[!] Strato meldet Kompromittierung meines Servers über proftp

[sTaN]

Hallo liebe Community,

ich bin mal wieder auf eure Hilfe angewiesen.

Heute erhielt ich von meinem Provider Strato eine Email mit der dringlichen Bitte meinen Debian 5.0 VServer zu überprüfen, da Beschwerden von Dritten über Securityscans über proftp von meinem Server ausgingen.

Nach Prüfung meiner Logfiles und meinem IDS (Ossec) konnten aber keinerlei Anomalien festgestellt werden!

Hier die Mail von Strato:

Sehr geehrter Herr XXX,

hiermit möchten wir Sie informieren, dass uns Dritte davon in Kenntnis gesetzt haben, dass von Ihrem Server mit dem Hostnamen: h1604336.stratoserver.net und der Auftragsnummer: 2900394Hacking-Versuche ausgehen und Netzwerke Dritter nach Sicherheitslücken gescannt werden.

Wir gehen davon aus, dass Ihr Server kompromittiert ist und durch unbekannte Dritter für illegales Verhalten missbraucht wird.

Es wäre möglich, dass diese Kompromittierung durch eine Sicherheitslücke in proFTPD erreicht wurde. Es ist auch möglich, dass sich ein Dritter auf diesem Wege Zugang zu den root-Benutzerrechten auf Ihrem Server verschafft hat.

Beachten Sie bitte den Log-File-Auszug am Ende dieser E-Mail.

Dieser Vorgang beeinträchtigt die technische Infrastruktur der STRATO AG auf nicht akzeptable Weise und verstößt damit gegen die Regelbetriebsbedingungen unserer Allgemeinen Geschäftsbedingungen, die Sie jederzeit im Internet einsehen können unter: http://strato.de/agb/index.html

Wir fordern Sie daher dazu auf, Ihren Server eingehend zu untersuchen und für die Nutzung des FTP-Dienstes auf ein anderes Programm umzusteigen oder proFTPD per Update von der Sicherheitslücke zu befreien. Wir empfehlen Ihnen zudem Ihre privaten Dateien zu sichern und eine Neu-Installation vorzunehmen, um sicher zu gehen, dass Ihr Server nicht für weiteren Missbrauch ausgenutzt wird.

Auch bitten wir Sie, uns kurz per E-Mail über die Ergebnisse der Untersuchung und die ergriffenen Maßnahmen zu unterrichten.

Als Termin haben wir uns spätestens den 14. November 2010 vorgemerkt.

Wir müssen hier das Interesse aller Internetnutzer über das Interesse eines Einzelnen, unseres Kunden, stellen und bitten dafür um Verständnis.

Falls Sie hierzu Fragen haben, stehen wir Ihnen selbstverständlich jederzeit gerne zur Verfügung.

Mit freundlichen Grüßen

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>



(time zone of log is PST, which is UTC-08:00, date is MMDD) log entries are from Cisco netflow, time is flow start time

date.time srcIP srcPort dstIP dstPort proto #pkts

1109.11:03:31.114 meineServerIP 40258 134.4.127.46 21 6 1

1109.11:13:12.099 meineServerIP 57304 131.215.201.177 21 6 1

1109.11:15:20.734 meineServerIP 51685 131.215.30.199 21 6 1

<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

Nachdem ich auch dies geantwortet habe erhielt ich eine weitere "böse" Mail mit folgendem Inhalt:

wir haben Ihre Nachricht erhalten und nehmen dazu Stellung, wie folgt.

Ihr Server war an einem Massen-Scann eines Netzwerkes eines amerikanischen Instituts beteiligt, wobei der Umfang dieser Attacke auf den Einsatz kompromittierter Systeme zurück zu führen ist. Lesen Sie sich bitte unsere ursprüngliche E-Mail durch, in der wir Ihnen eine mögliche Ursache und geeignete Gegenmaßnahmen vorschlagen.

Wir fordern Sie nochmals dazu auf, Gegenmaßnahmen zu ergreifen, damit Ihr Server nicht mehr durch unbekannte Dritte missbraucht werden kann. Als spätesten Termin für Ihre Antwort haben wir uns weiterhin den 13. November 2010 notiert.

