Neuling benötigt Hilfe. Unser Windows Server 2008 wurde gehackt

derchris77 · Jul 17, 2011

Hallo Zusammen!

Bitte erschlagt mich nicht, aber über die Suche im Forum habe ich keinen ähnlichen Fall gefunden aus der ich mir eine Lösung zusammenreimen kann.

Daher erlaube ich mir mal ein neues Posting.

Also

Am 06.07 wurde ich von Strato angemailt. Ihr Server wurde gesperrt.
Grund ist eine DoS-Attacke, welche urplötzlich von unserem Server ausging.
Meine erste Reaktion: Und nu? Und viel weiter bin ich heute auch noch nicht.

Ich habe nun folgende Feststellungen getroffen:

In dem Verzeichnis: InetPub\vhosts\Servers\14960\logs\MSFTPSVC14960
befinden sich vom 05.07.2011 folgende Einträge:

#Software: Microsoft Internet Information Services 7.0
#Version: 1.0
#Date: 2011-07-05 02:52:46
#Fields: date time c-ip cs-username s-sitename s-computername s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes cs-bytes time-taken cs-version cs-host cs(User-Agent) cs(Cookie) cs(Referer)
2011-07-05 02:52:46 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 15 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 16 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 15 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 15 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 15 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 16 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 16 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 16 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 16 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:46 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 Administrator MSFTPSVC14960 H1625025 81.169.175.46 21 [119]USER Administrator - 331 0 0 0 0 FTP - - - -
2011-07-05 02:52:47 89.207.133.93 - MSFTPSVC14960 H1625025 81.169.175.46 21 [119]PASS - - 530 1326 0 0 0 FTP - - - -

Insgesamt sind es ca. 56.000 FtP-Anfragen an unseren Server.
Interessant ist, dass die Anfragen mal mit dem User Administrator, mal mit Admin, mal mit Test und zuletzt mit Backup gestellt wurden.

Insgesamt sind in dem Logverzeichnis ~56.000 Anfragen innerhalb von 45 Minuten registriert worden.

Den Verantwortlichen der ip habe ich über den Betreiber (abuse-Mailadresse) nun angeschrieben. Dessen Kunde schreibt mir jetzt:

1. über seinen Hoster: problem reslved ... look in logs not DDOS attack is a ssh-scan ... ( brute force ) talk with my clients and suspend and services . thank you
2. per E-Mail persönlich an mich: send a email to my clients and a spek this server is for webhosting my clients sell a one packets webhosting with ssh access and posibily a using ssh brute force ... 1 date please please do not take precautions . Thank you

Was meint er damit? -Es handelt sich um eine ddos-Attacke von seinem auf unseren Server? Ich soll mich nicht so anstellen, schließlich sei es nur ein ssh-scan?

Keine Ahnung

Wie soll ich nun am besten vorgehen?

Die Schwachstelle / Einstiegsstelle in den Server zu finden wird sicherlich nicht einfach, oder?

Kann ich über irgendwelche Logs in Windows mich weiter über den Angriff schlau machen? Wenn ja wo finde ich diese?
da ich mich persönlich nicht in der Lage fühle den Server neu aufzusetzen und die ganzen Webseiten neu aufzuspielen, wie kann ich bevor ich das System reboote die Sicherheitslücken am besten ausfindig machen und ggf. schließen?

Bislang hatte ich keine gesonderte Firewall im Einsatz. Welche ist empfehlenswert?

Wer kennt vll. ein gut und günstiges Systemhaus, dem man vertrauen kann?

So, jetzt könnt ihr mich wegen den dummen Fragen steinigen.

Aber für ein paar Arbeitshilfen und Tips bin ich auch sehr dankbar.

Der Chris77

virtual2 · Jul 18, 2011

MOD: Fullquote entfernt.

Deine DoS Attacke hat sehr wahrscheinlich nichts mit den FTP Auth versuchen zu tun. Zudem ist das kein SSH Bruteforce sonderen FTP Bruteforcing.

