vServer hacked?!

[sonne]

vServer hoher Traffic

Nabend,

ich glaube das mein server irgendwie gehackt wurde, ich habe die letzten beiden Tage 75GB Traffic verbraucht. Ziemlich krass würd ich mal sagen.
Gibts irgendeine möglichkeit rauszufinden wieviele Pakete der Server sendet und empfängt?! (in Echtzeit) oder ob der Server infiziert wurde?!
Hab in jezz erstmal vom Netz genommen.

(Debian Lenny)
Mfg

 

[The Busfreak]

Was das infiziert angeht, würde ich sofern ein Webserver in verwendung ist, nach Verdächtigen PHP Dateien o. ä ausschau halten/ bash_historys der User überprüfen, bzw auch die Laufenden Prozesse, ansonsten auf Logeinträge achten.

 

[sonne]

Ich Spiele den Vserver neu drauf. Die Log von apacha war sehr verdächtig -.-

 

[Vanilie]

Wenn du nicht weist wie der servr gehackt worden ist,

kann das nach 1 Tag oder nach ein paar Wochen wieder passieren.

So gehst du einfach den einfachen Weg aber der ist meist nicht der Richtige.

 

[sonne]

Ich denk ma das es Über den Webserver lief. Hatte sonst noch keine Probleme.
Der Webserver war eigentlich nur Just 4 Fun. Hatte den nie gebraucht, also bleibt er jetzt weg!

 

[Vanilie]

scheinbar ist dir dein Server ja egal.

Naja ich werd ja keine Rechnung vom Anwalt bekommen.

Wenn man einen Server hat, hat man dafür auch verantwortung.

 

[sonne]

nein egal nicht, aber wie soll ich ihn sichern, iptables lief ja alles.
Wie gesagt, der Webserver war ma so zum testen online.
Gameserver und andere Programme haben einzelne User. Was soll ich noch tun um ihn zu sichern?!

 

[Mordor]

Iptables ist für sich alleine gestellt mit Sicherheit keine Möglichkeit einen Server sicher zu machen. Das bedarf einiger Dinge mehr:

- Sichere Passwörter für SSH oder Key-Authorisation
- Root-Zugang für SSH verbieten
- Mailserver absichern
- Nur Dienste laufen lassen, die man wirklich benötigt und diese absichern
- etc...

 

[zylox]

Was soll ich noch tun um ihn zu sichern?!

https://serversupportforum.de/threads/die-abschottung-wie-geht-es-nun-weiter.26810/

Um deinen Traffic live zu beobachten (Pakete/Bandbreite) sieh dir einfach mal vnstat an.

 

[sonne]

Iptables ist für sich alleine gestellt mit Sicherheit keine Möglichkeit einen Server sicher zu machen. Das bedarf einiger Dinge mehr:

- Sichere Passwörter für SSH oder Key-Authorisation
- Root-Zugang für SSH verbieten
- Mailserver absichern
- Nur Dienste laufen lassen, die man wirklich benötigt und diese absichern
- etc...

war alles Fall.

€: Hab ihn jezz erstmal wieder neu installiert und Fail2ban eingerichtet.

 

[sonne]

So hab Fail2Ban am laufen.
Nun noch ne Frage dazu, kann ich irgendwie in der SSH cfg dem server sagen, das ich nur mit meinem Host auf den root zugriff connecten kann und ist es ratsam den SSH Port zu ändern?!

Mfg

 

[marneus]

Ich dachte, Du hast den von Mordor gelinkten Artikel gelesen?

 

[sonne]

Die Abschottung: Wie geht es nun weiter?

Aloha, da ich ja ein braver und armer Noob bin, habe ich mir nicht wie alle anderen gleich einen vServer oder Root zum Probieren hingestellt, sondern nur mit Debian 4 als Minimalinstallation in einer schicken virtuellen Maschine geübt. Naja, bin trotz aller Hürden auch vorangekommen und brauche...

serversupportforum.de

Um deinen Traffic live zu beobachten (Pakete/Bandbreite) sieh dir einfach mal vnstat an.

du meinst diesen hier?!

