Wo verbieten? SSH? Proftpd-Konfiguration? Wenn der Angriff über einen Exploit läuft, werden sicher nicht noch irgendwelche Direktiven berücksichtigt. Das ist ja der wesentliche Punkt beim Exploiten - das Aushebeln der Standardschutzmechanismen
[!] Strato meldet Kompromittierung meines Servers über proftp
- Thread starter sTaN
- Start date
Wo verbieten? SSH? Proftpd-Konfiguration? Wenn der Angriff über einen Exploit läuft, werden sicher nicht noch irgendwelche Direktiven berücksichtigt. Das ist ja der wesentliche Punkt beim Exploiten - das Aushebeln der Standardschutzmechanismen
tomasini
New Member
Hallo? Deinen Server sicher zu machen ist nicht Aufgabe von Strato, sondern DEINE!
Die VServer von Strato dürften aktuell ein sehr beliebtes Ziel sein. Wenn man die Kundenstruktur von Strato kennt, weiß man auch warum. Habe seit letzten Freitag bereits 8 Anfragen bzgl. kompromitierter Server erhalten. Das böse Paket wird scheinbar von Strato frei Haus per Install-Image geliefert.
Nicht meinen Server zu sichern, aber zu mindest funktionierende Backups zur Verfügung zu stellen.
Dafür ist ja im Kundencenter die Backupcontrol Funktion da.
Was meinst du mit "Das böse Paket wird scheinbar von Strato frei Haus per Install-Image geliefert."
Heißt das die letzten 10 Images sind alle verseucht???
Wenn ja, kein wunder, dass ein Restore nicht sauber läuft :-(
Jetzt habe ich ein ganz schönes Problem...
Dafür ist ja im Kundencenter die Backupcontrol Funktion da.
Was meinst du mit "Das böse Paket wird scheinbar von Strato frei Haus per Install-Image geliefert."
Heißt das die letzten 10 Images sind alle verseucht???
Wenn ja, kein wunder, dass ein Restore nicht sauber läuft :-(
Jetzt habe ich ein ganz schönes Problem...
Nur der unsichere ProFTPD wird von Strato und nahezu allen anderen Serveranbietern die Plesk anbieten ausgeliefert! Die Serveranbieter können da nix dafür. Strato warnt sogar selber seit 8.11 im Kundenbereich.
Nein! Nur diejenigen Images sind "verseucht", nachdem in deinen Server eingedrungen wurde (über die Lücke in ProFTPD). Da der Exploit dazu meines Wissens erst am Sonntag veröffentlicht wurde, wäre es kein Problem das Image vom Samstag wieder einzuspielen (zur Sicherheit kannst Du auch ein älteres verwenden). Unmittelbar nach dem Restore solltest Du den ProFTPD deaktivieren bzw. patchen. Um sicher zu gehen solltest Du in den Logs nachschauen, ob zwischenzeitlich auf den FTP-Dienst zugegriffen wurde.
Wenn das Restore nicht klappt, dann hat das andere Gründe. Hier kann Dir nur Strato weiterhelfen.
@voodoo44, @sTaN
Diese Meldungen hatte ich früher auch schon und erscheinen auch bei einem normalen Zugriff auf den FTP-Dienst. Daran alleine kann man es also nicht festmachen. Vielmehr erscheint bei einem normalen FTP-Zugriff so etwas:
Code:
Nov 10 18:15:23 vsXXX proftpd[123]: IP (178.15.0.255) - FTP session opened.
Nov 10 18:15:23 vsXXX proftpd[123]: IP (178.15.0.255) - Preparing to chroot to directory
Nov 10 18:15:23 vsXXX proftpd[123]: IP (178.15.0.255) - FTP session closed.
danton
Debian User
Strato wird wohl die SQL-Datenbanken nur auf Dateiebene sichern und da die Dateien vom MySQL-Server ständig im Zugriff sind, erhält man da oft inkonsistente Zustände. Daher sollte man SQL-Datenbanken auch mit mysqldump o.ä. sichern (und wenn es nur einmal am Tag in eine SQL-Datei ist, die das Strato-Backup dann sauber weg sichern kann).