DDoS = Distributed = mehrere Rechner, deshalb war es seitens von dir eine DoS Attacke

Ich empfehle dir, den Benutzer ITS hier im SSF zu kontaktieren, möglicherweise kann dieser dir gegen eine gewisse Bezahlung ganz gut helfen.

Thorsten · Jul 18, 2011

OT / MOD: @virtual2: Bitte die Fullquotes unterlassen. Danke!

TerraX · Jul 18, 2011

derchris77 said:
da ich mich persönlich nicht in der Lage fühle den Server neu aufzusetzen und die ganzen Webseiten neu aufzuspielen, wie kann ich bevor ich das System reboote die Sicherheitslücken am besten ausfindig machen und ggf. schließen?

Weiweiwei - ich hoffe das sind nur unwichtige private Webseiten. Meine Empfehlung entweder managed Server-Paket oder reines Webhosting-Paket buchen, sofern die Webseiten keine Spezialanforderungen haben oder weitere Spezialdienste benötigt werden.

Wie schon dargestellt, hast Du 2 Probleme. Das eine, was Dir Strato mitgeteilt hat, dass von Deinem Server ein DOS ausging. Das kann ein Sicherheitsproblem sein oder evtl. auch eine Software, die auf Grund eines Fehlers Amok läuft (TS3 in einer frühen Beta-Phase war so ein Beispiel). Mit minimalen oder gar keinen Systemkenntnissen ist eine Problemlösung fast aussichtslos - daher vorgenannte Empfehlung möglichst unverzüglich umsetzen.

Problem 2: Offensichtlich hat jemand versucht - sich per Brute-Force Zugang zu Deinem System zu verschaffen, dass passiert häufig ist also erstmal kein Grund zur Panik. Frage 1 wäre: war das "erfolgreich"? in dem Falle - neu aufsetzen ^^ Frage 2 wäre: dauert der Angriff noch an? Wenn ja - wäre in Deinem Fall die Windows Firewall so einzustellen, dass sie Verbindungen vom Angreifer konsequent ablehnt. Informationen aus erster Hand zur Konfiguration von Windows Servern findest Du natürlich bei Microsoft selbst (http://technet.microsoft.com/de-de/).

derchris77 · Jul 18, 2011

So, habe jetzt auch einen "Backdoor.Generic.240459 (Engine A)" auf der Platte gefunden. Ggf. war er ja auch mit schuld an der Dos-Attacke!?

Aber die Polizei fragt nun nach den Event-Logs.
Kann mir Jemand bei dem Windows Web Server 2008 vielleicht einen Tip geben, in welchem Verzeichnis ich die finden kann?

Z.Zt. läuft das System im Rescue-Modus, was wohl so viel bedeutet, das ein Miniwindows in den Ram geladen wurde. Über die üblichen Windowskonsolen komme ich somit wohl zur Zeit an keine zuverlässige Anzeige.

Ich müsste da die entspr. Ordner sichern...

Ich spendiere auch gerne ein Bier oder zwei, für einen zuverlässigen Tip

derchris77 · Jul 18, 2011

ok, nach und nach lese ich mich durch die Tiefen der *.log Dateien.

Habe ich recht, wenn mir das hier komisch vorkommt?
Das würde von der Zeit her zu der Hacker Attacke passen:

2011-07-03 17:01:37 88.191.65.201 52027 81.169.175.46 80 HTTP/1.1 POST /phpMyAdmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-03 17:01:37 88.191.65.201 52038 81.169.175.46 80 HTTP/1.1 POST /phpmyadmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-03 17:01:37 88.191.65.201 40425 81.169.175.46 80 HTTP/1.1 POST /phpmyadmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-03 17:01:37 88.191.65.201 40441 81.169.175.46 80 HTTP/1.1 POST /phpMyAdmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-03 17:01:37 88.191.65.201 43224 81.169.175.46 80 HTTP/1.1 POST /phpmyadmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-03 17:01:37 88.191.65.201 43237 81.169.175.46 80 HTTP/1.1 POST /phpMyAdmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-03 17:01:37 88.191.65.201 52363 81.169.175.46 80 HTTP/1.1 POST /phpMyAdmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-03 17:01:37 88.191.65.201 44032 81.169.175.46 80 HTTP/1.1 POST /phpmyadmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-04 01:26:54 81.196.179.210 3906 81.169.175.46 80 HTTP/1.1 GET /w00tw00t.at.ISC.SANS.DFind 400 - Hostname -
2011-07-04 06:42:51 74.63.210.160 3926 81.169.175.46 80 HTTP/1.1 GET /w00tw00t.at.ISC.SANS.DFind 400 - Hostname -
2011-07-04 10:53:57 194.72.238.62 4414 81.169.175.46 443 - - - - - Timer_ConnectionIdle -
2011-07-04 13:19:52 80.139.148.92 59730 81.169.175.46 80 - - - - - Timer_ConnectionIdle -
2011-07-04 19:39:24 123.125.71.26 1173 81.169.175.46 80 HTTP/1.1 GET / - 1 Client_Reset DefaultAppPool
2011-07-04 23:47:06 62.212.68.216 57851 81.169.175.46 80 HTTP/1.1 GET /w00tw00t.at.ISC.SANS.test0 400 - Hostname -
2011-07-05 09:53:32 79.202.212.92 55497 81.169.175.46 80 - - - - - Timer_ConnectionIdle -
2011-07-05 09:53:32 79.202.212.92 55496 81.169.175.46 80 - - - - - Timer_ConnectionIdle -
2011-07-05 09:53:32 79.202.212.92 55498 81.169.175.46 80 - - - - - Timer_ConnectionIdle -
2011-07-05 09:53:32 79.202.212.92 55495 81.169.175.46 80 - - - - - Timer_ConnectionIdle -
2011-07-05 09:53:37 79.202.212.92 55494 81.169.175.46 80 - - - - - Timer_ConnectionIdle -
2011-07-05 11:32:18 92.240.68.152 40754 81.169.175.46 80 - - - 400 - Verb -
2011-07-05 14:49:29 74.63.210.160 2413 81.169.175.46 80 HTTP/1.1 GET /w00tw00t.at.ISC.SANS.DFind 400 - Hostname -
2011-07-05 19:11:29 88.191.65.201 52889 81.169.175.46 80 HTTP/1.1 POST /phpmyadmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-05 19:11:29 88.191.65.201 38418 81.169.175.46 80 HTTP/1.1 POST /phpmyadmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-05 19:11:29 88.191.65.201 35098 81.169.175.46 80 HTTP/1.1 POST /phpmyadmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-05 19:11:29 88.191.65.201 52861 81.169.175.46 80 HTTP/1.1 POST /phpmyadmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-05 19:11:29 88.191.65.201 40785 81.169.175.46 80 HTTP/1.1 POST /phpMyAdmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-05 19:11:29 88.191.65.201 40791 81.169.175.46 80 HTTP/1.1 POST /phpmyadmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-05 19:11:29 88.191.65.201 37830 81.169.175.46 80 HTTP/1.1 POST /phpMyAdmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-05 19:11:29 88.191.65.201 37836 81.169.175.46 80 HTTP/1.1 POST /phpmyadmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-06 00:54:32 58.138.174.146 54726 81.169.175.46 80 - - - - - Timer_MinBytesPerSecond -
2011-07-06 00:54:37 58.138.174.146 54727 81.169.175.46 80 - - - - - Timer_MinBytesPerSecond -
2011-07-06 00:54:37 58.138.174.146 54724 81.169.175.46 80 - - - - - Timer_MinBytesPerSecond -
2011-07-06 04:01:42 58.138.174.146 54723 81.169.175.46 80 - - - - - Timer_MinBytesPerSecond -
2011-07-06 20:29:00 88.191.65.201 58148 81.169.175.46 80 - - - - - Timer_MinBytesPerSecond -
2011-07-07 03:05:58 72.34.233.19 39865 81.169.175.46 80 HTTP/1.1 POST /phpmyadmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-07 03:05:58 88.191.65.201 41288 81.169.175.46 80 HTTP/1.1 POST /phpmyadmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-07 03:05:58 88.191.65.201 41337 81.169.175.46 80 HTTP/1.1 POST /phpMyAdmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-07 03:05:58 88.191.65.201 42172 81.169.175.46 80 HTTP/1.1 POST /phpMyAdmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-07 03:05:58 88.191.65.201 42187 81.169.175.46 80 HTTP/1.1 POST /phpmyadmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-07 03:05:58 88.191.65.201 44535 81.169.175.46 80 HTTP/1.1 POST /phpmyadmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-07 03:05:58 88.191.65.201 41271 81.169.175.46 80 HTTP/1.1 POST /phpmyadmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-07 03:05:58 88.191.65.201 49481 81.169.175.46 80 HTTP/1.1 POST /phpmyadmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-07 03:05:58 88.191.65.201 50702 81.169.175.46 80 HTTP/1.1 POST /phpmyadmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)
2011-07-07 03:05:58 88.191.65.201 40368 81.169.175.46 80 HTTP/1.1 POST /phpmyadmin/scripts/setup.php - 14967 Connection_Abandoned_By_ReqQueue plesk(default)(pool)

