Server gesperrt - directory traversal

[KUNSTdrucker]

OK, ich kann schon fast ahnen, was für Beiträge gleich auf mich niederprasseln, wenn ich mich hier so umlese. Ich riskiere es trotzdem.


Mein Server bei Alflahosting wurde heute Nacht dicht gemacht. Ich erhielt folgende Mitteilung dazu.

This is an incident notification from e-Cop 24x7 Information Security Surveillance Services (24x7 ISSS). e-Cop has detected malicious probes attacks from your IP address range.

Please take note of the following incidents that has occurred:

At the date of 2011-08-11 5:59:14 AM (GMT +8), source IP **** has attempted a directory traversal (/proc/self/environ) attempts at our client’s network.

Kindly investigate the incident mentioned and reply to us as soon as possible.

If further investigation is needed, kindly forward this e-mail to your security administrator, abuse team, ISP or any personnel who can assist in verifying the incidents mentioned.

Regards,

Venkat

GCC Master

Dicht isser ja schon; ich nehme mal an, dass ich der allgemeine Rat lautet; neu aufsetzen.

VG
Michael

 

[Moppel]

Mit dem Provider in Verbindung setzen
Rescue Modus starten
Schauen was, wann, wo, warum und wie es passiert ist
Daraus lernen
Büchse neu aufsetzen
KEIN Backup einspielen
Daraus lernen

 

[KUNSTdrucker]

Hallo Moppel,

vielen Dank für die schnelle Antwort. Der Server läuft nun im rescue-modus.

Kannst Du oder jemand anders mir erklären, welche Qualität von Angriff ein "directory traversal" genau ist? Auf einer Skala von 1-10?

Danke
Micha

 

[KUNSTdrucker]

So, der Server läuft wie gesagt im Rettungsmodus.

Wollte mich nun per Konsole einloggen und bekomme folgende Meldung:

WARNING - POTENTIAL SECURITY BREACH!

The server's host key does not match the one PuTTY has cached in the registry. This means that either the server administrator has changed the host key, or you have actually connected to another computer pretending to be your server.
The new rsa2 key fingerprint is:
ssh-rsa ************************
If you were expecting this change and trust the new key, hit YES to update PuTTY's cache and continue connecting. If you want to carry on connection but without updating the cache, hit NO.
If you want to abandon the connection completely, hit Cancel. Hitting Cancel is the only guaranteed safe choise.

Ich selbst hab den Host-Key nicht geändert und auch SSH nicht geupdatet. Liegt es am security-modus, dass der cache nicht mit dem key vom server harmoniert oder am Angriff?

Danke
Micha

 

[Thunderbyte]

Das ist OK und kann abgenickt werden. Die Rettungskonsole hat einen anderen SSH Key als der Server selbst. Die Nachricht kommt immer bei einem für Putty neuen SSH Key.

 

[KUNSTdrucker]

Hmm über WinSCP komm ich gar nicht mehr drauf und in der Rescue-Konsole funzen keine Befehle, da

Cannot allocate memory

.

Sind meine Daten jetzt alle futsch? Wie kann ich wenigstens die MySQL-DB und die FTP-Daten der user sichern/einsehen.

Ich hätte die Möglichkeit den Server ganz normal neu zu starten, was ich aber tunlichst zu unterlassen gedenke.

 

[Deleted member 4401]

Das bedeutet nur dass kein RAM zur Verfügung steht um Befehle auszuführen, was im Rescuemode sehr seltsam ist da hier ja nur das Grundsystem gestartet werden sollte. Wende dich mal an den Provider.

Sonst kann ich nur noch sagen: Oje, bei Alfahosting...mein Beileid, scheint sich ja nichts geändert zu haben bei denen (glücklicher Ex-Kunde).

 

[PapaBaer]

welche Qualität von Angriff ein "directory traversal" genau ist? Auf einer Skala von 1-10?

10. Und zwar, weil es vollkommen egal ist, welche Art Angriff von deinem Server ausgeht. Entscheidend ist, dass Angriffe von deinem Server ausgehen. Derjenige, der diese Angriffe auslöst, kann auch jede andere Art von Angriff auslösen.

Es ist halt immer die gleiche Leier. Du wusstest, dass man nicht ohne Wissen einen Server betreibt (schreibst es ja selbst) und dachtest, dass es nur für alle anderen gilt (Karma?). Und dann knallst es eben. Told you so...