Sollten wir bis zum Ablauf der Frist keine ausreichende Reaktion von Ihnen vorliegend haben, werden wir Ihren Server sperren müssen, um den Schaden für alle Beteiligten zu beschränken.

Mit freundlichen Grüßen

Was kann ich tun?
ProFTP ist in der Version 1.3.2e vorhanden und weiterhin alle Software mittels apt-get auf dem aktuellen Stand. Wie soll eine Kompromittierung meines Server stattgefunden haben!?

Gruß
sTaN

 

[tobe]

ProFTP ist Bestandteil von Plesk. Leider schafft es der Hersteller in angemessener Zeit einen Patch bereitzustellen, obwohl diese kritische Lücke seit über einer Woche bekannt ist.

Deshalb solltest Du vorerst ProFTP deaktivieren:

Öffne die Datei /etc/xinetd.d/ftp_psa mit dem Editor Deiner Wahl.

Dort den FTP-Dienst deaktivieren:

service ftp
{
        disable         = yes
...

Anschließend:

/etc/init.d/xinetd restart

Erst nachdem Du ProFTP wieder auf den neuesten Stand gebracht hast, solltest Du den FTP-Dienst wieder aktivieren.

Abgesehen davon dürfte Dein Server jetzt sowieso kompromittiert sein, d.h. Du solltest die "infizierten" Dateien aufspüren und ggf. den Server neu aufsetzten.

Weitere Infos findest Du hier bei SSF und im zugehörigen Thread im Plesk-Forum. Dort steht auch das ein Microupdate in Kürze verfügbar sein wird.

 

[benkly]

Hallo,

ich habe die selbe Email von Strato bekommen und bisher mal nur den FTP Port gesperrt. Per Putty komme ich aktuell vom Büro aus nicht drauf.

ABER, was mache ich denn nun? Bin da bei Linux ein Noob und bin froh das da Plesk drauf ist und ich meine Jommla Page am laufen habe. Jetzt habe ich das Plesk Update durchgeführt und bekomme eine Sicherheitslücke installiert, toll.
Wie bekomme ich das alles nun wieder los und vor allem wie sichere ich meine ganzen Daten? Bei mir ist es mein produktiver Server und ich habe keine Ahnung wie ich das mal "schnell" alles klonen soll

Strato sagt zwar das das Plesk 10 Update erst geprüft wird, aber im Panel könnte ich es schon installieren, da soll das Problem anscheinend behoben sein. Soll ich das Update wagen?

Gruß, Benny.

 

[xSystems]

Wenn ich dir nen riesen Tipp geben darf:

Ich hab meinen vServer auch bei Strato und Strato hat den miesesten Support
den es gibt. Ich hab da angerufen weil was bei mir nicht funktioniert hat, dann
meinte der Typ am Telefon: "Und was soll ich da machen? Sie sind doch Admin."

Geh in deine Config von Strato, lass dir Debian 5.0 installieren und hau dir
Webmin auf den Server. Du wirst bei Strato nie Support für Plesk oder so erhalten.

Im Grunde stellen die dir nur nen Server hin, starten das Ding und um den Rest
musst du dich selbst kümmern wenn nicht gerade die Hardware durchgeballert
ist.

 

[svenr]

Strato sagt zwar das das Plesk 10 Update erst geprüft wird, aber im Panel könnte ich es schon installieren, da soll das Problem anscheinend behoben sein. Soll ich das Update wagen?
.

Wenn der Server schon kompromittiert ist hilft ein upgrade erstmal nur gegen weitere Angriffe diese eine Sicherheitslücke betreffend. Es hilft aber nicht gegen den bereits erfolgten.

Ich hab da angerufen weil was bei mir nicht funktioniert hat, dann
meinte der Typ am Telefon: "Und was soll ich da machen? Sie sind doch Admin."

Ist ja auch richtig so. Willst Du es anders brauchst Du einen Managed Server o.ä.

 

[benkly]

Hi,

danke für den Tipp. Würde ich ja auch gerne machen, wenn ich in Sachen Linux nicht ein Vollnoob wäre

Aktuell würde es mich einfach interessieren wie ich größeren Schaden vermeiden kann und meine Daten so sichern kann damit ich nen neues Suse mit Plesk 10 zum laufen bekomme.

