Server Strato gesperrt

[danton]

In den technischen News steht folgendes (ich zitier hier mal nur die relevante PAssage):

Wir haben diverse gesperrte Systeme analysiert, um Ihnen Hinweise für Gegenmaßnahmen geben zu können.
Bei vielen Systemen (nicht allen) ist die Situation wie folgt:

Der Angreifer hat eine Backdoor installiert, um andere Server anzugreifen.
Die durch die Backdoor installieren Skripte liegen in den cgi-bin-Verzeichnissen der Plesk-Webverzeichnisse.
Beispiel: /srv/www/vhosts/domainname.de/cgi-bin

- Die Namen der Perl-Skripte sind beliebig, enden aber immer auf .pl
- In 95% aller Skripte ist das Schlüsselwort "Gootkit" zu finden.
- Sie haben immer die Dateirechte "-rwxr-xr-x"
- Angelegt / geändert wurden die Dateien Ende Februar / Anfang März.

Und da steht ganz klar: Bei vielen Systemen (nicht allen)
Das bedeutet natürlich, daß auch andere Rootkits eingeschleust worden sein, können, die chkrootkit oder rkhunter nicht finden und die eben nicht oben genanntem Schema entsprechen.
Oder anders ausgedrückt: Trotz leerem cgi-bin Verzeichnis kann der Server kompromitiert sein!!!

 

[jkw]

Was tun wenn man Zweifel hat on der eigene Server betroffen ist?

@ danton

Das mit den cgi-bin hatte ich auch gelesen und war erleichtert, dass mein Server wohl nicht betroffen ist; wie schließe ich das aber endgültig aus? Ich habe mal den watchdog drüber laufen lassen - der zeigt immerhin an, dass keine ihm bekannten rootkits installiert sind. Gibt mir das endgültige Gewissheit?

Ich habe dann der Empfehlung folgend das root-Passwort geändert - welche Schritte sind noch zu empfehlen?

Danke für hilfreiche Hinweise!

@ Joe User
Könnte es sein, dass die Sperrung betraf alle Nutzer eines physikalischen Servers, auf dem mehrere V-Server laufen, von denen nur einer befallen war?

Bei der Gelegenheit ein seltsamer Zwischenfall:

Meine php-Webapplikation selbst war für die User die ganze Zeit ohne Unterbrechung erreichbar. Während ich das Plesk-Update über TTy (Puttty) durchlaufen liess loggte ich mich in den Strato-Kundenbereiche ein und versuchte die Admin-GUO für den V-Server zu erreichen - was abgeblockt wurde mit der Meldung, der Zugang zu meinem Server sei gesperrt da er kompromittiert sei .. häh? Sowohl der Zugang zum Plesk GUI wie auch via Putty wie auch für de Nutzer waren gegeben. Ich habe den Eindruck, die Jungs bei Strato waren einfach komplett überlastet und haben dies und jenes mal provisorisch abgestellt um dann eines nach dem anderen (ordentlich) abzuarbeiten. Ergebnis: heute Nacht waren alle Server - auch meiner - für 40 Min offline, heute schnurrt er wieder brav vor sich hin.

Und das Ganze für einen einstelligen Eurobetrag im Monat - was will man mehr - billig bringt billigen Service, solange es aber funzt ....

 

[danton]

Das mit den cgi-bin hatte ich auch gelesen und war erleichtert, dass mein Server wohl nicht betroffen ist; wie schließe ich das aber endgültig aus? Ich habe mal den watchdog drüber laufen lassen - der zeigt immerhin an, dass keine ihm bekannten rootkits installiert sind. Gibt mir das endgültige Gewissheit?

Endgültige Gewissheit wirst du nicht bekommen. Sofern Strato dir nicht geschrieben hat, daß dein Server auffällig geworden ist, besteht eine gute Wahrscheinlichkeit, daß deren Sperre der Plesk-Dienste rechtzeitig schlimmeres verhindert hat. Letztendlich mußt du für dich selber entscheiden, ob du das Risiko eingehen willst, daß dein Server evtl. kompromitiert ist und ausgenutzt wird (mit allen rechtlichen Konsequenzen).
Sicher gehen kannst du nur, indem du den Server neu installieren läßt und deine Nutzerdaten (Webseiten, E-Mails, Datenbanken, etc.) genau untersuchst, ob alles noch dem Originalzustand entspricht.
Ich kann dir nur sagen, wie ich mich entscheiden würde: Sofern es Anzeichen gibt, daß mein Server evtl. kompromitiert wurde, wird ein Image gezogen und anschließend neu installiert. Sicher ist Sicher!

