[!] Strato meldet Kompromittierung meines Servers über proftp

Ist jemand von euch schon dazu gekommen, die ganze Sache eingehender zu analysieren?
Ich habe mir von einem kompromittierten System einen tarball angelegt, bin aber noch nicht dazu gekommen, mir diesen näher anzuschauen. Ich kann mir aber andererseits nicht vorstellen, dass sich jemand einen Root- und einen News-Account anlegt und dann nichts weiter damit anstellt...

Nochwas: In welchen Foren liest Du denn die "Verkaufsangebote"?

LG siradlib
 
Last edited by a moderator:
Ich bin schon dabei hab dafür einen kleinen test server der auch überfallen wurde, hab mal die 2 accounts gelöscht mal sehen was ich noch so finde.

Ich würde vorschlagen, wenn möglich, datenbanken etc lokal sichern, restore vor dem 5.11 durchführen, proftpd (bzw. plesk updaten inkl. micro-updates), backup (datenbanken) etc. wieder restoren. Das spart eine neuinstallation.
 
Ich kann nur meinen "Vorrednern" recht gebeben. Sichert eure Kisten ab, oder schaltet die Dienste sofort ab. Ueber die Verantwortung eines Servers sind sich wohl einige nicht im klaren.

Falls ihr es alleine nicht geloeest bekommt, holt euch professionelle Hilfe oder wechselt auf ein managed Server.

Vielleicht schaffe ich es am Wochenende mal das Plesk-proftpd Problem auf meinem Blog

http://blog.botnetzprovider.de

zu beschreiben und Loesungsvorschlaege zu geben.
 
Last edited by a moderator:
Tja, wie ich vor ein paar Tagen in einem Beitrag hingewiesen habe, ist dieses Proftp Exploit vorhanden.

Ich würde an deiner Stelle auf Proftp verzichten und den OpenSSH-Server als sftp Server nutzen, das braucht weniger Ressourcen und man hat eine verschlüsselte Connection zum Server, ohne Angst vor Man in the middle Attacken haben zu müssen.

Grüße,

Joseph
 
PapaBear said:
Hallo? Wenn ich lese, was hier abgeht wird mir ganz gruselig.

Leute! Warum habt ihr Root-Server laufen??? Habt ihr irgendwann einmal kurz nachgedacht, was das bedeutet? Die AGB durchgelesen? Google gefragt?
Click to expand...

Das ist richtig, scheint in meinem Fall auch ein bisschen extrem rüber gekommen zu sein.
Sicher gibt es noch einige Wissenslücken (und Sicherheitslücken ;-)), welche ich zu schließen habe, aber die wichtigsten grundlegenden Dinge sind mir bekannt, so auch Verantwortlichkeiten bei dem Betreiben eines Root Servers etc. Auch die Funktion meines Providers und das dieser nur die Hardware etc. bereitstellt ist mir bekannt.

Wahrscheinlich ärgert es mich wohl am Meisten, dass die Lücke im proFTP zunächst völlig an mir vorbei gegangen ist. Da sieht man mal, dass allein ein Tag keine Heise Security News etc. lesen schon ein mittleres Chaos anrichten kann. Genau das war am 01.11 bei mir der Fall, als die Lücke bekannt wurde. Danach ist Sie an mir vorbei gerutscht.

Ich beschäftige mich nun seit ca. 1 Jahr mit dem Betreiben eines Linux Servers und bin trotz dieser Misere dennoch sehr zufrieden, was Wissenssammlung und Administration angeht. Ich habe mich auch nicht sofort auf ein Live System gestürzt, sondern zunächst virtuell angefangen, wie eigentlich jeder "Anfänger" tun sollte.

Die Frage ist, ab wann man sich bereit fühlt auf ein Live System zu wechseln. Mag sein, dass es bei dem Ein oder Anderen zu früh ist, aber jeder hat ein mal klein angefangen und man wächst an Erfahrung durch Fehler und Probleme. Jeder gute Admin hatte bisher sicher das ein oder andere gravierende Problem, welches er Lösen musste. Und daraus hat er viel gelernt und sicher auch mehr Verständnis für die Materie erlangt.

