Serversperrung: Nutzung von anderen IPs als der Haupt-IP?

S

sleepless

New Member
Hallo :)

Ich bin neu hier und ehrlich gesagt auch im Bereich der Root-Server. Ich hatte zwar schon welche, allerdings sonst immer managed.

Nun, ich habe mir vor 3 Tagen einen Server bei Hetzner gemietet und eine Debian-Installation inkl. LAMP über deren Komplettimage gemacht. Schlussendlich habe ich noch kurz eine Domain auf den Server geleitet, fertig. Mehr wollte ich erstmal nicht machen, da dies vorerst nur reiner Spielerei diente. Richtig aufsetzen wollte ich den Server irgendwann im Laufe des Monats.

Zwei Tage ist dies so geblieben. Heute morgen allerdings staunte ich nicht schlecht, als ich diese Mail bekam:

We have noticed that you have been using other IPs in
addition to the main IP mentioned in the above subject line.
As this is not permitted, we regret to inform you that your server has been
deactivated.
Click to expand...

Kurzer Auszug aus dem Log, der mitgesendet wurde:

08:16:25.964876 14:da:e9:X:X:X > 28:c0:da:X:X:X, ethertype IPv4
(0x0800), length 950: 176.9.6X.1XX.26861 > 36.249.X.X.7533: Flags ,
seq 1760410196:1760411092, win 65535, length 896
08:16:25.964883 14:da:e9:X:X:X > 28:c0:da:X:X:X, ethertype IPv4
(0x0800), length 950: 176.9.1XX.2XX.61202 > 36.249.X.X.7533: Flags
, seq 4010995479:4010996375, win 65535, length 896
08:16:25.965397 14:da:e9:X:X:X > 28:c0:da:X:X:X, ethertype IPv4
(0x0800), length 950: 176.9.5X.7X.48707 > 36.249.X.X.7533: Flags ,
seq 3192122648:3192123544, win 65535, length 896
08:16:25.965625 14:da:e9:X:X:X > 28:c0:da:X:X:X, ethertype IPv4
(0x0800), length 950: 176.9.7X.1XX.51880 > 36.249.X.X.7533: Flags ,
seq 3400015686:3400016582, win 65535, length 896
Click to expand...


Ich habe die IPs mal lieber anonymisiert.

Tatsächlich ist das ganze outgoing traffic, was ich doch recht komisch finde. Meine IP ist 176.9.4X.1XX. Wie man jetzt aber in der Liste bei der source IP sehen kann, wechselt diese tatsächlich (warum? wie das? subnet?). Die source IP sowie Port hingegen scheint immer die selbe zu sein. Wollte da jemand von meinem Server aus einen DDoS machen, oder was?

Es ist halt schon innerhalb 5h knapp 30 GB outgoing traffic gewesen und das ohne, dass ich etwas getan hätte.

Über jede Hilfe wäre ich dankbar!
 
Was mich hier mehr erstaunt ist, dass du noch nichts auf dem Server eingerichtet hast und dieser offensichtlich bereits als DDOS Schleuder verwendet wird. Hast du Systemupdates durchgeführt also

apt-get update && apt-get upgrade -y

nachdem der Server ausgeliefert wurde oder ist dieser noch im Urzustand? Eventuell muss hier Hetzner bei der Aktualität der Installationspakete nachbessern. Wenn noch nichts eingerichtet ist auf dem Server würde ich dir empfehlen. Server über das Webinterface von Hetzner neuinstallieren und direkt nach der Neuinstallation das System auf den aktuellsten Paketstand aktualisieren so dass mögliche Exploits die im Installationspaket noch nicht geschlossen sind geschlossen werden und es zu diesen Problem nicht mehr kommt.
 
Wie man jetzt aber in der Liste bei der source IP sehen kann, wechselt diese tatsächlich (warum? wie das? subnet?).
Click to expand...
In der Annahme dass es sich hierbei tatsächlich um einen Exploit und nicht eine äusserst grobe Fehlkonfiguration handelt: Programme mit Root-Rechten können die Quell-IP von Datenpaketen spoofen (fälschen) wie es ihnen beliebt.
Ich frage mich allerdings was auf diesem Port 7533 der Ziel-IP laufen soll?

Ich bin neu hier und ehrlich gesagt auch im Bereich der Root-Server. Ich hatte zwar schon welche, allerdings sonst immer managed.
Click to expand...
Ohne dir zu nahe treten zu wollen - aber angesichts deines mangelnden Wissens wäre es zumindest aktuell vermutlich besser+sicherer wenn du weiter bei Managed bleibst. Plesk ersetzt die Konsole nicht!
 