 

[KUNSTdrucker]

Hhm, recht hast Du. Ich habe mich vorher nicht ausreichend informiert, was dazu gehört.

Bin von einem normalen Hosting-Paket hochgehangelt, zu nem Reseller-Paket hoch zu nem Root-Server und das nicht aus dem Grund, weil ich unbedingt einen eigenen Server managen wollte, sondern wegen des Festplatten-Speicherplatzes bei den alfahosting-Paketen.

Was das alles dazughört wurde mir nach und nach erst bewusst.

Nun hilft es nichts, ich muss die Kiste wieder zum Laufen bringen bzw. wenigstens mindestens meine Daten sichern.

Bin auch schon auf der Suche nach professioneller Hilfe.

 

[KUNSTdrucker]

So, das memory problem ist nun auch behoben.

Wo schau ich jetzt am besten nach, was da um

2011-08-11 5:59:14 AM

genau passiert ist?

Besten Dank
Michael

by the way: ein RootServer zu administrieren ist in der Tat eine Nummer zu hoch für mich bzw. interessiert es mich schon, aber ich bin auch in ein straffes Tagesgeschäft eingebunden und kann da von der Hirn- und Zeitkapaziät wahrscheinlich nicht mit den alltäglichen Erfordernissen mithalten, welche so ein Root-Server mit sich bringt. Haftungstechnisch habe ich auch kein Bedarf an solchen Experimenten.

Ich bräuchte eigentlich einen managed-Server, der mir aber in Bezug auf das Firmenwachstum keine Schranken gibt, d.h. ich muss auch mal eine 500 GB Platte dazubuchen können. Die Preise von Alfahosting haben mir da schon zugesagt.

Die Alternative wäre beim Root-Server zu bleiben und einen Administrator dafür zu engagieren. Gibt es dafür nicht auch Dienstleister, die solche Server in ihren Pool aufnehmen und überwachen? Wahrscheinlich nicht, wenn ich mir den Ärger so anschaue.

Vielleicht kann mir jemand was empfehlen.

 

[Deleted member 4401]

Wo schau ich jetzt am besten nach

Erste Anlaufstelle wäre lastlog (bzw. last -50, wobei -50 die letzten 50 Logins anzeigt). Dann syslog und access Logs der Websites, alles zu finden in /var/log.
Zu beachten ist die Zeitverschiebung:

2011-08-11 5:59:14 AM (GMT +8)

Wenn dein Server mit deutscher Zeitzone als Systemzeit läuft (GMT +2) musst du 6 Stunden abziehen.

 

[data85]

Die Alternative wäre beim Root-Server zu bleiben und einen Administrator dafür zu engagieren. Gibt es dafür nicht auch Dienstleister, die solche Server in ihren Pool aufnehmen und überwachen? Wahrscheinlich nicht, wenn ich mir den Ärger so anschaue.

Solche Dienstleister gibt es natürlich und ich würde dir auch dringend empfehlen, einen zu suchen, der dann den Angriff auswertet, dir den Server neu aufsetzt und auch in Zukunft die Administration übernimmt. Du kannst dafür sogar in diesem Forum eine Suche starten.

 

[KUNSTdrucker]

Ich bitte um zahlreiche Angebote für einen "Management"-Vertrag meines Servers. Bitte per PN.

 

[KUNSTdrucker]

Also das "Cannot allocate memory"-Problem.

Es ist jetzt wieder da.

Im VPS-Admin zeigt es mir aber beim Serverstatus auch "repairing" an.

Dieser Zustand zieht sich jetzt schon 8 Stunden hin, wobei man aber auch sagen muss, dass mein Server mit 215 GB Festplattenauslastung nicht grad klein ist.

Ich wollte den Rescue-Modus grad stoppen, um mal neu zu starten. Kommt das hier:

Fehler 1016: Some other operation is done with Environment at the moment: Environment locked (in 'backing-up' transition)

Läuft gerade ein Backup grade im Hintergrund?

 

[Deleted member 4401]

Sieht ganz danach aus, am Besten mal über Nacht warten, wenn sich dann nichts getan hat: Provider befragen.
Bei besagtem Provider hat bei mir allerdings (als ich vor Jahren mal Kunde war) ein (nach Aussage des Supports) RAID sync auch mal mehrere Wochen gedauert, natürlich verbunden mit extremen i/o-Waits und dementsprechend extrem schlechter Performance.