Dazu zähle ich mich auch selbst. Vielleicht nicht unbedingt zu einem guten Admin, aber zu der Sorte, die auf einem guten Weg dort hin sind und an Problemen und Fehlern wachsen ;-)
Dafür bin ich nun mal noch im Studium und relativ am Anfang. Aus dem Grund dennoch sehr dankbar, wenn auch mal bei der ein oder anderen "Anfänger"-Frage geholfen wird, ohne gleich in Frage zu stellen, weshalb man überhaupt ein Root System betreibt, wenn man doch keine Ahnung hat.

Das finde ich in diesem Forum eigentlich sehr ausgeglichen! Auch wenn hier in diesem Thread mehrfach darauf hingewiesen wird, dass man es vielleicht besser bleiben lassen sollte, so fühle ich mich nicht immer gleich angesprochen. Aber man stellt sich die Frage immer wieder. Was meiner Meinung nach gar nicht so schlecht ist ;-)

Aber back to Topic:

Ich habe die Lücke folgender Maßen in den Griff bekommen und vielleicht hilft es dem Ein oder Anderem.

Ein Backup Restore des VServers über das Strato Kundencenter setzt den Server zurück, sodass die ausgenutzte Lücke beseitigt wird.
Weiterhin muss zunächst der FTP Port 21 geschlossen werden bzw. das Modul proFTP deaktiviert werden, um weitere Kompromittierungen zu verhindern.

FTP Port 21 schließen:

  1. Aufruf der Plesk Weboberfläche
  2. „System“ –> „Module“ –> „Edit firewall configuration“
  3. „FTP Server“ –> „Aktion“ –> „verbieten“ –> „Ok“
  4. „Activate“

oder:

proFTP deaktivieren:

Code: 
vi /etc/xinetd.d/ftp_psa
disable = yes
/etc/init.d/xinetd restart

Update Plesk 9.5.2

1. Verwendung des CLI:

$PRODUCT_ROOT_D/admin/sbin/autoinstaller

Hinweis! Die Variable „$PRODUCT_ROOT_D“ in dem Befehl sollte durch ihren Wert ersetzt werden, siehe http://kb.parallels.com/en/952

oder:

$PRODUCT_ROOT_D/admin/sbin/autoinstaller --select-product-id plesk --select-release-current --reinstall-patch --install-component base

Hinweis! Die Variable „$PRODUCT_ROOT_D“ in dem Befehl sollte durch ihren Wert ersetzt werden, siehe http://kb.parallels.com/en/952

2. Verwendung der GUI von Parallels Plesk Panel:

Parallels Plesk Panel 9.5.2: „Start“ –> „Updates“ –> Panel-Version auswählen für die Updates vorhanden sind –> auf „Installieren“ klicken
Update auf Plesk 9.5.3

Parallels Plesk Panel 9.5.2: „Start“ –> „Updates“ –> Panel-Version 9.5.3 auswählen für die Updates vorhanden sind –> auf „Installieren“ klicken

Wo ich allerdings noch ein Verständnis Problem habe, ist die Anzeige der Ausgabe:

Code: 
# proftpd -vv
- mod_delay/0.6: error opening DelayTable '/var/run/proftpd/proftpd.delay': No such file or directory
ProFTPD Version: 1.3.2e (maint)
  Scoreboard Version: 01040002
  Built: Tue Nov 9 12:17:23 NOVT 2010

Loaded modules:
  mod_cap/1.0
  mod_tls/2.2.2
  mod_quota.c
  mod_readme.c
  mod_ratio/3.3
  mod_auth_pam/1.1
  mod_ident/1.0
  mod_facts/0.1
  mod_delay/0.6
  mod_site.c
  mod_log.c
  mod_ls.c
  mod_auth.c
  mod_auth_file/0.8.3
  mod_auth_unix.c
  mod_xfer.c
  mod_core.c

Ich dachte durch das Updaten der Plesk Version wurde proFTP auf die 1.3.3c aktualisiert. Oder ist die Ausgabe auf die Debian Repo Version zurückzuführen? Wenn ja, ist bzgl. diesem Problem nach dieser Anleitung hier vorzugehen?