Erstmal möchte ich mich zugleich für die Antworten bedanken, als auch für das nicht-antworten entschuldigen. Ich hatte leider keine Zeit mich um den Server zu kümmern und habe ihn daher gesperrt gelassen.

PHP-Friends said:
Ohne die genaue Netzwerkkonfiguration zu kennen, kann man hier keine Aussage machen.

Code: 
cat /etc/network/interfaces
Click to expand...

Code: 
root@rescue ~ # cat /etc/network/interfaces
# interfaces(5) file used by ifup(8) and ifdown(8)
auto lo
iface lo inet loopback

IP-Projects.de said:
Was mich hier mehr erstaunt ist, dass du noch nichts auf dem Server eingerichtet hast und dieser offensichtlich bereits als DDOS Schleuder verwendet wird. Hast du Systemupdates durchgeführt also

apt-get update && apt-get upgrade -y

nachdem der Server ausgeliefert wurde oder ist dieser noch im Urzustand? Eventuell muss hier Hetzner bei der Aktualität der Installationspakete nachbessern. Wenn noch nichts eingerichtet ist auf dem Server würde ich dir empfehlen. Server über das Webinterface von Hetzner neuinstallieren und direkt nach der Neuinstallation das System auf den aktuellsten Paketstand aktualisieren so dass mögliche Exploits die im Installationspaket noch nicht geschlossen sind geschlossen werden und es zu diesen Problem nicht mehr kommt.
Click to expand...

Ich habe tatsächlich keine Updates gemacht, sprich Urzustand :o. Ich habe ihn einfach erstmal so laufen lassen, da ich wie gesagt kaum Zeit hatte. Normalerweise hätte ich mich auch um die Firewall kümmern müssen usw., aber ich dachte mir, dass da eigentlich nicht all zu viel passieren kann, wenn sowieso kein Programm auf den Port "hört".

Tatsächlich hat mich das auch extrem erstaunt, da ich (gerade weil ich sonst nichts installiert habe) nicht gedacht hätte, dass der Server so schnell (oder überhaupt) geknackt wird.

d4f said:
In der Annahme dass es sich hierbei tatsächlich um einen Exploit und nicht eine äusserst grobe Fehlkonfiguration handelt: Programme mit Root-Rechten können die Quell-IP von Datenpaketen spoofen (fälschen) wie es ihnen beliebt.
Ich frage mich allerdings was auf diesem Port 7533 der Ziel-IP laufen soll?


Ohne dir zu nahe treten zu wollen - aber angesichts deines mangelnden Wissens wäre es zumindest aktuell vermutlich besser+sicherer wenn du weiter bei Managed bleibst. Plesk ersetzt die Konsole nicht!
Click to expand...

Ich habe kein Plesk. Finde ich sinnlos. Du hast allerdings recht, aber es geht weniger um mangelndes Wissen als um mangelnde Zeit. Aber ja, es hat mich doch recht erstaunt und ich muss zugeben, dass ich mich doch mehr damit beschäftigen muss. Es lief allerdings auch absolut nichts auf dem Server (außer scheinbar dem DDoS).

Grobe Fehlkonfiguration vielleicht, aber maximal seitens Hetzner. Meine einzige Installation war der midnight commander.

Ich habe mir die Ziel-IP und dessen Port auch angesehen, konnte leider absolut nichts herausfinden.

Medadox said:
Ist es möglich mal die Ziel IP zu posten würde mich mal interessieren.

Das einzige was ich zu dem Port finden konnte war 7533 UDP
QuickTime Streaming Server
Quelle:


Die andere Vermutung ist das es ein sehr gezielter Angriff ist....
Click to expand...

Wenn das datenschutzrechtlich ok ist, habe ich kein Problem damit. Bin mir gerade nicht ganz sicher.

___________________

Bevor ich den Server nun komplett lösche, frage ich mich, ob ich denn irgendwie herausfinden könnte (zumindest zum Teil) was genau passiert ist? Die logfiles sagen mir nicht viel (oh wunder, kann man mit root-access natürlich löschen...).

Ich werde nun auf jeden Fall erstmal alle installierten Versionen (PHP, MySQL, Apache) nach exploits überprüfen.

