Root-Server bei Strato zickt rum und wir wissen nicht warum

[blacklily]

Folgendes:

Wir haben ne kleine Commu auf nem Root bei Strato liegen, und eben ging plötzlich nix mehr.

lt. Putty laufen 6 Prozesse, also alles iwie normal, dann haben wir uns mal die Traffic-Daten angeschaut und da ist uns ca. 2 Stunden vor dem Zusammenbruch was aufgefallen. Normal Incoming- und Outgetting-Kurve, dann 19:30 Uhr ein extremer Ausschlag der Kurve In sowie Out, dananch hat der Server nur noch mit halber bzw. gedrittelter Leistung gearbeitet, erst seit nem Neustart geht´s wieder. In den letzten 3 Tagen hatten wir das genau so, wie geschildert. Wir alle haben nicht viel Ahnung von Servern, deshalb wende ich mich an euch.

Was kann das sein?

 

[mr_brain]

Welche Community-Software? Vielleicht ein Rootkit darüber eingefangen?

 

[]MaX[]

Poste die Logfiles vom Webserver, und von den anderen Diensten wo ihr ein Problem vermutet bzw. festgestellt habt.

 

[blacklily]

Ist ne eigene Software, wie erkennt man nen Rootkit?

 

[s8R]

Hm, von 100€ würde ich 25 auf nen ausgehenden Brute-Force wetten

 

[blacklily]

Rootkit und Brute-Force?

Hm, kann man nen Sicherheitscheck (Antivirussoftware oder so) manuell übern Server laufen lassen um sowas zu finden? Herrjeh, was ne Blamage.
Wie würde unser Server ohne unser Zutun nen Brute-Force starten?

Also, die Error-Logs sagen schonmal nix dazu. Auch die Access-Logs sagen mal garnix aus. *find*
das ist soviel, was wollt ihr denn sehen?

 

[s8R]

Sag doch mal dein OS und solche Eckdaten.

Es is ja wirklich nur ne Vermutung, ich bin auch nicht wirklich der Linux-Crack. Aber die Symptome scheinen mir so Brute-Force ähnlich. Braucht n haufen Bandbreite und noch mehr Systemleistung.

Und solche plötzlichen Sprünge.. noch dazu dasses nur aufhört wenn man rebootet, sieht mir sehr nach Rootkit + Bruteforce aus. Installier den Server am besten neu. Sonst schleudert der in Paar Tagen vllt Gb-Weise Warez raus oder verschickt Spam, oder hilft zum übernehmen anderer Server, das solltest du in deiner Verantwortung zu verhindern wissen.

Überstürtze nichts, lass erstmal Profis hier antworten. Aber ich an deiner Stelle wäre für diese Lösung.

 

[blacklily]

OpenSuse 10, Apache2
MySql, Plesk etc. - sowas?

also, hier nochmal nachträglich evtl. etwas deutlicher:

Plesk-Version psa v8.0.1_build80060728.17 os_SuSE 10.0
Betriebssystem Linux 2.6.13-15.11-default

Mehrere Domains liegen auf dem Server - 1 die Commu, die anderen werden nur weitergeleitet zur Commu

den Paketnamen kann ich euch jetzt leider nicht nennen, bin ja nich der Eigentümer (mit dem ich hier wild diskutiere)

 

[blacklily]

Aber danke schonmal an euch, ich guck wieder ein. Gute Nacht.

 

[]MaX[]

Was soll das ganze hier eigentlich, hier wird jemandem einfach mal so zu einer Neuinstallation geraten, ohne das hier auch nur irgendeiner eine Ahnung hat, von was dieser Trafficsprung aus geht. Also sorry aber das hat einfach mal garnichts damit zu tun jemandem bei einem Problem behilflich zu sein. Das ist einfach nur pure Hellseherei, und zeugt nicht gerade von einer fachlichen Kompetenz, sondern es ist meiner Meinung nach einfach nur Fahrlässig. Ausgehende bruteforce Attacken ein Rootkit sind alles tolle Vermutungen aber wie gesagt nichts als Rätselraterei.

So das Beste wäre es erstmal die Prozesse zu kontrollieren die laufen, und dort nach ungewöhnlichem zu suchen, und zwar alle Prozesse und nicht nur die vom Webserver. Dann wie gesagt sämtliche Logs durchforsten ob dort was ungewöhnliches zu finden ist.
Das heist alle Logs vom Apache, dabei vielleicht darauf achten ob eine Datei einfach nur oft runtergeladen wird. Die Syslogs, Authlogs, Messages, Mail usw. Dazu sollte ebenfalls z.b. Rkhunter oder Chrootkit mal durchlaufen.
Dabei wird sich bestimmt was ergeben und falls nicht kann man immernoch weitersehen.

