunden. Diese habe ich gelöscht und meine Kennwörter geändert. Außerdem habe ich den Zugriff via SSH auf den Vserver gesperrt. Ein FTP Server ist nicht vorhanden. Jetzt habe ich wieder eine Installation gefunden. Diesmal haben diejenigen sich ein bisschen cleverer angestellt und sie in ein tief verschachteltes Unterverzeichniss kopiert. Die Rechte für dieses Verzeichniss hat der User "nxtest".

Wie kann ich denn noch dagegen vorgehen?

Ich habe mal den Inhalt der Shadow Datei gepostet, vlt. kann mir jemand sagen welche User hier überflüssig sind?

nxtest,remote,foo und novo machen mich stutzig.

mildmr und teamspeak sind nur für den TS server

Code: 
root:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:15597:0:99999:7:::
daemon:*:15415:0:99999:7:::
bin:*:15415:0:99999:7:::
sys:*:15415:0:99999:7:::
sync:*:15415:0:99999:7:::
games:*:15415:0:99999:7:::
man:*:15415:0:99999:7:::
lp:*:15415:0:99999:7:::
mail:*:15415:0:99999:7:::
news:*:15415:0:99999:7:::
uucp:*:15415:0:99999:7:::
proxy:*:15415:0:99999:7:::
www-data:*:15415:0:99999:7:::
backup:*:15415:0:99999:7:::
list:*:15415:0:99999:7:::
irc:*:15415:0:99999:7:::
gnats:*:15415:0:99999:7:::
nobody:*:15415:0:99999:7:::
libuuid:!:15415:0:99999:7:::
smmta:*:15415:0:99999:7:::
smmsp:*:15415:0:99999:7:::
bind:*:15415:0:99999:7:::
fetchmail:*:15415:0:99999:7:::
sshd:*:15415:0:99999:7:::
spamass-milter:*:15415:0:99999:7:::
mysql:XXXXXXXXXXXXXXXXXXXXX:15415:0:99999:7:::
proftpd:!:15415:0:99999:7:::
ftp:*:15415:0:99999:7:::
messagebus:*:15578:0:99999:7:::
usbmux:*:15578:0:99999:7:::
Remote:$6$y1oKNm0k$OzIbvyQJjkxqwjDUAANve9ScRc0jELLq98BOdp3NcYswl9WWKul/4KdG6jMB9wjizUNMaiyEIbOqiMvcb.rq/0:15578:0:99999:7:::
nxtest:$6$Xq.IuERA$4owL35nSBkfGCoZA4hazV12j1.qYU5tC7TZ0ObgYJQFSglS9NQrA3SP3HSUFV6d8jChYO1owYUMuMR9EY.Hlq.:15578:0:99999:7:::
haldaemon:*:15578:0:99999:7:::
nx:*:15578:0:99999:7:::
foo:$6$P7abvQ5q$nvRjcApdw5UAkZrMjnH9G6FZZlJbW8zEUYjb0H27KvdkJNwOKuzqp1bZx/7Iv8swjjLoXAsfvBYaS.pK8D/q6/:15578:0:99999:7:::
novo:$6$biRuZsce$Sp387XlMb..rIpGiHAxyI0dpzs2X3HYEODPCuwWlnGPZw9KW1Y402DMhmpy5NVb4LXdDyK9PehW93pRbA4eHN/:15578:0:99999:7:::
speech-dispatcher:!:15578:0:99999:7:::
pulse:*:15578:0:99999:7:::
saned:*:15578:0:99999:7:::
teamspeak:$6$Qw2DL3Tf$UYvSmyI/o5bdZ1B7ytZXC6Ct3qqMjZSPp0ZkTrUy17.JI9B7BfIqmD0qAYNsTkte5tmrfCGoPsdl0sK4reYal0:15667:0:99999:7:::
mildmr:$6$3sjldDIh$Ab23hsOUqL.PWmnqzLSlzEQtfJZ1jp/siTEhLUF7EpNyRz4TVUXpB7CCw8idFxQ9gnPKliDxgnBXFgABhbqrz.:15667:0:99999:7:::
 
Ganz offen gestanden Du (TE) hast ein massives Problem. So wie Du es schilderst, wurde Dein Server vollständig kompromittiert. D.h. Image ziehen von der aktuellen Installation und in einer VM untersuchen, wie der Einbruch gelingen konnte. Der Server muss vollständig neu aufgesetzt werden - alles andere ist nur an Sympthomen herumbasteln.

Deine Äußerungen und Dein bisheriges Vorgehen sprechen dafür, dass Du zukünftig besser einen managed-Server nutzen solltest.

Außerdem habe ich den Zugriff via SSH auf den Vserver gesperrt.
Click to expand...
Wie administrierst Du aktuell Deinen Server?

Last but not least - über welches Betriebssystem reden wir, also welche Distribution?

P.S.: Mein Blick in die Glaskugel sagt mir, dass auf Deinem Server eine Menge Updates fehlen. Wenn es um die Seite geht, die ich vermute, spricht ein PHP 5.2.17 Bände (EOL Jan 2011). Wie gesagt, ist nur ein Tipp in's Blaue.
 