Un ich denke nicht, dass der 88.191.65.201 Nachts um 03:00 Uhr an unserem Server was zu suchen hat!? Oder?

derchris77 · Jul 18, 2011

und, was ist das

Das geht laut Logfiles 3 Stunden lang so:
Ps.: *** habe ich zur anonymisierung gesetzt.

#Software: MailEnable POP Server
#Version: 1.03
#Date: 07/06/11 05:03:55
#Fields: date time c-ip agent account s-ip s-port cs-method cs-uristem cs-uriquery s-computername sc-bytes cs-bytes time-taken cs-username
11-07-06 05:03:55 212.144.114.18 POPS 81.169.175.46 672 USER USER+***@wohngefuehl-immobilien.de +OK H1625025 0 40 15 ***@wohngefuehl-immobilien.de
11-07-06 05:03:55 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 PASS PASS+* +OK H1625025 0 15 32 ***@wohngefuehl-immobilien.de
11-07-06 05:03:55 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 STAT STAT +OK+406+97727296 H1625025 0 6 31 ***@wohngefuehl-immobilien.de
11-07-06 05:03:55 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 NOOP NOOP +OK H1625025 0 6 15 ***@wohngefuehl-immobilien.de
11-07-06 05:03:55 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+1+0 +OK H1625025 507 9 32 ***@wohngefuehl-immobilien.de
11-07-06 05:03:55 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+2+0 +OK H1625025 590 9 78 ***@wohngefuehl-immobilien.de
11-07-06 05:03:55 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+3+0 +OK H1625025 925 9 94 ***@wohngefuehl-immobilien.de
11-07-06 05:03:55 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+4+0 +OK H1625025 1926 9 78 ***@wohngefuehl-immobilien.de
11-07-06 05:03:56 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+5+0 +OK H1625025 1886 9 47 ***@wohngefuehl-immobilien.de
11-07-06 05:03:56 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+6+0 +OK H1625025 1125 9 62 ***@wohngefuehl-immobilien.de
11-07-06 05:03:56 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+7+0 +OK H1625025 1126 9 78 ***@wohngefuehl-immobilien.de
11-07-06 05:03:56 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+8+0 +OK H1625025 1123 9 94 ***@wohngefuehl-immobilien.de
11-07-06 05:03:56 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+9+0 +OK H1625025 962 9 78 ***@wohngefuehl-immobilien.de
11-07-06 05:03:56 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+10+0 +OK H1625025 1631 10 78 ***@wohngefuehl-immobilien.de
11-07-06 05:03:56 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+11+0 +OK H1625025 1006 10 63 ***@wohngefuehl-immobilien.de
11-07-06 05:03:56 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+12+0 +OK H1625025 1007 10 78 ***@wohngefuehl-immobilien.de
11-07-06 05:03:56 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+13+0 +OK H1625025 622 10 78 ***@wohngefuehl-immobilien.de
11-07-06 05:03:56 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+14+0 +OK H1625025 622 10 94 ***@wohngefuehl-immobilien.de
11-07-06 05:03:56 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+15+0 +OK H1625025 622 10 93 ***@wohngefuehl-immobilien.de
11-07-06 05:03:56 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+16+0 +OK H1625025 1007 10 79 ***@wohngefuehl-immobilien.de
11-07-06 05:03:57 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+17+0 +OK H1625025 980 10 125 ***@wohngefuehl-immobilien.de
11-07-06 05:03:57 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+18+0 +OK H1625025 1068 10 343 ***@wohngefuehl-immobilien.de