Gruß,
sTaN
 
Ich bin irgendwie ratlos. Habe gerade im Stratokundencenter bemerkt, dass es mittlerweile von Plesk ein Update gibt. Gestern hatte ich schon über das Plesk Panel ein Update aufgespielt.
Heute war dort dann keines mehr verfügbar, wodurch ich dann ein Microupdate eingespielt habe.
Die microupdates.xml sieht auch genauso aus wie von Plesk beschrieben.

Nun wollte ich überprüfen, welche Version ProFTPD nun nach dem Update ist mit folgendem Befehl:
Code: 
/usr/sbin/proftpd -v
Das Ergebnis:
Code: 
ProFTPD Version 1.3.2e
Das kann doch nicht sein! ProFTPD müsste Version 1.3.3c sein und nicht 1.3.2e.
 
Wie oft wurde das eigentlich jetzt hier schon angesprochen, dass die FTP-Server-Version zwar die gleiche bleibt, der Bug aber (anscheinend) trotzdem behoben wurde?

proftpd -vv hilft!
 
Danke für die schnelle Antwort. Hab mir gestern den Thread hier komplett durchgelesen. Entweder hier steht es nicht drin oder ich hab es überlesen?

Aber nun gut.
Code: 
ProFTPD Version: 1.3.2e (maint)
  Scoreboard Version: 01040002
  Built: Tue Nov 9 12:17:58 NOVT 2010
Sollte passen.

Danke.
 
In der Email von Strato steht:
Es wäre möglich, dass diese Kompromittierung durch eine Sicherheitslücke in proFTPD erreicht wurde.
Click to expand...
Irgendwie haben sich hier fast alle darauf versteift, dass es tatsächlich am ProFTPd liegt.
Kam schon mal jemand der Gedanke, dass dem nicht so ist?
Das man evtl. doch eine andere Lücke hat? (Evtl. in PHP-Scripten...?)
Kompromittierungen von Servern kommen täglich massenhaft vor. Auch ohne bekannter Lücke in irgendeinem Server-Programm.

Mit diesen Gedanken wünsche ich Euch einen schönen Start in die Woche!

PS:
PapaBaer said:
Ein gehacktes System kann man nicht zuverlässig reparieren. Nicht mit Ahnung von Linux und ohne erst recht nicht.
Click to expand...
Dem muss ich pro forma widersprechen. Allein schon weil "gehacktes System" ein sehr dehnbarer Begriff ist.

huschi.
 
@ Huschi
Da ist in der Tat etwas dran. Strato zumindest fühlt sich nicht verpflichtet irgendwelche technischen Details zur Kompromittierung anzugeben. Die Botschaft lautete:Neuaufsetzen und Updaten. Die AGBs geben es her. Soweit auch OK. Leider gibt es kein Feedback seitens Strato, ob nach einem Update ihrer Meinung nach noch weitere Meldungen auflaufen.

@ sTaN
Schöne Zusammenfassung.

Durch dieses ganze hin und her ist bei mir nun die Situation entstanden, kein FTP-Zugang mehr zu haben. SFTP als root funktioniert wie gewohnt. Das trifft nach einem Update offensichtlich eine ganze Menge Leute. Zumindest konnte ich das bei Plesk lesen. Leider aber nicht die Lösung dazu.
Als Beispiel: http://forum.parallels.com/showpost.php?p=428406&postcount=66

Hat jemand ähnliche Probleme gehabt oder gar beseitigt?
 
