Meinen Server hat's erwischt

Telefisch

New Member
Hallo Ihr Wissenden.
Vor ein paar Tagen bekam ich die Meldung von Strato, dass sie meinen (Windows) V-Server vom Netz genommen haben weil er wohl in der Weltgeschichte rumpingt bzw. irgendwelche unseriösen Anfragen rausschickt.

Ich habe jetzt erstmal den IIS abgeschaltet, was anscheinend schonmal Ruhe rein gebracht hat.
Jetzt würde ich gerne ein Backup einspielen, wollte aber vorher schauen, ob die Logs der Backups sauber sind.

Da fällt mir zum Beispiel auf, dass anscheinend "jemand" pausenlos versucht sich Zutritt zu verschaffen:

#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
2022-10-12 00:00:04 xxx.xxx.xxx.xxx POST /editBlackAndWhiteList - 80 - 177.180.65.237 Mozila/5.0 - 404 0 64 238
2022-10-12 00:02:37 xxx.xxx.xxx.xxx GET /.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 148
2022-10-12 00:02:37 xxx.xxx.xxx.xxx GET /conf/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 155
2022-10-12 00:02:39 xxx.xxx.xxx.xxx GET /wp-content/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 157
2022-10-12 00:02:39 xxx.xxx.xxx.xxx GET /wp-admin/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 126
2022-10-12 00:02:41 xxx.xxx.xxx.xxx GET /library/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 147
2022-10-12 00:02:41 xxx.xxx.xxx.xxx GET /new/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 145
2022-10-12 00:02:43 xxx.xxx.xxx.xxx GET /vendor/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 126
2022-10-12 00:02:43 xxx.xxx.xxx.xxx GET /old/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 122
2022-10-12 00:02:44 xxx.xxx.xxx.xxx GET /local/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 158
2022-10-12 00:02:44 xxx.xxx.xxx.xxx GET /api/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 154
2022-10-12 00:02:46 xxx.xxx.xxx.xxx GET /blog/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 147
2022-10-12 00:02:46 xxx.xxx.xxx.xxx GET /crm/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 153
2022-10-12 00:02:48 xxx.xxx.xxx.xxx GET /admin/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 136
2022-10-12 00:02:48 xxx.xxx.xxx.xxx GET /laravel/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 131
2022-10-12 00:02:49 xxx.xxx.xxx.xxx GET /app/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 152
2022-10-12 00:02:49 xxx.xxx.xxx.xxx GET /app/config/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 133
2022-10-12 00:02:51 xxx.xxx.xxx.xxx GET /apps/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 146
2022-10-12 00:02:51 xxx.xxx.xxx.xxx GET /audio/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 118
2022-10-12 00:02:52 xxx.xxx.xxx.xxx GET /cgi-bin/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 149
2022-10-12 00:02:52 xxx.xxx.xxx.xxx GET /backend/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 134
2022-10-12 00:02:54 xxx.xxx.xxx.xxx GET /src/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 159
2022-10-12 00:02:54 xxx.xxx.xxx.xxx GET /base/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 144
2022-10-12 00:02:56 xxx.xxx.xxx.xxx GET /core/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 140
2022-10-12 00:02:56 xxx.xxx.xxx.xxx GET /vendor/laravel/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 139
2022-10-12 00:02:58 xxx.xxx.xxx.xxx GET /storage/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 143
2022-10-12 00:02:58 xxx.xxx.xxx.xxx GET /protected/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 159
2022-10-12 00:02:59 xxx.xxx.xxx.xxx GET /newsite/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 138
2022-10-12 00:02:59 xxx.xxx.xxx.xxx GET /www/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 115
2022-10-12 00:03:01 xxx.xxx.xxx.xxx GET /sites/all/libraries/mailchimp/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 146
2022-10-12 00:03:01 xxx.xxx.xxx.xxx GET /database/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 153
2022-10-12 00:03:02 xxx.xxx.xxx.xxx GET /public/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 120
2022-10-12 00:03:02 xxx.xxx.xxx.xxx GET /ip85-215-234-196.pbiaas.com/.env - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 136
2022-10-12 00:03:04 xxx.xxx.xxx.xxx POST / - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 405 0 1 163
2022-10-12 00:03:04 xxx.xxx.xxx.xxx GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php - 80 - 100.26.143.0 Mozilla/5.0+(Windows+NT+6.1)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/86.0.4240.183+Safari/537.36 - 404 0 2 149


Generell zwei Fragen dazu:
GET ist doch die Anfrage von Außen und POST ist die Antwort von meinem Server, richtig?

Zweite Frage, kann man IP's solcher willkürlichen Versuche irgendwie nach dem zweiten oder dritten Versuch blocken?

Vielen Dank schonmal
 
GET ist doch die Anfrage von Außen und POST ist die Antwort von meinem Server, richtig?
--> Ja sollte so sein

Zweite Frage, kann man IP's solcher willkürlichen Versuche irgendwie nach dem zweiten oder dritten Versuch blocken?
-_> Du solltest es anders machen nur die IPS zulassen die der Server barucht ....
 
Zweite Frage, kann man IP's solcher willkürlichen Versuche irgendwie nach dem zweiten oder dritten Versuch blocken?
-_> Du solltest es anders machen nur die IPS zulassen die der Server barucht ....

Naja es wäre kein "öffentlicher" Webserver wenn ich die IP's eingrenzen könnte.
Da einige Kollegen von Zuhause zugreifen muss ich ja jederzeit mit wechselnden IPs rechnen.
Oder hab ich das falsch verstanden, was Du meinst?
 