Last edited by a moderator:
Der User "nx" lässt vermuten, dass auf dem System Nomashines NX-Server installiert ist. Der User "nxtest" wiederum lässt vermuten, dass dieser NX-Server nicht abgesichert wurde und als offene Tür für den Angreifer dient und der Angreifer darüber vermutlich so gar root-Rechte erlangen kann.

Sollte ich damit richtig liegen, dann war Deine Bequemlichkeit und mangelndes Fachwissen ursächlich für dieses Problem.

Dein Fazit sollte nun sein, Dir entweder umgehend das nötige Fachwissen anzueignen, oder Jemanden mit diesem Fachwissen für die Betreuung Deines Servers zu bezahlen.
Der Server an sich muss komplett neu aufgesetzt werden, ohne NX und andere vermeintliche Administrationshilfen.
 
TerraX said:
Ganz offen gestanden Du (TE) hast ein massives Problem. So wie Du es schilderst, wurde Dein Server vollständig kompromittiert. D.h. Image ziehen von der aktuellen Installation und in einer VM untersuchen, wie der Einbruch gelingen konnte. Der Server muss vollständig neu aufgesetzt werden - alles andere ist nur an Sympthomen herumbasteln.

Deine Äußerungen und Dein bisheriges Vorgehen sprechen dafür, dass Du zukünftig besser einen managed-Server nutzen solltest.


Wie administrierst Du aktuell Deinen Server?

Last but not least - über welches Betriebssystem reden wir, also welche Distribution?

P.S.: Mein Blick in die Glaskugel sagt mir, dass auf Deinem Server eine Menge Updates fehlen. Wenn es um die Seite geht, die ich vermute, spricht ein PHP 5.2.17 Bände (EOL Jan 2011). Wie gesagt, ist nur ein Tipp in's Blaue.
Click to expand...

Wie kann der Server vollständig kompromitiert sein, wenn sie sich phpmyadmin installieren müssen. Dazu hätten sie ja sonst Zugriff

Betriebssystem ist debian-6.0-x86_64. Container ist up to date. offiziell zu mindest

Administrieren tue ich über den File Manager von plesk. Also ich veränder dort die sshd.conf so das wieder ein Zugriff über SSh möglich ist

Das ich den Server die Tage neu mache, ist natürlich klar. Die NX Installation habe ich gefunden und erstmal runtergeschmissen. Von mir ist die nicht. Denke nicht das so etwas Bestandteil eines VServer Images ist.
 
Last edited by a moderator:
Wenn der NX nicht von Dir installiert wurde, dann hat der Angreifer definitiv root-Rechte, denn die benötigt er um NX installieren zu können.
Das phpMyAdmin kann auf vielen Wegen dorthin gekommen sein und ist nicht das ursprüngliche Einfallstor.
NX, phpMyAdmin und die anderen Tools dienen ausschliesslich dem leichteren Abgreifen Deiner Daten und dem bequemeren (grafischen) Ausführen weiterer Angriffe auf andere Systeme. Pupertierende Scriptkiddies halt.
Da der Angreifer offensichtlich absoluter Anfänger ist und demnach gar nicht hätte soweit kommen dürfen, muss man sich ernsthafte Gedanken über Dein Grundlagenwissen bezüglich der Administration von Servern machen.
Daher appeliere ich eindringlich an Dein Verantwortungsbewusstsein und bitte Dich darum, Dir einen managed Server zu mieten oder einen erfahrenen Admin mit der Betreuung Deines Servers zu beauftragen. Bis dahin schaltest Du Deinen aktuellen Server umgehend ab, damit nicht noch mehr Schaden (für den Du vollumfänglich haftbar bist) entsteht.
 
mildmr said:
Wie kann der Server vollständig kompromitiert sein, wenn sie sich phpmyadmin installieren müssen. Dazu hätten sie ja sonst Zugriff
...
Die NX Installation habe ich gefunden und erstmal runtergeschmissen. Von mir ist die nicht. Denke nicht das so etwas Bestandteil eines VServer Images ist.
Click to expand...
Denk noch mal bitte ganz ganz scharf über diese Aussage von Dir nach. Wenn der Server nicht vollständig kompromittiert wäre, wie kann dann ein Fernsteuerungs-Tool wie NX von Fremden/Unbekannten auf Deinem Server installiert werden. Wie konnte dann phpMyAdmin auf den Server gebracht werden. Hmm? <künstlerische Denkpause> ... RICHTIG! Weil jemand Unbefugtes offensichtlich Zugriff hatte.

Ein System ist genau dann nicht kompromittiert, wenn auch nur die Leute Zugriff darauf haben, die das auch sollen. In Deinem Falle ist das offensichtlich nicht so. Auch im anderen denkbaren Fall solltest Du die Hinweise von Joe unbedingt annehmen, denn Du weißt offenbar nicht was auf Deinem System los ist.
 
You must log in or register to reply here.
Back
Top