Strato stellt nur fest, daß von deinem Server verdächtige Aktivitäten ausgehen, die nahelegen, daß der Server gehackt wurde (vermutlich durch Abuse-Mails). Ob und wie dies zustande gekommen ist, ist Aufgabe des Server-Admins, und das ist nicht Strato. Strato äußert nur die Vermutung, daß ProFTPd eine recht hohe Wahrscheinlichkeit hat, weil es ein bekanntes Loch gibt und dieser bei (V)-Servern mit Plesk standardmäßig installiert ist.
Hier wird immer wieder vergessen, daß Strato nicht der Admin der Server ist (Ausnahme: Das Host-System bei V-Servern, um das es hier aber gar nicht geht) und daher die Beurteilung, wie man das System wieder sauber bekommt, nur eingeschränkt vornehmen kann - und neuaufsetzen und updaten führt das auf jedem Fall zum Ziel.
Im übrigen stellt Plesk wohl mittlerweile ein Update für den ProFTPd bereit, der die Lücke schließt.
 
Das habe ich nicht vergessen und stelle es auch nicht in Frage. Ich hege nicht den Anspruch, das Strato für mich irgend etwas regelt. Das ist schon mein Problem und nicht das von Strato. Wobei, das muss man sagen, vor 10 Jahren, als keiner einen root sich leisten wollte und sie die Produkte nicht los wurden, da sah das ganz anders aus.
Es ging mir hierbei nur um die gemeinsame Problemlösung. Ein Anhaltspunkt erleichtert die Suche. Mehr nicht.

Es bleibt die Frage zum FTP. Hat damit nach dem Update keiner Probleme?
 
Last edited by a moderator:
ATLAS said:
Es ging mir hierbei nur um die gemeinsame Problemlösung. Ein Anhaltspunkt erleichtert die Suche. Mehr nicht.
Click to expand...

Das verstehe ich nicht ganz: Wenn Strato schreibt, dass es Probleme auf deinem Server gibt, dann heißt es neu aufsetzen und gut. Wenn Strato nicht geschrieben hat (und auch sonst nix darauf hinweist, dass es Probleme gibt), dann wird der ProFTPd upgedatet und auch gut.

Huschi said:
Dem muss ich pro forma widersprechen. Allein schon weil "gehacktes System" ein sehr dehnbarer Begriff ist.
Click to expand...

Auch wenn ich eine Idee davon habe, worauf du hinaus willst, halte ich eine Diskussion darüber in DIESEM Thread für nicht zielführend. Für alle hier gilt: Gab es einen Einbruch, heißt es neu aufsetzen. Jeder kleine Hinweis, der daran zweifeln lässt sich an die Arbeit zu machen, kann Einzelnen eine trügerische Sicherheit geben den Versuch zu wagen, ihre kompromitierten Systeme zu reparieren. Und das geht nicht.

Es gibt sicher verschiedene Ansichten zu Detailfragen, die zu diskutieren sind und ich fände das auch spannend. Dann aber bitte in einem anderen Thread.
 
PapaBaer said:
halte ich eine Diskussion darüber in DIESEM Thread für nicht zielführend.
Click to expand...
Dann fang doch auch nicht damit an. :D

kann Einzelnen eine trügerische Sicherheit geben den Versuch zu wagen, ihre kompromitierten Systeme zu reparieren.
Click to expand...
Oder sich an eine professionelle Kraft wenden, die dies kann.

Und wie an vielen verschiedenen Stellen gesagt: Wenn es mal nicht die Lücke in einer Server-Software war, sondern eine in einem PHP-Script? Dann liefert das Neu-aufsetzten und Einspielen von Backups (inkl. der Lücke) eine "trügerische Sicherheit". Aber keine echte Abhilfe.

huschi.
 
Huschi said:
Wenn es mal nicht die Lücke in einer Server-Software war, sondern eine in einem PHP-Script?
Click to expand...

Dann hat man eh verloren, wenn man nur Plesk klicken kann.

Blieben zwei Alternativen: Ich rate den Leuten an dieser Stelle ihren Server neu aufzusetzen wobei 10% damit keinen Schritt weiter sind als vorher, dafür aber die anderen 90%. Oder ich rate allen, Root-Server nur noch von bezahlten Admins managen zu lassen. Der richtige Ratschlag ist in jedem Fall Zweiterer, nur erleben wir alle hier jeden Tag eine andere Wahrheit.
 