Vor ein paar Tagen bekam ich die Meldung von Strato, dass sie meinen (Windows) V-Server vom Netz genommen haben weil er wohl in der Weltgeschichte rumpingt bzw. irgendwelche unseriösen Anfragen rausschickt.
Da ist Dein Server wahrscheinlich kompromittiert / hacked.

Da fällt mir zum Beispiel auf, dass anscheinend "jemand" pausenlos versucht sich Zutritt zu verschaffen:
Willkommen im Internet! Das ist Normalzustand, dass ständig irgendwelche Leute versuchen, Passwörter durchzuprobieren und auch bekannte Sicherheitslücken. Wenn Dein Server da ungepatched(Webserver oder darauf betriebene Anwendungen) ist, unsicher konfiguriert ist, und/oder unsichere Passwörter verwendet, dann ist der leichte Beute.

GET ist doch die Anfrage von Außen und POST ist die Antwort von meinem Server, richtig?
Das sind beides Anfragen die von Außen gestellt werden und vom Server beantwortet werden.
 
Last edited:
GET ist doch die Anfrage von Außen und POST ist die Antwort von meinem Server, richtig?
--> Ja sollte so sein
Nein, ist es nicht. GET und POST sind die beiden Methoden, mit denen der Client (also Browser) Daten an den Webserver überträgt. Beim GET werden die Daten in der URL mit übertragen, während man bei POST die zusätzlichen Daten (z.B. aus einem HTML-Formular) nicht in in der URL sieht - und ja, man kann ein Formular auch so bauen, dass es die Daten per GET an den Server sendet.
Die Anfrage von außen an den Webserver wäre der HTTP-Request, die Antwort des Servers darauf der HTTP-Response.
@Telefisch Es reicht nicht aus, einfach mal ein Backup einzuspielen. Als erstes musst du prüfen, wie der Angreifer eingedrungen ist und was er genau auf deinem System getrieben hat. Daraus ergeben sich die nächsten Massnahmen. Hat der Angreifer zufällig ein Passwort erraten und darüber Zugriff per RDP auf dein System gehabt, musst du den Zeitpunkt ermitteln, an dem das erstmalig passiert ist. Ab da ist das komplette System nicht mehr vertrauenswürdig und muss neu aufgesetzt werden und auch nur Backups vor diesem Zeitpunkt können ggfl. noch sicher sein. War es ein Script von einer Webseite, was eine Lücke aufgewiesen hat, musst du es finden und schauen, wie weit der Angreifer in dein System eingedrungen ist. Es ist also eine tiefgreifende Analyse deines Systems notwendig.
Einfach den Server neu aufsetzen und ein Backup von vor ein paar Tagen einspielen, reicht nicht. Die vom Angreifer ausgenutzte Lücke ist mit sehr hoher Wahrscheinlichkeit noch da und er kommt wieder in dein System rein. Evtl. war der initiale Einbruch in dein System auch schon vor längerer Zeit und der Angreifer hat sich eine Hintertür eingebaut, die du mit dem Einspielen deines Backups direkt wieder für ihn auf dem System einrichtest.
 
Vor ein paar Tagen bekam ich die Meldung von Strato, dass sie meinen (Windows) V-Server vom Netz genommen haben weil er wohl in der Weltgeschichte rumpingt bzw. irgendwelche unseriösen Anfragen rausschickt.
Gratulation, Dein Server wurde erfolgreich gehackt.

Ich habe jetzt erstmal den IIS abgeschaltet, was anscheinend schonmal Ruhe rein gebracht hat.
Wie genau hast Du das festgestellt?

Jetzt würde ich gerne ein Backup einspielen, wollte aber vorher schauen, ob die Logs der Backups sauber sind.
Das hilft nicht! Damit bleibt der Hack bestehen...
Das System muss vollständig neu installiert werden! Daran führt kein einziger Weg dranvorbei!

Da fällt mir zum Beispiel auf, dass anscheinend "jemand" pausenlos versucht sich Zutritt zu verschaffen:
Das ist völlig normales Grundrauschen des Internets und kein Problem wenn man ein sicheres System betreibt.


Bei Deinem Kenntnisstand solltest Du dringend einen SysAdmin anstellen, das wird billiger, als es weiterhin so ahnungslos selbst zu versuchen...
 
Die Auszüge im Eingangspost würde ich jetzt erst einmal als Grundrauschen abtuen wollen. Zumal hier ja auch sauber mit einem 404 geantwortet wird. Strato sollte dir aber im Rahmen der Abschaltung den relevanten Logauszug aus den IDS/IPS geschickt haben. Die wären viel interessanter.
 
V-Server vom Netz genommen haben weil er wohl in der Weltgeschichte rumpingt bzw. irgendwelche unseriösen Anfragen rausschickt.
Nun, das ist aber seitens der Security-Abteilung bei Strato ein schwammige Aussage.
Frage genau nach was da passiert ist.

Kann eine:r nur hoffen, dass die bei Strato eine sinnvolle Auskunft geben. Aber wahrscheinlich werden sie sich mit Datenschutz rausreden, an welche Server im Internet angeblich seitens deines VServers eine Attacke lief.
 
Naja es wäre kein "öffentlicher" Webserver wenn ich die IP's eingrenzen könnte.
Da einige Kollegen von Zuhause zugreifen muss ich ja jederzeit mit wechselnden IPs rechnen.
Oder hab ich das falsch verstanden, was Du meinst?
Zum entsperren fixen galt das dass du eine IP freischalten lassen kannst mit der du die Probleme behebst - und danach ist er wieder public erreichbar!
 
Back
Top