Oder könnte ich irgendwie feststellen ob mein Server aktuell gar nicht so weit kompromittiert ist als das man den noch irgendwie retten könnte?

Gruß, Benny.

 

[benkly]

Wenn der Server schon kompromittiert ist hilft ein upgrade erstmal nur gegen weitere Angriffe diese eine Sicherheitslücke betreffend. Es hilft aber nicht gegen den bereits erfolgten.



Ist ja auch richtig so. Willst Du es anders brauchst Du einen Managed Server o.ä.

Naja, wird zwar so gehandhabt, aber ich sehe das aktuell etwas anders. Nen V-Server mit Bug-Plesk bietet Strato aktuell so als deren Produkt an und verkauft mir dieses. Also wenn ich das aktuell neu bestellen würde, dann würden die mir bewusst einen Server mit Sicherheitslücke laufend ans Netz klemmen ohne das ich vorher was tun könnte diese Lücke zu schliessen.
Ich denke das ist für Strato sehr dünnes Eis...

 

[Perry_Rhodan]

...
Im Grunde stellen die dir nur nen Server hin, starten das Ding und um den Rest
musst du dich selbst kümmern wenn nicht gerade die Hardware durchgeballert
ist.

Darum nennen sich die Teile auch ROOT-Server. Wenn man keine Ahnung hat oder haben will, kann man sich ja Managed-Server anmieten. Da sollten solche Probleme nicht auftauchen bzw. ist dann der Hoster wirklich schuld.

'Back to Topic'

Leider kenne ich mich nicht gut genug aus, um Dir helfen zu können. Leider.

Versuche Cron-Tabs zu finden, die nicht da hingehören. Als mein Server die Grippe hatte, war ein Cron von www-data der da nix zu suchen hatte. Nah löschen desselben und entfernen der Sicherheitslücke war ruhe und der Server wieder gesund.

Auch wenns blöd ist/war, dadurch habe ich enorm viel über Linux und Server gelernt.

Gruß

Ulf

 

[voodoo44]

Warum sollte das sehr dünnes Eis sein?
Lass dir eben ein Image ohne Plesk installieren und installiere dir Plesk per Hand.

Bietet Strato denn ein Image mit Plesk 9.5.2 oder 9.5.3 DIREKT zum installieren an? Oder muss man das erst von Hand auf diese Version updaten?

 

[xSystems]

Bietet Strato denn ein Image mit Plesk 9.5.2 oder 9.5.3 DIREKT zum installieren an? Oder muss man das erst von Hand auf diese Version updaten?

Du kannst bei Strato auswählen welches OS du installiert haben willst (geht
auch nachträglich zu ändern). Allerdings musst du auswählen ob du Plesk haben
willst oder nicht.

Aber ich denke mal das man das OS ohne Plesk wählen und es dann selbst installieren
kann. Webmin und so kann man ja auch installieren.

 

[Perry_Rhodan]

Ja, man kann Plesk nachträglich installieren. Habe mir den Server vor 1 Jahr mit "blankem" Ubuntu neu aufsetzen lassen und den Rest alles manuell nachinstalliert.

Gruß

Ulf

P.S. Der Pleskvertrag läuft bei Strato nämlich unabhängig vom Server.

 

[dev]

ProFTP ist in der Version 1.3.2e vorhanden und weiterhin alle Software mittels apt-get auf dem aktuellen Stand.

Wie kommt denn 1.3.2e auf einen Lenny-Rechner?

Lenny hat Version 1.3.1 - da gibt es diesen Bug/die Lücke noch nicht: http://packages.debian.org/lenny/proftpd

Ich dachte, Plesk und Confixx installieren nur 120 Perl-Skripte und keine eigenen Repos für Binaries?

 

[sTaN]

Hallo,

vielen Dank erst ein mal für die schnelle Rückmeldung. War noch unterwegs weshalb eine Suche zeitlich nicht vereinbar war.
Umso mehr ärgert es mich, dass die Nachricht total an mir vorbei gegangen ist, obwohl ich "fast" täglich heise Security News etc. lese...Pech gehabt.

ProFTP und Port 21 wurden zunächst deaktiviert.

