• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

vServer von Server4You gesperrt

alex0809

New Member
Hi,
ich hab ein relativ großes Problem:
ich hab heute von Server4You eine Mail erhalten
Sehr geehrter Kunde,

aufgrund von illegalen Tätigkeiten über Ihr System, waren wir
gezwungen den Server zu sperren.
Illegale Tätigkeiten eines Systems meint zumeist einer oder mehrere
der folgenden Tatbestände:
- DoS Attacken die von Ihrem System ausgehen.
- Phishingseiten die auf Ihrem System gespeichert werden
- Bruteforce Attacken die von Ihrem System ausgehen.
- Spam der über Ihren Server versandt wurde.
- Urheberrechtlich geschütztes Material welches über Ihren Server
zugänglich gemacht worden ist.

Derartige illegale Tätigkeiten werden meist von Hackern ausgeführt,
nachdem diese sich Zugang zu einen fremden Server verschafft haben.

Die Erfahrung zeigt, dass die Spuren eines solchen Einbruchs selten
vollständig zu beseitigen sind und die Sicherheit des Servers danach
nicht mehr gewährleistet werden kann. Eine erneute Hacker-Attacke ist
die oft unvermeidbare Folge.

Um uns rechtlich gegen etwaige Ansprüche, auch in Zukunft,
abzusichern, können wir eine Freischaltung Ihres Systems erst
veranlassen, nachdem wir das unter der URL
www.server4you.de/downloads/kompromittiertes_system.pdf
erhältliche Fax ausgefüllt und unterschrieben erhalten haben.

Bitte lassen Sie uns daher das Fax schnellstmöglich, über die auf dem
Fax stehende Faxnummer, alternativ per Briefpost, zukommen. Wir werden
Ihren Server dann schnellstmöglich wieder entsperren.

Die Arbeiten, im Zusammenhang mit der Sperrung Ihres Systems, wurde
Ihnen mit einer Arbeitseinheit zu 39 Euro berechnet.

Des weiteren müssen wir Sie an dieser Stelle auch auf die geltenden
Gesetzte und unsere AGB's hinweisen, da bei wiederholten Auftreten
eines solchen Falls wir uns zu einer erneuten Sperrung gezwungen
sehen , ggf. ohne Möglichkeit für Sie den Server wieder in Betrieb zu
nehmen.

Sofern Sie bei der Absicherung Ihres Servers Hilfe benötigen, steht
Ihnen unser Support-Team gerne zur Verfügung, um mit Ihnen
entsprechende Arbeiten zu terminieren und ein verbindliches Angebote
hierfür zu erstellen.


------
--- LOG ---
2008-12-22 19:15 UTC : UDP Outgoing: ca. 50771 packets/s, ca. 24
MBit/s seen from xx.xx.xxx.x:50784 ('vsxxxxxxx') to xx.xxx.xxx.xxx:22
2008-12-22 19:20 UTC : UDP Outgoing: ca. 42545 packets/s, ca. 20
MBit/s seen from xx.xx.xxx.x:50784 ('vsxxxxxxx') to xx.xxx.xxx.xxx:22
2008-12-22 19:25 UTC : UDP Outgoing: ca. 26775 packets/s, ca. 12
MBit/s seen from xx.xx.xxx.x:52848 ('vsxxxxxxx') to xx.xxx.xx.xxx:80
2008-12-22 19:25 UTC : UDP Outgoing: ca. 29597 packets/s, ca. 14
MBit/s seen from xx.xx.xxx.x:48434 ('vsxxxxxxx') to xx.xx.xxx.xxx:80
2008-12-22 19:30 UTC : UDP Outgoing: ca. 52408 packets/s, ca. 25
MBit/s seen from xx.xx.xxx.x:52848 ('vsxxxxxxx') to xx.xxx.xx.xxx:80
2008-12-22 19:35 UTC : UDP Outgoing: ca. 33247 packets/s, ca. 15
MBit/s seen from xx.xx.xxx.x:52848 ('vsxxxxxxx') to xx.xxx.xx.xxx:80
2008-12-22 19:40 UTC : UDP Outgoing: ca. 61131 packets/s, ca. 29
MBit/s seen from xx.xx.xxx.x:58608 ('vsxxxxxxx') to xx.xxx.xxx.xxx:80
------
Ich weiß noch, was ich an dem Tag und am Tag davor gemacht hab':
am Tag davor hab ich ein bisschen was ausprobiert, nur leider konnte ich meinen vServer einfach nicht erreichen, egal was ich versucht hab... die Lösung war: Firewall ausschalten (gibt Extra-Menüpunkt im Server4You-Powerpanel) - die Firewall war aber nach einem Server4You-IMAGE konfiguriert!
Am Tag des Angriffs:
meine Domain ist noch nicht von meinem alten Hoster auf den neuen umgezogen, deswegen hab ich, da ich eh erst weitermachen wollte wenn die Domain umgezogen ist und vom Tag davor immer noch nicht alles funktioniert hat, einfach das Betriebssystem über ein Server4You-Image neuinstalliert, und dann aufs [x] geklickt, und gar nichts mehr auf meinem vServer gemacht - leider hab ich auch vergessen, die Firewall wieder anzuschalten