Das bedeutet, daß du derzeit automatisch den ProFTPd mit der Lücke erhälst, wenn du ein System mit vorinstalliertem Plesk installieren läßt, da Plesk wohl bei Debian die dort vorhandene, etwas ältere (aber sichere) Version gegen eine neuere mit Lücke austauscht.
Der Schluß, den Du ziehst, ist nicht logisch, es geht hier um zwei Dinge:
1. Das Strato-Backup wurde/wird nicht richtig erstellt
2. Dein vServer ist verseucht/enthält einen verwundbaren ProFTPd
Punkt 1 zweifle ich mal ganz gehörig an, denn ich hatte bisher nie Probleme mit Stratos Backup. Solltest Du doch welche haben, wende Dich an Strato.
Letztendlich wird ja das Backup irgendwie so laufen, dass täglich ein Image Deines vServers erzeugt wird. Das Image ist letztendlich eine Datei, die die Festplatte Deines vServers repräsentiert. Die 10 letzten erzeugten Images werden Dir zur Wiederherstellung angeboten. Was die Images enthalten, ist dem Backupsystem komplett egal.
Punkt 2 ist schon eher wahrscheinlich. "Wurde von Strato mitgeliefert" heißt hier nur, dass Du von Strato eine Parallels Plesk-Lizenz bekommst und dieses Parallels Plesk (genauer: die Versionen 9.5 und 10) enthalten eben leider die verwundebare Version von ProFTPd, über die Dein Server mißbraucht wurde.
LG siradlib
Last edited by a moderator:
Hallo? Wenn ich lese, was hier abgeht wird mir ganz gruselig.
Leute! Warum habt ihr Root-Server laufen??? Habt ihr irgendwann einmal kurz nachgedacht, was das bedeutet? Die AGB durchgelesen? Google gefragt?
Mal ein paar Sachen, die nun wirklich absolute Grundlage sind und hier in jedem 3. Posting stehen:
- IHR ALLEIN seid verantwortlich für die Kiste. Strato stellt nur das Blech und die Leitung. Jedes Bit Software auf dem Root ist eure Geschichte.
- Ihr habt Linux bestellt, seit verantwortlich und habt keine Ahnung von der Materie? Wie zum Teufel habt ihr euch um die Sicherheit gekümmert? Was habt ihr bei der Einrichtung der Software beachtet? Wie habt ihr euch gegen Einbrüche geschützt, so ganz ohne Wissen?
- Ihr seid auch für eure Daten verantwortlich! Was habt ihr gemacht, um im Notfall reagieren zu können? Wie ist eure Backup-Strategie? Wie bekommt ihr eure Systeme selber wieder online? Bei Strato aufn Knopf drücken und sich dann wundern, wenn es nicht funzt?
- Und am Ende ist natürlich Strato schuld? Geht ihr auch raus, kauft n Auto und wenn dann das Benzin alle ist, ist der Händler schuld weil ihr nicht wisst, wie ne Tankstelle aussieht?
Leute, Leute, Leute. Das ist 1000mal durchgekaut und diskutiert. Holt euch n Managed-Server, wenn ihr keinen Plan habt und heult nicht rum, wenn's vor die Wand geht, weil ihr ja solche (Zitat) "Noobs" seid. Wenn ihr "Noobs" seid, lasst die Finger von Root-Servern. Ich lass meine ja auch vom Lenkrad eines 40-Tonners.
