[!] Strato meldet Kompromittierung meines Servers über proftp

Bei mir steht das das

Code: 
Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... You have 3 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

und was soll mir das jetzt genau sagen?
 
Es gibt nicht all zu viele Möglichkeiten:
1.) Es ist wirklich ein Fehlalarm, sollte aber jemand feststellen, der sich damit auskennt.
2.) Es hat wirklich ein Einbruch stattgefunden. Dann sollte jemand, der sich damit auskennt, die Lücke aufspüren und beraten wie man das System wieder sauber bekommt.

Wie Ihr jeweils seht, braucht es jemanden der sich auskennt.
Wenn Ihr selbst nicht dieser Jemand seit, so steht Ihr vor einem Problem.
Für "Admin-on-Demand" gibt es ausreichend viele Treffer bei Google.
Geht dabei nicht nur nach dem Preis! Der Erfahrung zählt!
Denn ein Admin für nur 20 EUR/h braucht evtl. 4 Stunden um die Lücke nicht ganz eindeutig zu identifizieren, während ein Admin für 80 EUR/h evtl. nur eine Stunde braucht inkl. anschließender Beratung.

huschi.
 
Ich gehe bei mir mal davon aus das es ein Fehlalarm sein wird zumal der Server gerade von einem Fachmann neu aufgesetzt worden ist und die lod Dateien nichts her geben was darauf schliessen könnte.Ich beobachte das aber weiter das ganze.
 
Wenn bindshell nur ein einziges Mal und keine anderen Punkte als infected gemeldet wird, nur dann ist es zu 99% ein Fehlalarm. Alles andere ist kein Fehlalarm und bei Dir kommt nunmal mindestens ein weiterer Punkt hinzu. Die daraus zu ziehende Schlussfolgerung überlasse ich Dir, Du bist ja root nicht ich.
 
Soeben erhielt ich eine SMS von Strato mit der Information, dass mein Port 21 aufgrund eines Sicherheitsvorfalls gesperrt worden ist.

Ich sitze gerade live vor meinem System und arbeitet daran. Die Lücke wurde wie ein paar Beiträge vorher bereits vor einem Monat geschlossen und ich bin dermaßen verärgert, dass mir die gute "kompetente" Frau von Strato immer wieder sagte, mein Server enthält eine Lücke im ProFTPD...

Nun habe ich das Ganze wieder gecheckt. Mittlerweile nutze ich die Plesk Version 10.0.0 und die Ausgabe von

Code: 
cat /root/.autoinstaller/microupdates.xml

bestätigt mir ebenfalls, dass aktuelle Microupdates von Plesk durch die Ausgabe:

Code: 
<?xml version="1.0" encoding="UTF-8" standalone="yes" ?>
<patches />

enthalten sind. Das wollte die gute Frau allerdings nicht verstehen. In der Message von Strato steht eindeutig:

Wenn Sie den Quellcode aus dem CVS-Repository verwendet haben, so sind Sie von dem Vorfall nicht betroffen. Wenn Sie Plesk einsetzen und die aktuellen Updates eingespielt haben, ist Ihr ProFTPD-Server ebenfalls sicher.
Click to expand...

Und genau das ist bei mir der Fall! Wann kann ich dagegen jetzt tun!?

Gruß,
sTaN

EDIT: Nach dem ich noch mals gecheckt habe, auch die die ProFTPD Version:

Code: 
proftpd -vv
Code: 
ProFTPD Version: 1.3.3 (stable)
  Scoreboard Version: 01040003
  Built: Tue Sep 21 2010 15:56:05 NOVST

konnte ich das Problem für die Maßnahme nicht nachvollziehen und rief noch mals bei der Technik an. Dieses mal hatte ich einen weit aus kompetenteren Kollegen dran, der auch zunächst erst ein mal nach dem Server fragte, um den es sich handelt. Daraufhin konnte er mir allerdings auch keine weiteren Infos geben und er versteht es genauso wenig, da Microupdates, sowie aktuelle Plesk Version installiert wurden. Nun heißt es ein Mail schreiben und auf kompetente Antwort hoffen.

Ich kann mir nur erklären, dass aufgrund des gestrigen Updates von 9.5.3 auf 10.0.0 mein Server wieder in ein Suchmuster gefallen ist und aus diesem Grund der Server als unsicher gemeldet ist und der Port gesperrt wurde. Das ich allerdings die aktuelle Lücke bereits geschlossen habe, scheint keinen zu interessieren.
 