 

[bernsteinkater]

Joa, den Server von Profis (Provider-Support zB?) ueberpruefen lassen wenn Ihr selber keine Erklaerung und keine Ahnung habt.

Die gaengigen ersten Pruefungen wie Logfiles checken, chkrootkit von Live-CD/Rettungssystem und weiteres wurde ja bereits vorgeschlagen. Das solltet Ihr auf jeden Fall machen.

In, meiner persoenlichen Erfahrung nach, den meisten Faellen einer Kompromittierung finden sich die vom Angreifer injizierten Dateien uebrigens in /tmp oder /var/tmp. Ein "find /tmp" bzw. "find /var/tmp" foerdert diese meist zutage.

 

[s8R]

Jungs, tut mir den Gefallen und lest alles bevor ihr euren Abfall hier Postet: Ich habe nix anderes gesagt.

Auch wenns sein Strato Server nicht wert sein wird, glaubt ihr wirklich n Hacker lässt sich so schnell rauswerfen?
DAS ist nämlich primitiv zu behaupten.

Solche Sprünge kommen eben, gerade andauernde nunmal häufig davon.

 

[Huschi]

Nur mal so zum Nachdenken an alle Supporter:

Normal Incoming- und Outgetting-Kurve, dann 19:30 Uhr ein extremer Ausschlag der Kurve In sowie Out, dananch hat der Server nur noch mit halber bzw. gedrittelter Leistung gearbeitet

Kann auch folgendes heißen:
Aufgrund einer (Printmedien-)Werbung oder einer Review auf einem Online-Portal (o.ä.) sind viele viele neugiere Surfer gekommen.
Aufgrund der unzulänglichen (und teils lästigen) default-Einstellung des Apache verbraucht er soviel Ram, daß er swappen muß. Das verlangsamt die allgemeine Abarbeitung der Requests.
/edit: Auch ein schlecht programmierter Spider/Crawler kann dieses Problem verursachen.

Für diese Theorie sprechen:
- Sowohl Input als auch Output gehen nach oben.
- Der Server wird spürbar langsamer.

Bei einer (oben angesprochenen) ausgehenden BruteForce- oder DoS-Attacke würde der Input nicht ansteigen und der Server auch nicht langsamer werden.

Das ganze soll nur kurz erklären, daß man nicht immer den Teufel an die Wand malen muß.

Fazit:

den Server von Profis (Provider-Support zB?) ueberpruefen lassen

Das war der einzige wirklich gute Rat in diesem Thread.

huschi.

 

[s8R]

Bei einer (oben angesprochenen) ausgehenden BruteForce- oder DoS-Attacke würde der Input nicht ansteigen und der Server auch nicht langsamer werden.

Hut ab vor dir Huschi, du bist mir in Sachen Linux sicher um Welten überlegen.
Trotzdem tut es mir leid das jetz mal verwerfen zu müssen.

Bruteforces, grade im großen Stil (1400 Vb. aufwärts) brauchen sehr wohl System, und In- wie Output sind sicher nicht gleich hoch aber im ähnlichen Maße.

Eher würde ich sagen bei Website-Visits ist der Incoming Traffic eher geringer einzuschätzen.

 

[Huschi]

Blacklily läßt uns bzgl. konkreter Zahlen im Stich und DoS-Angriffe können ziemlich verschieden ausfallen. (Fängt schon mit UDP oder TCP an...)
Von daher erübrigt sich jede Diskussion über das Verhältnis von In-&Output und Ressourcen verbrauch.

Ich wollte lediglich aufzeigen, daß es auch durchaus "natürliche" Erklärungen geben kann. Und aufgrund mangelnder Kenntnisse des Fragenden, werden wir es sowieso nie erfahren...

huschi.

 

[blacklily]

Hallo. Erstmal danke an alle.

Chrootkit ist drübergelaufen und ergab nichts, wenn man bedenkt, dass es auf nem evtl. infizierten System installiert wurde.

Alle Abfragen, die zum Zeitpunkt liefen, kamen von üblichen, bekannten Quellen.
Die Apachelogs haben nichts außergewöhliches angezeigt.
Visits der HP waren normal.

Strato weigert sich zu supporten, hatten auch da mal angefragt.

Ich versuche mal ein paar mehr Daten hier reinzubekommen, gebt mir nur etwas Zeit. Denn ich frag ja nicht, weil ich bzw. wir Ahnung haben, sondern weil wir sie eben nicht haben.
Danke für eure Geduld.

 

[the_condor]

Hallo,

mich würde mal deine Domain Intressieren um mal so ein Auge drauf zu werfen.

PN ist Natürlich klar