Nochmals, vielen Dank für die mithilfe :)
 
Last edited by a moderator:
Warum lässt Hetzner überhaupt andere Source-IPs zu? Warum werden solche Pakete nicht einfach verworfen? Kontrollieren sie routinemäßig die Source-IPs? Der Auszug sieht nach tcpdump o.ä. aus.
 
andreas0 said:
Bei Hetzner kann man laut deren Wiki keine andere IP-Adresse nutzen. Siehe http://wiki.hetzner.de/index.php/Proxmox_VE#Netzkonfiguration.
Click to expand...

Kann man auch nicht, aber scheinbar geht's ja doch. Wenn die das merken, sperren die einem einfach den Server.

Du hast die Netzwerkkonfiguration des Rescuesystems präsentiert. Damit kann ich nicht so viel anfangen.
Click to expand...

Mist, hast recht. Hatte da gar nicht drüber nachgedacht.

Jedenfalls habe ich den Server gestern noch komplett neu aufgesetzt. SSH login nur noch mit RSA-Key und zugehörigem Passwort. Firewall nur noch Port 22 und 80. Apache richtig konfiguriert usw.

Nun habe ich auf drei Monitoren die wichtigsten Logs offen und beobachte genau :D Die Japaner und Chinesen versuchen ständig (scheinbar mit Bots) sich einzuloggen...:

Mar 8 19:15:57 server1 sshd[15540]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=www40065u.sakura.ne.jp user=root
Mar 8 19:15:59 server1 sshd[15540]: Failed password for root from 49.212.106.103 port 58495 ssh2
Mar 8 19:16:02 server1 sshd[15540]: Failed password for root from 49.212.106.103 port 58495 ssh2
Mar 8 19:16:05 server1 sshd[15540]: Failed password for root from 49.212.106.103 port 58495 ssh2
Mar 8 19:16:05 server1 sshd[15540]: Connection closed by 49.212.106.103 [preauth]
Mar 8 19:16:05 server1 sshd[15540]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=www40065u.sakura.ne.jp user=root
Click to expand...

Dürfte aber normal sein. Trotzdem überlege ich mit GeoIP den SSH-Zugriff auf Deutschland zu beschränken. Vielleicht ändere ich auch den SSH-Port.
 
Beides hält dir nur die Logs sauber, ohne Sicherheit zu schaffen. Glaub mir: Wenn dein Server kompromittiert wird, dann sicher nicht über SSH-Bruteforcing (mal von katastrophalen / viel zu kurzen Passwörtern abgesehen).

Die Begrenzung auf deutsche IPs würde ich mir klemmen, wenn da mal was schiefläuft (oder du vielleicht einfach mal nicht in DE bist), ist die Freude groß. Wenn du schon an sowas denkst, mach es richtig und lasse den Zugriff z.B. nur per VPN zu. :)
 
Da kann ich dir allerdings nur zustimmen.

Das mysteriöse ist halt, dass es jemand davor tatsächlich nach zwei Tagen geschafft hat Zutritt zu erlangen. Und im Nachhinein lässt sich nicht sagen wie, aber er muss root-Rechte erlangt haben. Ich kam selbst nicht mehr rein.

Trotzdem muss man sagen, dass ich davor rein gar nichts bezüglich Sicherheit unternommen habe.

Was kann ich noch machen außer die Services, die auf bestimmte Ports hören, abzusichern? Neben SSH habe ich aktuell nur noch Apache und wenn das up-to-date und ohne nennenswerte vulnerabilities ist (also natürlich auch bezüglich der dort laufenden Module), dann wird's doch schwer da reinzukommen.
 
sleepless said:
Das mysteriöse ist halt, dass es jemand davor tatsächlich nach zwei Tagen geschafft hat Zutritt zu erlangen. Und im Nachhinein lässt sich nicht sagen wie, aber er muss root-Rechte erlangt haben. Ich kam selbst nicht mehr rein.
Click to expand...

Ich finde das ganz und gar nicht mysteriös. Keine Updates installiert reicht im Grunde schon, das sollte auf jedem neu installierten Server immer der erste Schritt sein. Wir haben dafür auch noch fertige Images auf dem Plan, die sich nach Installation erstmal selbst aktualisieren - für die weniger aufmerksamen Kunden. :)