11-07-06 05:03:58 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+19+0 +OK H1625025 1009 10 641 ***@wohngefuehl-immobilien.de
11-07-06 05:03:58 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+20+0 +OK H1625025 1007 10 172 ***@wohngefuehl-immobilien.de
11-07-06 05:03:58 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+21+0 +OK H1625025 979 10 109 ***@wohngefuehl-immobilien.de
11-07-06 05:03:58 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+22+0 +OK H1625025 1006 10 78 ***@wohngefuehl-immobilien.de
11-07-06 05:03:58 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+23+0 +OK H1625025 978 10 157 ***@wohngefuehl-immobilien.de
11-07-06 05:03:58 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+24+0 +OK H1625025 977 10 140 ***@wohngefuehl-immobilien.de
11-07-06 05:03:58 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+25+0 +OK H1625025 1003 10 78 ***@wohngefuehl-immobilien.de
11-07-06 05:03:58 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+26+0 +OK H1625025 1006 10 250 ***@wohngefuehl-immobilien.de
11-07-06 05:03:59 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+27+0 +OK H1625025 1519 10 78 ***@wohngefuehl-immobilien.de
11-07-06 05:03:59 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+28+0 +OK H1625025 1882 10 579 ***@wohngefuehl-immobilien.de
11-07-06 05:03:59 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+29+0 +OK H1625025 2193 10 328 ***@wohngefuehl-immobilien.de
11-07-06 05:04:00 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+30+0 +OK H1625025 1305 10 328 ***@wohngefuehl-immobilien.de
11-07-06 05:04:00 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+31+0 +OK H1625025 1307 10 687 ***@wohngefuehl-immobilien.de
11-07-06 05:04:01 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+32+0 +OK H1625025 624 10 94 ***@wohngefuehl-immobilien.de
11-07-06 05:04:01 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+33+0 +OK H1625025 624 10 63 ***@wohngefuehl-immobilien.de
11-07-06 05:04:01 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+34+0 +OK H1625025 910 10 93 ***@wohngefuehl-immobilien.de
11-07-06 05:04:01 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+35+0 +OK H1625025 1014 10 110 ***@wohngefuehl-immobilien.de
11-07-06 05:04:01 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+36+0 +OK H1625025 978 10 172 ***@wohngefuehl-immobilien.de
11-07-06 05:04:01 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+37+0 +OK H1625025 1885 10 93 ***@wohngefuehl-immobilien.de
11-07-06 05:04:01 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+38+0 +OK H1625025 1576 10 94 ***@wohngefuehl-immobilien.de
11-07-06 05:04:01 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+39+0 +OK H1625025 1162 10 63 ***@wohngefuehl-immobilien.de
11-07-06 05:04:01 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+40+0 +OK H1625025 1696 10 187 ***@wohngefuehl-immobilien.de
11-07-06 05:04:02 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+41+0 +OK H1625025 1005 10 969 ***@wohngefuehl-immobilien.de
11-07-06 05:04:03 212.144.114.18 POPS wohngefuehl-immobilien.de 81.169.175.46 672 TOP TOP+42+0 +OK H1625025 1080 10 797 ***@wohngefuehl-immobilien.de

PapaBaer · Jul 18, 2011

derchris77 said:
und, was ist das

Das sind all die Dinge, die man besser gelernt hätte, bevor man seinen Root-Server an die Wand fährt.