Also ist wurde mein vServer angegriffen, der:
- noch keine Domain hat
- dessen Image noch nicht bearbeitet wurde (kann man auch anders verstehen :D)
- außer dem Root-Benutzer noch keinen Benutzer hatte
- demnach nicht über FTP erreichbar ist, da proFTPd ja standardmäßig eingestellt ist, den Root-Benutzer nicht zuzulassen
- wenn man den Server über HTTP aufruft, kommt nur die Apache "IT works!"-Meldung

Ich möchte, bevor ich die anrufe, mich erst mal ein bisschen informieren und würde von euch gerne wissen:
- könnte es sein, das der Hacker mein Passwort erraten hat? (Server4You Standard-Passwort)
- wie hat der Hacker wahrscheinlich auf das System zugegriffen?
- die 39 € tun mir schon weh, ich will nicht das mein vServer ganz gesperrt wird, gibt es irgendwelche Superwichtigen Sicherheitslücken, die nach einer Debian-Standardinstallation auf dem System sind und die man unbedingt in Sekundenschnelle beheben muss?

Ich hoffe, ihr könnt mir weiterhelfen - ich kenn mich noch nicht so sehr mit Servern aus, eher wenig, wollte den vServer halt vor allem, weil ich darauf Teamspeak, IRC usw. zu installieren vorhatte, und weil er mit 15 GB für 8,95 € ziemlich günstig war
 
Last edited by a moderator:
Hi.

Mein vServer von Server4You wurde heute auch wegen einer DoS-Attacke gesperrt.
Evtl. hängen da ja alle vServer eines bestimmtem IP-Segments zusammen!?

Kannst Du die ersten 2 Segmente Deiner IP preisgeben? Dann wüssten wir schonmal ob mehrere vServer mit denselben IP-Segmenten betroffen sind.

Die Frage was tun stellt sich mir auch, da dieses komische Log nicht viel aussagt. Das habe ich nämlich auch bekommen.
Wurde der DoS-Angriff auf eine IP mit 98. beginnend gestartet?
 
Nein, bei mir beginnt die IP mit 62 - ich denke eher, das er den Hostname (vsxxxxx.vserver.de) angesprochen hat, wieso sollte sonst der Hostname in Klammern stehen?

Auf jeden Fall schon hart:
noch NIEMAND war auf meiner Seite, hauptsächlich deswegen da sie ja nicht existiert hat :)
Das ich bzw. wir dann so ein Pech haben mussten, das der Hacker einfach zufällig nehm ich mal an irgendwelche Server ausprobiert hat und unsere erwischt hat, ist schon extrem unglücklich..
(natürlich kann man jetzt kommen mit "du hättest es doch nur verhindern brauchen", "selbst schuld" usw. - aber Pech ist es für doch trotzdem :D)

Kannst du mir vielleicht sagen, wann der Angriff bei dir stattgefunden hat?
Bei mir wars zwischen 19:15 und 19:40, alle 5 Minuten
 
Last edited by a moderator:
Also mein Server wurde gegen 14 Uhr gesperrt.

Nein, bei mir beginnt die IP mit 62
Du meinst die IP Deines Servers richtig?

Dann habe ich nämlich doch Recht! Die IP meines Servers beginnt auf 62.75.!

Und die IP auf die der Angriff gestartet wurde beginnt mit 98. und liegt irgendwo in den USA.

War das bei dir auch das Anfangs-IP Segment?

Kann es sein dass nicht wir daran Schuld sind sondern evtl. doch Server4You?
Ich möchte mich ja hier nicht um meine Verantwortung drücken die ich als Serveradmin habe, aber wenn 2 Server derselben IP eine DoS Attacke starten ist doch wohl irgendwas am Hostsystem faul und nicht an den vServern die darauf liegen.
Oder sehe ich das falsch?

Edit: Die Logs sind von 12:50 UTC!
 
Last edited by a moderator:
stimmt, meine IP beginnt auch auf 62.75!
Bei mir sind Angriffe auf verschiedene IP-Adressen stattgefunden - ich PN dir einfach mal die Email, wär nett wenn du das auch machen würdest!
 
Jo, PN ist raus!

Aber nochmal an Dich und auch die anderen die hier mitlesen:
Reicht dieses komische Logfile als Beweis aus dass unsere Server eine DoS-Attacke gestartet haben sollen?