Leider hast du den Server ja geplättet, ich hätte es gerne anhand eines Images deiner Platte(n) analysiert. Ich bin zwar kein Forensiker, aber das Finden von "Einbruchsspuren" ist mehr oder weniger Alltag. Disclaimer: Gemeint sind Auftragsarbeiten, keine eigenen Server. :p

sleepless said:
Was kann ich noch machen außer die Services, die auf bestimmte Ports hören, abzusichern? Neben SSH habe ich aktuell nur noch Apache und wenn das up-to-date und ohne nennenswerte vulnerabilities ist (also natürlich auch bezüglich der dort laufenden Module), dann wird's doch schwer da reinzukommen.
Click to expand...
Du sagst es ja schon selbst: Installierte Dienste absichern - wobei ich das Wort "absichern" nicht mag, "verstehen und sauber konfigurieren" trifft es eher. Absichern klingt nach einer simplen ToDo-Liste, die einmal abgearbeitet wird, aber Sicherheit ist ein fortlaufender Prozess. Das Ganze impliziert auch, nichts zu installieren, was du nicht brauchst. Was nicht da ist, kann nicht "gehackt" werden.

Das administrative "Drumherum" ist nicht weniger wichtig: Zugangsdaten nicht unverschlüsselt speichern (oder noch besser: durch's Internet schicken), vernünftige Kennwörter nutzen etc. - und die auch gerne regelmäßig ändern, denn du kannst nie garantieren, dass sie wirklich niemand mitgelesen hat.
 
Was mich jetzt etwas stutzig macht ist folgendes:
Du sagst es sei eine grobe Fehlkonfiguration seitens Hetzner? Hmm, Du bist der "Inhaber" des Root-Servers, Du bist verantwortlich dafür.
Klar könnte Hetzner hin und wieder mal seine Images austauschen gegen aktuelle, aber genausogut könntest Du auch selbst ein aktuelle Image installieren.
 
Du sagst es sei eine grobe Fehlkonfiguration seitens Hetzner? Hmm, Du bist der "Inhaber" des Root-Servers, Du bist verantwortlich dafür.
Klar könnte Hetzner hin und wieder mal seine Images austauschen gegen aktuelle, aber genausogut könntest Du auch selbst ein aktuelle Image installieren.
Click to expand...

Naja, wenn Exploits bekannt werden und diese Exploits in den durch den Anbieter bereitgestellten Installationsimages vorhanden sind, ist der Anbieter eigentlich schon in der Pflicht dafür sorge zu tragen, dass die Images zeitnah aktualisiert werden um die Sicherheitslücken auszumerzen.
 
Ja, aber da ist Hetzner nicht der einzige....

Egal ob ein großer oder kleiner Anbieter, da pfuschen viele rum. Letzendlich nichts desto trotz, derjenige, welcher den Server hat (gemietet oder was auch immer) ist verantwortlich dafür.

Es sollte ja wohl kein Problem sein, nach einer Installation kurz mal ein apt-get update / upgrade durchzuführen, und dann erst weiter zu machen...
 
Ja, aber da ist Hetzner nicht der einzige....
Click to expand...

Richtig, deswegen habe ich geschrieben Anbieter. Dass das kein ausschließliches Hetzner Problem ist sollte jeden bewusst sein.

Egal ob ein großer oder kleiner Anbieter, da pfuschen viele rum. Letzendlich nichts desto trotz, derjenige, welcher den Server hat (gemietet oder was auch immer) ist verantwortlich dafür.
Click to expand...

Das ist auch klar. Ich erinnere mich aber an die Zeit von Windows Server 2003. Server frisch aufgesetzt und wenn man nicht binnen 5 Minuten die Firewall aktiviert hat wurde er schon infiltiert ;)
 
catwiesel said:
Es sollte ja wohl kein Problem sein, nach einer Installation kurz mal ein apt-get update / upgrade durchzuführen, und dann erst weiter zu machen...
Click to expand...

Dein Optimismus ist herzerfrischend :D

Grundsätzlich hast du zwar recht, aber viele von den 'HowTo-Abtipp'-Admins kennen den Befehl apt-get nicht einmal ;)
 
Ja, stimmt...

Ich hab halt hohe Anforderungen an die Mitmenschen...
Sorry, aber die Dummen werden immer mehr.

Jeder jammert rum das alles immer gefährlicher wird und so, aber das man selbst auch mal an sich überlegen sollte was man tut und was nicht ist schon traurig...

Nun aber gut, ich hab meine Server gegen solche Doldis abgesichert, hoff ma mal...
 
catwiesel, natürlich hast du recht.

Ich wollte damit die Schuld auch keineswegs von mir schieben. Vielmehr habe ich mich nur gewundert, dass nach der Installation direkt sowas passiert ist.

Aber der Dumme war eindeutig ich. Mittlerweile läuft alles super und ich versuche auch täglich ein update durchzuführen, wenn denn eins vorhanden wäre :D
 
You must log in or register to reply here.
Back
Top