http://burnachurch.com/70/dein-neuer-linux-server/
Ach ja, zum Inhalt:
Ein gehacktes System kann man nicht zuverlässig reparieren. Nicht mit Ahnung von Linux und ohne erst recht nicht. Ihr habt Schadsoftware auf euren Kisten und ihr wisst nicht, was diese Software tut. ProFTP updaten beseitigt nur das Einfallstor, der Einbruch hat aber bereits stattgefunden. Damit ist auch nicht bekannt, über welche Wege zur Zeit auf den Server zugegriffen wird. Ihr könnt jetzt versuchen rauszufinden, was alles verändert wurde. Das geht aber nicht, weil ja auch die Tools verändert sein könnten, mit denen ihr genau das rausfinden wollt. Mit netstat testen, was für Ports offen sind? Ist netstat noch zuverlässig? Gleiches gilt für lsmod, rkhunter, ... und die ganzen anderen Tools. Ihr könnt damit *vielleicht* rausfinden, ob ein Angriff stattgefunden hat und wo die Sicherheitslücke lag, ihn aber niemals sicher und zuverlässig rückgängig machen. Ihr wisst aber bereits von Strato, dass es einen Angriff gab. So what?
Einzige Lösung: Die Kiste sauber von Grund auf neu aufsetzen, ohne Sicherheitslücke.
Leute! Warum habt ihr Root-Server laufen??? Habt ihr irgendwann einmal kurz nachgedacht, was das bedeutet? Die AGB durchgelesen? Google gefragt?
Mal ein paar Sachen, die nun wirklich absolute Grundlage sind und hier in jedem 3. Posting stehen:
- IHR ALLEIN seid verantwortlich für die Kiste. Strato stellt nur das Blech und die Leitung. Jedes Bit Software auf dem Root ist eure Geschichte.
- Ihr habt Linux bestellt, seit verantwortlich und habt keine Ahnung von der Materie? Wie zum Teufel habt ihr euch um die Sicherheit gekümmert? Was habt ihr bei der Einrichtung der Software beachtet? Wie habt ihr euch gegen Einbrüche geschützt, so ganz ohne Wissen?
- Ihr seid auch für eure Daten verantwortlich! Was habt ihr gemacht, um im Notfall reagieren zu können? Wie ist eure Backup-Strategie? Wie bekommt ihr eure Systeme selber wieder online? Bei Strato aufn Knopf drücken und sich dann wundern, wenn es nicht funzt?
- Und am Ende ist natürlich Strato schuld? Geht ihr auch raus, kauft n Auto und wenn dann das Benzin alle ist, ist der Händler schuld weil ihr nicht wisst, wie ne Tankstelle aussieht?
Leute, Leute, Leute. Das ist 1000mal durchgekaut und diskutiert. Holt euch n Managed-Server, wenn ihr keinen Plan habt und heult nicht rum, wenn's vor die Wand geht, weil ihr ja solche (Zitat) "Noobs" seid. Wenn ihr "Noobs" seid, lasst die Finger von Root-Servern. Ich lass meine ja auch vom Lenkrad eines 40-Tonners.
http://burnachurch.com/70/dein-neuer-linux-server/
Ach ja, zum Inhalt:
Ein gehacktes System kann man nicht zuverlässig reparieren. Nicht mit Ahnung von Linux und ohne erst recht nicht. Ihr habt Schadsoftware auf euren Kisten und ihr wisst nicht, was diese Software tut. ProFTP updaten beseitigt nur das Einfallstor, der Einbruch hat aber bereits stattgefunden. Damit ist auch nicht bekannt, über welche Wege zur Zeit auf den Server zugegriffen wird. Ihr könnt jetzt versuchen rauszufinden, was alles verändert wurde. Das geht aber nicht, weil ja auch die Tools verändert sein könnten, mit denen ihr genau das rausfinden wollt. Mit netstat testen, was für Ports offen sind? Ist netstat noch zuverlässig? Gleiches gilt für lsmod, rkhunter, ... und die ganzen anderen Tools. Ihr könnt damit *vielleicht* rausfinden, ob ein Angriff stattgefunden hat und wo die Sicherheitslücke lag, ihn aber niemals sicher und zuverlässig rückgängig machen. Ihr wisst aber bereits von Strato, dass es einen Angriff gab. So what?