Zitat von tobe:
Abgesehen davon dürfte Dein Server jetzt sowieso kompromittiert sein, d.h. Du solltest die "infizierten" Dateien aufspüren und ggf. den Server neu aufsetzten.

Das habe ich mir auch gedacht. Was schlägst du/ihr vor um infizierte Dateien aufzuspüren? Ich habe selbst nichts entdecken können, auch der Integrety Check meines Ossec IDS hat keine Änderungen an Dateien erkannt.

Ich hab vor, ein Backup von Freitag einzuspielen, da ich von da an nicht mehr viel gemacht habe und im Anschluss ProFTP zu updaten, anschließend Passwörter zu ändern. Aber kann ich bei dieser Methode wirklich sicher sein!?

Gruß,
sTaN

 

[dev]

Aber kann ich bei dieser Methode wirklich sicher sein!?

Nein. Wenn der Rechner kompromittiert wurde, musst Du davon ausgehen, dass alle möglichen Pakete modifiziert wurden (Backdoors etc.), was aber natürlich nicht offensichtlich ist. Im Prinzip hilft nur das Analysieren der Logdateien mit Rekonstruktion des Angriffs.

Um eine Neuinstallation von einer sauberen Quelle kommst Du wahrscheinlich nicht herum. Das Verständnis des Angriffs schützt Dich vor einem erneuten Aufreissen der Lücke. Das Einspielen von Backups reisst evtl. wieder eine Lücke rein...

 

[Ben.]

Darum immer wieder meine Meinung:

Die Zeit die Admins in die Unterhaltung von Plesk / Confixx stecken, sollten sie in einfache Konsolenbefehle investieren.

Ich kenne Plesk nur "aus dem Fernsehen", aber kann man nicht einfach proFTPd updaten? Plesk dürfte das doch egal sein, die Konfiguration ändert sich ja nicht. Oder sind die Compilerflags streng geheim?

 

[sTaN]

Im Prinzip hilft nur das Analysieren der Logdateien mit Rekonstruktion des Angriffs.

Was sich allerdings schwierig gestaltet. Meiner Meinung nach passierte es an der Stelle:

Nov  9 20:01:58 meinServer proftpd[7488]: meinServer - mod_delay/0.6: error opening DelayTable '/var/run/proftpd/proftpd.delay': No such file or directory
Nov  9 20:01:58 meinServer proftpd[7488]: meinServer (78.159.112.246[78.159.112.246]) - mod_delay/0.6: unable to open DelayTable '/var/run/proftpd/proftpd.delay': No such file or directory
Nov  9 20:01:58 meinServer proftpd[7488]: meinServer (78.159.112.246[78.159.112.246]) - FTP session opened.
Nov  9 20:01:58 meinServer proftpd[7489]: meinServer - mod_delay/0.6: error opening DelayTable '/var/run/proftpd/proftpd.delay': No such file or directory
Nov  9 20:01:58 meinServer proftpd[7489]: meinServer (78.159.112.246[78.159.112.246]) - mod_delay/0.6: unable to open DelayTable '/var/run/proftpd/proftpd.delay': No such file or directory
Nov  9 20:01:58 meinServer proftpd[7489]: meinServer (78.159.112.246[78.159.112.246]) - FTP session opened.
Nov  9 20:01:58 meinServer proftpd[7489]: meinServer (78.159.112.246[78.159.112.246]) - FTP session closed.

Irgendwann führte das ganze zum Buffer Overflow und mein proFTP ist abgestürzt. Siehe:

Nov  9 20:02:08 meinServer proftpd[7597]: meinServer (78.159.112.246[78.159.112.246]) - ProFTPD terminating (signal 11)

Wenn ich das richtig interpretiert habe. Das ganze Szenario geht jeden Falls über ca. 5 Seiten und am Ende ist nur noch ein:

Nov  9 20:02:08 meinServer proftpd[7599]: meinServer (78.159.112.246[78.159.112.246]) - FTP session opened.

Danach hören die Meldungen auf und es kommen Standard Syslogs, Maillogs etc...

Um eine Neuinstallation von einer sauberen Quelle kommst Du wahrscheinlich nicht herum. Das Verständnis des Angriffs schützt Dich vor einem erneuten Aufreissen der Lücke. Das Einspielen von Backups reisst evtl. wieder eine Lücke rein...