 

[PapaBaer]

Gibt mir das endgültige Gewissheit?

http://de.wikipedia.org/wiki/Intrusion_Detection_System#Host-Basierte_IDS

Endgültige Gewissheit gibt es nach einem möglichen Einbruch nicht. Es sei denn, du hast irgendwo sichere Prüfsummen all deiner Dateien, die du checken kannst.

 

[Thorsten]

Hallo!

Weitere Informationen gibt inzwischen auch 1&1 heraus: http://hilfe-center.1und1.de/server/785011

mfG
Thorsten

 

[Huschi]

Dein Server wurde für DDoS missbraucht! Das hätte nie passieren dürfen. Das ist deine Schuld, weil du keine Updates eingespielt hast!

Prinzipiell korrekt, aber in diesem Einzelfall nicht. Die Sicherheitslücke wurde definitiv länger (und zwar automatisiert) ausgenutzt als Updates bereit standen.

Ich habe mal den watchdog drüber laufen lassen - der zeigt immerhin an, dass keine ihm bekannten rootkits installiert sind. Gibt mir das endgültige Gewissheit?

Boote den Server im Rescue. Partitionen mounten und dann einen (aktuellen) Rootkit-Scanner darüber laufen lassen. Damit erhältst Du eine Gewissheit von ca. 70%-80%.

huschi.

 

[Jesaja]

Endgültige Gewissheit wirst du nicht bekommen. Sofern Strato dir nicht geschrieben hat, daß dein Server auffällig geworden ist, besteht eine gute Wahrscheinlichkeit, daß deren Sperre der Plesk-Dienste rechtzeitig schlimmeres verhindert hat.

Du interpredierst du Aussage vermutlich so: "Altes Plesk, vermutlich gehackt" oder?

Ich würde es eher so interpretieren: "Server macht DDOS, zu 99% gehackt, vermutlich altes Plesk".

Falls(!) ich recht habe, kann man Strato hier nichts vorwerfen, der (evtl helfende) Hinweis ist sogar noch mehr als man vom Hoster erwarten kann.

 

[danton]

Eher als "Altes Plesk, möglicherweise gehackt" - absolut sicher sein kann man da nicht - aber wenn der Server keine Auffälligkeiten zeigt und und die bekannten Rootkit-Scanner nix finden, besteht eine gute Wahrscheinlichkeit, daß alles gut gegangen ist.
Ich behaupte weder, daß alles OK ist oder der Server in jedem Fall neu aufgesetzt werden muß. Ich sage nur, daß gute Chancen bestehen, daß nix schlimmes passiert ist. Aber die endgültige Entscheidung liegt beim Admin des Servers - wenn dieser meint das der Server (wieder) sicher ist, dann braucht natürlich nicht neu aufgesetzt zu werden. Wenn es die falsche Entscheidung war, können natürlich Konsequenzen folgen, dessen muß man sich natürlich auch klar sein.
Das Vorgehen von Strato, bei vServern Plesk in den iptables zu sperren, so daß der Admin sie selber wieder frei geben kann, wenn er Plesk aktualisiert hat, fand ich übrigens sehr gut. Bei vielen dürfte es in der Tat schlimmeres verhindert haben.
Den Serveradmins kann man ja noch nicht einmal einen Vorwurf machen, wie Huschi schon schrieb, wurde die Lücke bereits ausgenutzt, als es noch kein Update gab.

 

[fdasasdf]

Den Serveradmins kann man ja noch nicht einmal einen Vorwurf machen, wie Huschi schon schrieb, wurde die Lücke bereits ausgenutzt, als es noch kein Update gab.

Die Lücke gab es bis Plesk 10.3.1. Seit 6.2. war ein Upgrade auf 10.4.4 möglich.

 

[Joe User]

aber wenn der Server keine Auffälligkeiten zeigt und und die bekannten Rootkit-Scanner nix finden, besteht eine gute Wahrscheinlichkeit, daß alles gut gegangen ist.

Naiv? Die Mehrzahl der "Hacker" kommt völlig ohne RootKit aus, insbesondere die Script-Kiddie-Fraktion, welche diese Lücke derzeit bevorzugt ausnutzt. Zudem werden vernünftige beziehungsweise moderne RootKits von den RootKit-Scannern gar nicht erkannt.

Das beste Mittel um solche Hacks zu vermeiden, ist wie schon immer, jegliche Updates umgehend einzuspielen und auch Upgrades zeitnah durchzuführen. Dazu kommen selbstverständlich die best-practices der Security, viel Erfahrung und eine gewisse Portion Brain. Damit hält man sich gute 99% der Gefahren vom Hals...