Last edited by a moderator:
Dem Built-Datum nach ist Deine Version ungepatched, zumal auch die aktuelle ProFTPd-Version immernoch mindestens eine bekannte Sicherheitslücke aufweist.
 
Joe User said:
Dem Built-Datum nach ist Deine Version ungepatched
Click to expand...

Was allerdings auch nur der halben Wahrheit entspricht. Denn Parallels hat diesen Bug in seinen Microupdates und es wurde trotz upgrade auf die neue Version die alte Versionsnummer angezeigt.
Wie man das nun aber exakt prüfen kann, weiß ich nicht. Höchstens ProFTP manuell installieren!?

Gruß,
sTaN
 
sTaN said:
Ich habe die Lücke folgender Maßen in den Griff bekommen und vielleicht hilft es dem Ein oder Anderem.

Ein Backup Restore des VServers über das Strato Kundencenter setzt den Server zurück, sodass die ausgenutzte Lücke beseitigt wird.
Click to expand...

Vielleicht ist da was nicht sauber zurück gesetzt wurden? Von wann war das Backup? Was genau ist denn in einem Strato-Backup so drin (und was nicht)? Wie lang war die Zeit zwischen Restore und Update?

sTaN said:
Wie man das nun aber exakt prüfen kann, weiß ich nicht.
Click to expand...

Prüfsummen von ProFTP vergleichen. Saubere Prüfsummen findest du hier im Thread.
 
Last edited by a moderator:
PapaBaer said:
Vielleicht ist da was nicht sauber zurück gesetzt wurden? Von wann war das Backup?
Click to expand...

Das Strato Backup entspricht einem Full Backup des gesamten Servers und war 1 Woche vor der Bekanntmachung der Lücke und wurde am 13.11.10 zurückgesetzt.
Anschließend wurde alles auf den aktuellen Stand gebracht.

Was ich mir wie gesagt erklären kann, ist das gestrige Upgrade vom Plesk auf die 10.0.0. Das war das einzige was ich gemacht habe, bevor die Benachrichtigung von Strato kam und der Port gesperrt wurde.
 
Hallo,

heute erhielt ich eine Rückmeldung von Strato:

hiermit möchte ich Sie über die Rückmeldung von unserem Rechenzentrum informieren.

Die Version 10.0 von Plesk ist von dem Problem ebenfalls betroffen. Nach der Installation von Plesk 10 wird empfohlen, noch einmal auf Update gehen.
Dann sollte das Microupdate MU1 für Plesk 10.0 dieses Problem beheben.

Siehe hierzu auch: http://www.parallels.com/de/products/plesk/ProFTPD/

Im unteren Abschnitt steht beschrieben, wie man überprüfen kann, ob das Microupdate eingespielt wurde.
Auf der Kommandozeile kann man es durch:
/opt/psa/admin/sbin/autoinstaller --select-product-id ppsmbe --select-release-current --reinstall-patch --install-component base
einspielen.

Ich freue mich, Ihnen hiermit weitergeholfen zu haben und wünsche Ihnen einen guten Rutsch in das neue Jahr.
Click to expand...

Diese Prozedur hatte ich allerdings bereits gemacht, bevor der Port gesperrt wurde. Einziger Unterschied der mir bei einem Aufruf von:

Code: 
# cat /root/.autoinstaller/microupdates.xml
<?xml version="1.0" encoding="UTF-8" standalone="yes" ?>
<patches>
    <product id="plesk" version="10.0.1">
        <patch version="2" timestamp="" />
    </product>
</patches>

aufgefallen ist, ist dass meine Patch Version nur die MU2 beinhaltet! Danach habe ich noch mals ein Update versucht mit:

Code: 
/usr/local/psa/admin/sbin/autoinstaller --select-product-id plesk --select-release-current --reinstall-patch --install-component base
(die product-id ppsmbe geht bei mir nicht)
und mir ist aufgefallen das die MU1 übersprungen wird:
Code: 
Installing patches...
File downloading PSA_10.0.1/microupdates/MU1/dist-deb-Debian-5.0-i386/proftpd: was skipped because of md5 checksum match.
File downloading PSA_10.0.1/microupdates/MU2/common/AdminAccess.php: was skipped because of md5 checksum match.
Synchronizing the Debian APT package index files...

Laut Plesk muss ich aber scheinbar die Version 1 drauf haben, weshalb Sie mir auch sicherlich den Port gesperrt haben. Jemand eine Idee, wie ich Version 1 zum Rennen bekomme?

Gruß
 
You must log in or register to reply here.
Back
Top