Einzige Lösung: Die Kiste sauber von Grund auf neu aufsetzen, ohne Sicherheitslücke.
Last edited by a moderator:
Und du bist dir sicher, dass DEINE Server noch richtig laufen? Weil, wenn da was verseucht wurde... wer weiß - deine Logfiles sind sicher alle gefälscht, ebenso deine ganzen Programme - wer weiß, ob du nicht schon längst das Ziel einer solchen Attacke warst ... so what?
Richtig. Wie jeder, der im Bereich IT unterwegs ist weiß, gibt es keine 100% Sicherheit. Wer was anderes behauptet lügt entweder, oder weiß nicht, wovon er spricht. Schönstes Beispiel im Moment ist der neue ePerso, auch 100% sicher. Von daher geht der Punkt an dich.
Aber, ich kann einen gewissen Grad an Sicherheit herstellen. Du hast ein grundlegendes Problem aufgezeigt: So lange ich mich auf einem einzigen System bewege, sind meiner Sicherheit die Grenzen gesetzt, die du beschreibst. Ich kann mir nie sicher sein, ob jemand so geschickt eingebrochen ist, dass ich keine Spuren finde. (und ja, sowas kommt vor!)
Also denke mit dem Wissen doch einfach einen Schritt weiter. Wie kann man das Problem lösen? Klar, wir müssen die Sicherheit eines Systems von außen überwachen. Dazu gibt es verschiedene Möglichkeiten:
- Man könnte Syslog so konfigurieren, dass alle Meldungen sofort auf einem zweiten Rechner mitgeloggt werden. Jeder Syslog-Daemon ist netzwerkfähig (genau aus diesem Grund)
- Portscann von außen auf den eigenen Host. So findet man offene Ports, auch wenn netstat lügt.
- Und dann wäre da das weite Feld der Network Based Intrusion Detection a la Snort, um Unregelmäßigkeiten im Netzwerkverkehr zu erkennen.
Das alles ist natürlich auf einem einzelnen Root-Server nicht zu haben, ändert aber nichts an der grundsätzlichen Problematik. Ich muss mir der Sache trotzdem bewusst sein.
Hier liegt die Sache aber vollkommen anders. Strato weiß, dass die Systeme gehackt wurden. Wir haben also bereits die Sicherheit, dass es einen Vorfall gab und müssen entsprechend darauf reagieren, um einen möglichst hohen Grad an Sicherheit zurück zu erlangen. Alles andere ist Fahrlässig und für einen Root-Server-Betrieb unverantwortlich. Also: Sicherheitslücke finden, von Grund auf neu installieren.
Last edited by a moderator:
Sehr gut möglich! Ich hatte (nach einer Nachricht von rkhunter) einen privaten Server inspiziert und ebenfalls diese Accounts gefunden. Habe dann den Server auf den Stand des 5.11.10 zurückgesetzt, was in diesem Fall kein Problem war.
Anschließend ProFTPd aktualisiert. Seitdem ist Ruhe.
Nähere Infos wären sehr willkommen.
Anschließend ProFTPd aktualisiert. Seitdem ist Ruhe.
Nähere Infos wären sehr willkommen.
tomasini
New Member
Auf allen Systemen, die ich mir bisher anschauen durfte/musste, waren diese User ebenfalls vorhanden. Auf diversen 1337-Boards werden ja bereits schon übernommene Strato-Server (und u.a. auch Webtropia-Server) zum Verkauf angeboten.
Wer Reselling über seinen Server betriebt sollte sich eventl. auch darüber Gedanken machen, wie er sich gegenüber potentiellen Schadenersatzforderungen seiner Kunden absichert. Kunden- und Transaktionsdaten aus Webshops o.ä. sind in gewissen Kreisen nämlich eine beliebte Handelsware. Denn sollte sich herausstellen, dass böse Jungs über diese Sicherheitslücke zu solchen Daten aus dem eigenen System gekommen sind, dann kann das für einen sehr unangenehm und i.d.R. auch sehr schnell sehr teuer werden.