Ja habe ich...
Damit war aber meine Frage nicht beantwortet.

Zur Zeit sieht es so aus:

-SSH Port 22
-PKI Login (mit Passwort für den Key)
-Passwort/ChallengeAuth off
-F2B Konfiguriert und Läuft

 

[daymaker]

Server gehackt ?

Hi.

Vielleicht könntest du ja mal den rkhunter durchlaufen lassen.
Der findet schon einige Schwachstellung und ein paar rootkits.

Bei einen Debiansystem einfach zu installieren:

System auf dem neusten Stand setzen:

apt-get update && apt-get upgrade

Danach rkhunter installieren:

apt-get install rkhunter

Nach der erfolgreichen Installation einfach den Befehl eingeben:

rkhunter -c

Dann mal den rkhunter log unter /var/log/rkhunter.log anschaun.

 

[sonne]

ich werds mal versuchen, geb dem hunter dann auch gleich nen cron.
hab auch mal chkrootkit durch laufen lassen

so habs ma laufen lassen. Nichts ungewöhnliches.

 

[wstuermer]

kann ich irgendwie in der SSH cfg dem server sagen, das ich nur mit meinem Host auf den root zugriff connecten kann und ist es ratsam den SSH Port zu ändern?!

man sshd_config

Dort findest Du u.a. wie du Host-Matching konfigurieren kannst. Der opensshd ist da sehr flexibel.

Den SSH-Port zu ändern bringt dir allenfalls was, um die Logfiles klein- und Scriptkiddies fernzuhalten. Wer es wirklich auf dein System abgesehen hat, der findet den SSH-Port auch wenn er verlegt ist.

 

[sonne]

So, Port ist auch geändert.
Mit dem Host muss ich mich nochmal schlau machen. Habe das nicht ganz mit der HostbasedAuthentication verstanden.

 

[sonne]

Hab gerade nochmal in die auth log geschaut:

Feb 10 09:52:57 vadmin52 sshd[20686]: Address 62.23.54.194 maps to mx1.axxor.fr, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 10 09:52:57 vadmin52 sshd[20688]: Address 62.23.54.194 maps to mx1.axxor.fr, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 10 09:52:58 vadmin52 sshd[20690]: Address 62.23.54.194 maps to mx1.axxor.fr, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 10 09:52:58 vadmin52 sshd[20692]: Address 62.23.54.194 maps to mx1.lespapiersdepresse.fr, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 10 09:52:58 vadmin52 sshd[20694]: Address 62.23.54.194 maps to mx1.laforet-log.fr, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 10 09:52:58 vadmin52 sshd[20696]: Address 62.23.54.194 maps to mx1.lespapiersdepresse.fr, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 10 09:52:59 vadmin52 sshd[20698]: Address 62.23.54.194 maps to mx1.axxor.fr, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 10 09:52:59 vadmin52 sshd[20700]: Address 62.23.54.194 maps to mx1.laforet-log.fr, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 10 09:52:59 vadmin52 sshd[20702]: Address 62.23.54.194 maps to mx1.laforet-log.fr, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 10 09:53:00 vadmin52 sshd[20704]: Address 62.23.54.194 maps to mx1.axxor.fr, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 10 09:53:00 vadmin52 sshd[20706]: Address 62.23.54.194 maps to mx1.lespapiersdepresse.fr, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 10 09:53:00 vadmin52 sshd[20708]: Address 62.23.54.194 maps to mx1.axxor.fr, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 10 09:53:04 vadmin52 sshd[20710]: Address 62.23.54.194 maps to mx1.laforet-log.fr, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 10 10:17:01 vadmin52 CRON[20724]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 10 10:17:01 vadmin52 CRON[20724]: pam_unix(cron:session): session closed for user root
Feb 10 11:17:01 vadmin52 CRON[20730]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 10 11:17:01 vadmin52 CRON[20730]: pam_unix(cron:session): session closed for user root
Feb 10 12:17:01 vadmin52 CRON[20829]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 10 12:17:01 vadmin52 CRON[20829]: pam_unix(cron:session): session closed for user root
Feb 10 13:17:01 vadmin52 CRON[20833]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 10 13:17:01 vadmin52 CRON[20833]: pam_unix(cron:session): session closed for user root
Feb 10 14:17:02 vadmin52 CRON[20932]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 10 14:17:02 vadmin52 CRON[20932]: pam_unix(cron:session): session closed for user root
Feb 10 15:17:01 vadmin52 CRON[21032]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 10 15:17:01 vadmin52 CRON[21032]: pam_unix(cron:session): session closed for user root
Feb 10 15:30:51 vadmin52 sshd[21036]: Accepted publickey for root from 217.230.125.15 port 49189 ssh2
Feb 10 15:58:51 vadmin52 sshd[21045]: Accepted publickey for root from 217.230.125.15 port 49830 ssh2
Feb 10 16:01:19 vadmin52 sshd[21071]: Accepted publickey for root from 217.230.125.15 port 49832 ssh2
Feb 10 16:01:19 vadmin52 sshd[21071]: subsystem request for sftp
Feb 10 16:17:01 vadmin52 CRON[21075]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 10 16:17:01 vadmin52 CRON[21075]: pam_unix(cron:session): session closed for user root

