Server infiziert ?

[denndsd]

Guten Abend,

ich benötige mal eure Hilfe.
Heute habe Ich von Hetzner (meinem PRovider) die Nachricht bekommen, das ich wohl ein Angriff von meinem Server durchgeführt habe.
In dem Fall habe ich wohl einen Port Scan durchgeführt.
Den Logdaten von Hetzner zufolge, in ein Privaten Adressbereich 192.168.0.0/24 . Interesannterweise alle auf Port 22.

Naja Ich habe mich nichts bei gedacht , und habe heute Abend mal drauf geschaut.
Siehe da , da läuft ein Prozess namens xmr-stak. Hmmmmm Monero ?
Ich vermute da scheint sich jemand daran zu schaffen gemacht zu haben und Mined glücklich Monero damit. Da scheint der Port Scan berechtigt zu sein, da die Shadware wohl versucht hat , sich fortzupflanzen. Daher wahrscheinlich auf Port 22. Meine Frage nur, wie kommt sowas da drauf ? Gibt es eine Möglichkeit Logdaten auszuwerten ? Bzw. welche muss ich mir da anschauen .
Interessanterweise lag im FTP Verzeichnis ein versteckter Ordner .ttp welcher die Sharware enthält. Allerdings finde ich im FTP Log von heute keine Einträge, das sich jemand eingeloggt hat.
Als OS Nutze ich Ubuntu Server 16.04 LTS.

Vielen Dank.

Christian

 

[nexus]

Heute habe Ich von Hetzner (meinem PRovider) die Nachricht bekommen, das ich wohl ein Angriff von meinem Server durchgeführt habe.

...

Naja Ich habe mich nichts bei gedacht , und habe heute Abend mal drauf geschaut.

Ernsthaft?
Du bekommst von deinem Anbieter schon die Info, daß deine Kiste Amok läuft...und du denkst dir nichts dabei und läßt die Kiste einfach weiterlaufen?

Was du jetzt tun solltest:
- Server umgehend runterfahren und ins Rescue booten
- Image vom System erstellen für die forensische Untersuchung, um den bzw. die Angriffsvektoren zu ermitteln
- Userdaten sichern
- Server komplett neu aufsetzen
- Gefundene Schwachstellen / Sicherheitslücken schließen
- Userdaten zurückspielen
- Server wieder ans Netz anschließen

Wenn du dir die forensische Untersuchung nicht zutraust (was nach deiner Fragestellung zu vermuten wäre), dann hol dir professionelle Hilfe.
Wenn du die Lücken nicht schließt, würde ein Neuaufsetzen nichts bringen und deine Kiste würde in Kürze wieder übernommen werden.

 

[PHP-Friends]

Wenn die Malware als root läuft, kommst du um eine Neuinstallation nicht drumherum. Läuft sie unter einem weniger privilegierten User, stehen die Chancen eigentlich ganz gut, dass du nur diesen bereinigen musst. Wenn bei uns ein Webhostingaccount gehackt wird, setzen wir ja auch nicht die ganze Kiste neu auf.

 

[Joe User]

Läuft sie unter einem weniger privilegierten User, stehen die Chancen eigentlich ganz gut, dass du nur diesen bereinigen musst.

Bei den ganzen bekannten Lücken im Linux-Kernel (insbesondere die von Debian/Ubuntu zerpatchten) welche eine lokale Rechteerweiterung erlauben?
Sorry, aber das ist ein Spiel mit dem Feuer welches man besser nicht spielt.

Wenn bei uns ein Webhostingaccount gehackt wird, setzen wir ja auch nicht die ganze Kiste neu auf.

Jepp, nur hat der OP garantiert nicht mal ansatzweise Euer Know-How

 

[PHP-Friends]

Lustigerweise habe ich gerade noch eine Abuse-Rückmeldung bei uns mit Verweis darauf beantwortet, dass auch bei einer "Nicht-Root-Kompromittierung" keineswegs auf eine detaillierte Analyse verzichtet werden kann und wir - spätestens, wenn die Analyse Fragen offen lässt - eine Neuinstallation empfehlen. Insofern stimme ich dir zu, ich hatte nur das Ticket mit mehr Bedacht als diesen Thread beantwortet.

 

[denndsd]

Hallo zusammmen,

erstmal vielen Dank für eure Antworten.
Ich habe den Server natürlich direkt vom Netz genommen, bzw über den Webresetter runtergefahren um weitere schäden zu vermeiden.

Ich habe mir heute mal die Logdaten in ruhe angesehen.
Im Auth Log finde ich einen Eintrag der genau um die Uhrzeit war-
Der FTP USer wurde benutzt um sich über SSH einzuloggen. Ich hatte tetächlis noch die Shell hinterlegt - mein Fehler. Allerdings kann Ich noch nicht ganz nachvollziehen wie der BEnutzer Root Rechte bekommen hat, da dieser nicht berechtigt war superuser Rechte zu bekommen. In der Sudoers Datei stand er ebenfalls nicht drin.
Allerdings muss der , oder die irgend einen Weg gefunden haben, die rc.local zu bearbeiten, um so den Monero Miner einzupflegen.
Hat da jemand eine Idee ?

Ich werde den Server komplett neu aufsetzen.
Bin momentan noch dabei, die Daten zu sichern.
Aber sowas ist schon auf einer Seite sehr interesannt .

Viele Grüße

Christian

 

[Deleted member 11740]

Es gibt auch Exploits, die sich lokal ausführen lassen um root-Rechte zu erlangen. Wie weit die Patches von Debian da problematisch sind, will und kann ich nicht beurteilen.

 

[chris4000]

War die Software auf einem aktuellen Stand? Lässt sich nicht nachvollziehen, wie derjenige root Rechte bekam? Wenn das so einfach wäre, dürfte man ja kein shared Hosting mehr verwenden!

 

[killerbees19]

Wenn das so einfach wäre, dürfte man ja kein shared Hosting mehr verwenden!

Wenn man sich die Sache bei DF mit dem Shared Webhosting Server von 2017 ansieht, könnte man zu diesem Entschluss kommen.

 

[Deleted member 11740]

War die Software auf einem aktuellen Stand? Lässt sich nicht nachvollziehen, wie derjenige root Rechte bekam? Wenn das so einfach wäre, dürfte man ja kein shared Hosting mehr verwenden!

Guter Witz.
Kannst ja mal auf diese Seite gehen.

Je nach Alter des Kernels ist sehr leicht lokale Exploits zu nutzen, um z.B. Programme als root auszuführen. Den Code dazu muss man auch nicht selbst schreiben, meist werden Beispiele direkt mitgeliefert.

Selbst wenn alles aktuell ist, schützt einen das niemals vor 0-day-exploits. Oftmals hat man auch eine gewisse Reaktionszeit der Distributoren wodurch sich ein Patch auch nochmal verzögern kann.

 

[denndsd]

Was heißt Shared Hosting.
Es ist ein Dedi Server welcher bei der Hetzner steht.
Die Software war relativ aktuell. Klar 5 oder 6 Pakete gab's aber das waren Komponenten.
Naja gut jetzt läufts wieder und ich werde fail2 Ban Implementieren.
Vielen Dank