Mit Backup wiederherstellen meinte ich die Backup/Restore Funktion von Strato. Dort werden täglich volle Backups vom Server gemacht, was eigentlich eine sauber Quelle sein sollte!? Anschließend natürlich die nötigen fixes, damit dies nicht noch mal passiert.

Gruß

 

[dev]

In dem Fall kann man ja proftpd einfach aus dem stable Debian Repo nehmen, also downgraden. Da ist die Lücke auch nicht drin.

 

[sTaN]

In dem Fall kann man ja proftpd einfach aus dem stable Debian Repo nehmen, also downgraden. Da ist die Lücke auch nicht drin.

War das auf mich bezogen? Bzw. bedeutet, dass nichts weiter passiert ist bei mir?

 

[dev]

War das auf mich bezogen? Bzw. bedeutet, dass nichts weiter passiert ist bei mir?

Das war auf Bens Posting bezogen. Du hattest Deins dazwischengeschoben

 

[voodoo44]

Mal ganz blöd:
Wenn man den Root-Login verbietet - kommt man dann trotzdem via FTP als Root auf den Server?

Die Meldungen in der daemon.log sieht bei mir ähnlich schrecklich lang aus:

Nov 10 18:15:23 vsXXXXXXX proftpd[22062]: meineIP   - mod_delay/0.6: error opening DelayTable '/usr/local/var/proftpd.delay': No such file or directory
Nov 10 18:15:23 vsXXXXXXX proftpd[22062]: meineIP   (178.15.0.255[178.15.0.255]) - mod_delay/0.6: unable to open DelayTable '/usr/local/var/proftpd.delay': No such file or directory
Nov 10 18:15:23 vsXXXXXXX proftpd[22062]: meineIP   (178.15.0.255[178.15.0.255]) - FTP session opened.
Nov 10 18:15:23 vsXXXXXXX proftpd[22062]: meineIP   (178.15.0.255[178.15.0.255]) - FTP session closed.
Nov 10 18:19:24 vsXXXXXXX proftpd[3384]: meineIP   - mod_delay/0.6: error opening DelayTable '/usr/local/var/proftpd.delay': No such file or directory
Nov 10 18:19:24 vsXXXXXXX proftpd[3384]: meineIP  (89.41.1.126[89.41.1.126]) - mod_delay/0.6: unable to open DelayTable '/usr/local/var/proftpd.delay': No such file or directory
Nov 10 18:19:24 vsXXXXXXX proftpd[3384]: meineIP   (89.41.1.126[89.41.1.126]) - FTP session opened.
Nov 10 18:19:24 vsXXXXXXX proftpd[3384]: meineIP  (89.41.1.126[89.41.1.126]) - FTP session closed.
[......]
Nov 10 18:40:23 vsXXXXXXX proftpd[12127]: meineIP  (178.15.0.255[178.15.0.255]) - FTP session opened.
Nov 10 18:40:23 vsXXXXXXX proftpd[12127]: meineIP  (178.15.0.255[178.15.0.255]) - FTP session closed.
Nov 10 18:44:00 vsXXXXXXX proftpd[16277]: meineIP  (89.41.1.126[89.41.1.126]) - FTP session opened.
Nov 10 18:44:10 vsXXXXXXXproftpd[16277]: meineIP  (89.41.1.126[89.41.1.126]) - FTP session closed.
Nov 10 18:45:23 vsXXXXXXXproftpd[19858]: meineIP  (178.15.0.255[178.15.0.255]) - FTP session opened.
Nov 10 18:45:23 vsXXXXXXXproftpd[19858]: meineIP (178.15.0.255[178.15.0.255]) - FTP session closed.

Das dürfte aber in meinen Augen nichts weiter bedeuten - außer, dass jemand meint er müsse versuchen auf meinen FTP zu kommen - richtig?
Die proftpd.delay hab ich erstmal via touch /...../proftpd.delay angelegt.

Schaun mer mal, was noch passiert. Proftpd ist ja nun schon lange geupdatet - na schaun mer mal, ob das in Zukunft weniger Einträge werden.