Ist da schon wieder was im Busch?!

 

[Deleted member 4401]

Nicht wirklich, nur gescheiterte Login Versuche. Du sagst du hast fail2ban installiert, allen Anscheins nach ist aber entweder die Einstellung etwas zu lax (3 Login Versuche sollten imo reichen, danach ban) oder SSH ist nicht gesichert bzw. fail2ban falsch konfiguriert.

 

[sonne]

2010-02-10 17:12:41,465 fail2ban.jail   : INFO   Jail 'apache-noscript' started
2010-02-10 17:12:41,473 fail2ban.jail   : INFO   Jail 'pam-generic' started
2010-02-10 17:12:41,533 fail2ban.jail   : INFO   Jail 'vsftpd' started
2010-02-10 17:12:41,541 fail2ban.jail   : INFO   Jail 'xinetd-fail' started
2010-02-10 17:12:41,549 fail2ban.jail   : INFO   Jail 'named-refused-udp' started
2010-02-10 17:12:41,561 fail2ban.jail   : INFO   Jail 'ssh-ddos' started
2010-02-10 17:12:41,593 fail2ban.jail   : INFO   Jail 'apache-multiport' started
2010-02-10 17:12:41,597 fail2ban.jail   : INFO   Jail 'apache-overflows' started
2010-02-10 17:12:41,673 fail2ban.jail   : INFO   Jail 'couriersmtp' started
2010-02-10 17:12:41,677 fail2ban.jail   : INFO   Jail 'wuftpd' started
2010-02-10 17:12:41,717 fail2ban.jail   : INFO   Jail 'ssh' started
2010-02-10 17:12:41,745 fail2ban.jail   : INFO   Jail 'postfix' started
2010-02-10 17:12:41,777 fail2ban.jail   : INFO   Jail 'sasl' started
2010-02-10 17:12:41,785 fail2ban.jail   : INFO   Jail 'apache' started
2010-02-10 17:12:41,817 fail2ban.jail   : INFO   Jail 'courierauth' started
2010-02-10 17:12:41,873 fail2ban.jail   : INFO   Jail 'proftpd' started
2010-02-10 17:12:41,885 fail2ban.jail   : INFO   Jail 'named-refused-tcp' started
2010-02-10 21:51:39,649 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
2010-02-10 21:51:39,713 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
2010-02-10 21:51:39,721 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
2010-02-10 21:51:40,649 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
2010-02-10 21:51:40,713 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
2010-02-10 21:51:40,721 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log

Das spuckt mir die F2B Log aus.
Habe jetzt zusätzlich noch DenyHosts installiert. Schaden kann es ja nicht!

F2B war etwas zu lasch, hab es jetzt auf drei Versuche runtergeschraubt und 24 Stunden Ban (Stand vorher auf sechs Versuche und 10 Minuten Ban)