PapaBaer said:
Dann hat man eh verloren, wenn man nur Plesk klicken kann.

Blieben zwei Alternativen: Ich rate den Leuten an dieser Stelle ihren Server neu aufzusetzen wobei 10% damit keinen Schritt weiter sind als vorher, dafür aber die anderen 90%. Oder ich rate allen, Root-Server nur noch von bezahlten Admins managen zu lassen. Der richtige Ratschlag ist in jedem Fall Zweiterer, nur erleben wir alle hier jeden Tag eine andere Wahrheit.
Click to expand...

Dein 2. Vorschlag ist nur soooo verdammt "günstig"! :D

Aber Du hast recht. Habe damals das Problem auch selbst beseitigt, aber trotzdem einen Fachman drüber schauen lassen. Man(n) kann ja nicht alles können. :cool:

Gruß

Ulf
 
Du meine Güte. Ich habe mich nicht beschwert, sondern eine Zusammenarbeit zwischen den Betroffenen als positiv definiert. Mehr nicht. Wer wann, weshalb und ob einen root haben sollte, trägt nicht zur Lösung bei und wird auch unterschiedlich betrachtet. Dazu kann ich gern meine Ansichten schreiben, trägt aber zur Zeit nicht zur Lösung meines FTP-Problems bei.

Ich bedanke mich vorerst für die bisherigen Antworten und werde versuchen mein Problem an anderer Stelle beantwortet zu finden. Sollte es Ergebnisse geben, werde ich sie hier dann in Kurzform mitteilen.

Also Danke nochmal.
 
Abschließende Worte

Da sich das Thema auch in diesem Thread mehrfach gespalten hat, möchte ich allgemein festhalten:
  • Eine "Schuld" ist nicht so leicht zugesprochen. (Nein, es reicht nicht einfach Parallels dafür verantwortlich zu machen.)
  • Eine "Haftung" jedoch schon: als Erstes immer der Server-Betreiber. (siehe, insbesondere Anfang und Ende)
  • Nur weil Strato aktuell den Hinweis auf die ProFTPd-Version raus gibt, muss dies nicht zwangsweise auch der Grund für einen Einbruch sein.
  • Ein Einbruch sollte/muss genau analysiert werden. Denn daraus entscheidet sich erst ob ein "Neuaufsetzten" das Problem überhaupt beseitigt.
  • Wer sich nicht die Mühe machen will, keine Ahnung hat wie oder sich mit der Materie gar nicht beschäftigen möchte, sollte zur professionellen Hilfe greifen. Auch wenn dies erst mal als "teuer" empfunden wird, kann es auf der anderen Seite eine Menge an Zeit und Geld sparen helfen.


PS @ATLAS:
Beziehe hier nicht alles auf Dich. Wir sind eine Community und keine One-Man-Show. ;)

huschi.
 
Hi Ho

durch die Problematik mit diesem proftp stieß ich auf das Programm chkrootkit. Ich hab das installiert und laufen lassen. Es hat keine Infects gezeigt, ausser - bindshell...INFECTED (Ports 465) Was sagt mir das? Deswegen eine Neuinstallation machen?

Strato schreibt mir dazu. Das sollen keine Beispiele sein, sondern neulich vorgekommen.
Code: 
Zeilen wie die folgenden sollen Sie alarmieren:

Checking ifconfig... INFECTED
Checking pstree... INFECTED
Searching for t0rns v8 defaults... Possible t0rn v8 \(or variation\) rootkit installed
Searching for Showtee... Warning: Possible Showtee Rootkit installed
Checking bindshell... INFECTED (PORTS:  465)
chkproc: Warning: Possible LKM Trojan installed
Checking bindshell... INFECTED (PORTS:  465)
Checking chkutmp...  The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! root        15781 pts/0  -bash
 
You must log in or register to reply here.
Back
Top