Die ersten Logs sind Grundrauschen von Bots, die nach Sicherheitslücken in diversen verbreiteten Web-Anwendungen suchen. Ich nehme an, da du dich nicht um Updates gekümmert hast (der Server lief ja ...), hat irgendwann ein solcher Bot einen Treffer gelandet, eine Sicherheitslücke gefunden und ausgenutzt.

Die zweiten Logs sind offene Proxy-Verbindungen. Da du in deiner Web-Server-Konfiguration einen offenen Proxy eingestellt hast, haben andere deinen Server zur Verschleierung ihrer Identität missbraucht.

Das alles sind aber weitere Probleme, die sich jetzt, wo es zu spät ist, offenbaren. Da du auf Grund mangelnden Wissens nicht in der Lage bist eine sinnvolle Analyse deines Systems zu betreiben, solltest du deinen Provider bitten, ein Image zu erstellen. Du kannst dann der Pozilei dieses Image übergeben und mit der weiteren Auswertung betreuen.

Ich hoffe, dieser Vorfall und die möglichen Konsequenzen zeigen dir, dass du besser so lange keine eigenen Server betreibst, bis du das nötige Wissen gelernt hast.

derchris77 · Jul 18, 2011

@PapaBear,
Weisst Du, ich sehe dass alles ein was Du mir da mitteilst.
Ich bin aber nicht blindlings an die Sache herangegangen. Ne. Ich hatte als der Server aufgesetzt wurde extra ein Systemhaus in Berlin damit beauftragt, die Serversicherheit zu prüfen und etwaige Sicherheitslücken zu schliessen.

Gut, ich kenne mich noch nicht so gut aus wie ihr hier alle.
Daher der Auftrag ans Systemhaus. Und ja, ich habe das Systemhaus dafür bezahlt!

Nun, das Systemhaus lässt mich seitdem hängen.
Also muss ich da jetzt irgendwie selber durch.
Irgendwie

PapaBaer · Jul 18, 2011

Sicherheit ist kein Zustand, sondern ein Prozess. Wie soll das beste Systemhaus Sicherheitslücken schließen, die nächsten Monat bekannt werden? Da helfen nur Betreuungsverträge oder Managed Server.

Wenn du bedenken hegst, dass dein Systemhaus keinen Plan hat (davon gibt es leider genug), dann geh zu einem anderen Anbieter. Der kann dein Problem lösen und gleichzeitig mal nachsehen, ob da jemand geschludert hat.

TerraX · Jul 18, 2011

Wie Papabear Dir sagt: Managed Server bei Deinem Hoster und nicht irgendein Systemhaus - und ruf den Support bzw. gleich die Technik-Abteilung von Deinem Hoster an, dass die Dich bzgl. der Anforderungen der Justiz unterstützen. Jeder ordentliche Hoster bietet auch entsprechenden Service an, der natürlich kostet.

Und ja - IT-Sicherheitsmanagement ist ein Prozess - kostest auch laufend Zeit und Geld. Rentiert sich aber, weil man sonst seine Dienstleistungen nicht erbringen kann.

Neuling benötigt Hilfe. Unser Windows Server 2008 wurde gehackt

derchris77

New Member

virtual2

Registered User

Thorsten

SSF Facilitymanagement

TerraX

Active Member

derchris77

New Member

derchris77

New Member

derchris77

New Member

PapaBaer

Registered User

derchris77

New Member

PapaBaer

Registered User

TerraX

Active Member

We value your privacy