Und kann es was bedeuten dass mehrere Server vom gleichen IP-Segment 62.75.xxx.xxx eine DoS-Attacke gestartet haben sollen?
Liegt da vielleicht was am Hostsystem im argen und nicht bei unsereb Servern?
 
Ich glaube nicht, dass s4y über 65.000 vServer auf einem Hostsystem betreibt ;). Insofern solltet Ihr Eure abenteuerliche Argumentation nochmal überdenken...

PS: Mein vServer, dessen ebenfalls IP-Adresse ebenfalls 62.75 beginnt, führt keine DOS-Attacken aus (und hat es auch nicht letztes Jahr getan).
 
Hm. Ich fand das ganze halt auffällig. Muss ja nicht sein dass da nun jeder Server DoS-Attacken fährt. Seltsam finde ich es trotzdem.

Hast Du denn eine Idee über welche Lücke das passiert sein kann? Offensichtlich ist Dein Server ja insoweit sicher dass so etwas noch nicht passiert ist.
 
Hi,

@alex0809: entweder hast Du bereits einen User über Dein Plesk angelegt oder Dein Plesk-Zugang wurde gehackt.
Ich liefer Dir mal einen anonymisierten Auszug aus der derzeitigen Prozessliste.

Code:
root@vsxxxxxx:/# ps afux | grep game
game     20473  0.0  0.0   1796   784 ?        Ss   Dec22   0:00 httpd
game     25738 70.2  0.0   1488   468 ?        R    Dec22 1273:45  \_ ./s 217.160.183.18 22
game     25739  0.0  0.0   1340    52 ?        T    Dec22   0:00      \_ ./s 217.160.183.18 22
game     25740  0.0  0.0      0     0 ?        Z    Dec22   0:00          \_ [s] <defunct>
game     30656  0.0  0.0   1340    52 ?        T    Dec22   0:00 ./s 195.144.12.5 6667
game     30657  0.0  0.0      0     0 ?        Z    Dec22   0:00  \_ [s] <defunct>
game     31789  0.0  0.0   1340    52 ?        T    Dec22   0:00 ./v2 72.20.48.109 113
game     31790  0.0  0.0      0     0 ?        Z    Dec22   0:00  \_ [v2] <defunct>
game      9987  0.0  0.0   1340    52 ?        T    Dec22   0:00 ./s 161.53.178.240 6667
game      9988  0.0  0.0      0     0 ?        Z    Dec22   0:00  \_ [s] <defunct>
game     28092  0.0  0.0   1340    52 ?        T    Dec22   0:00 ./s 86.205.107.114 22
game     28095  0.0  0.0      0     0 ?        Z    Dec22   0:00  \_ [s] <defunct>
root@vsxxxxxx:/# cat /etc/passwd | grep game
games:x:5:60:games:/usr/games:/bin/false
game:x:10001:2523::/var/www/vhosts/xxxxx.com:/bin/bash
root@vsxxxxxx:/var/lock# ls -lsa
total 20
4 drwxrwxrwt  5 root     root   4096 Dec 22 01:06 .
4 drwxr-xr-x  3 game     psacln 4096 Dec 22 01:06 . 
4 drwxr-xr-x 16 root     root   4096 Jul 22 02:29 ..
4 drwxr-xr-x  2 www-data root   4096 Jul 22 02:27 apache2
4 drwxr-xr-x  2 root     root   4096 Dec 22 00:58 files
root@vsxxxxxx:/var/lock# cd .\ 
root@vsxxxxxx:/var/lock/. # ls -lsa
total 12
4 drwxr-xr-x 3 game psacln 4096 Dec 22 01:06 .
4 drwxrwxrwt 5 root root   4096 Dec 22 01:06 ..
4 drwxr-xr-x 3 game psacln 4096 Dec 22 02:00 ...
root@vsxxxxxx:/var/lock/. # cd ...
root@vsxxxxxx:/var/lock/. /...# ls -lsa
total 740
  4 drwxr-xr-x 3 game psacln   4096 Dec 22 02:00 .
  4 drwxr-xr-x 3 game psacln   4096 Dec 22 01:06 ..
  4 -rw-r--r-- 1 game psacln    453 Dec 22 21:00 1
 16 -rwxr-xr-x 1 game psacln  13018 Dec 22 20:43 b
 24 -rwxr-xr-x 1 game psacln  23653 Dec 22 20:43 b2
268 -rw-r--r-- 1 game psacln 266463 May 10  2005 bang.txt
  4 -rw-r--r-- 1 game psacln    805 Dec 22 21:00 blowici.seen
 16 -rwxr-xr-x 1 game psacln  12783 Dec 22 20:43 f
 20 -rwxr-xr-x 1 game psacln  18775 Dec 22 20:43 f4
  4 -rwxr-xr-x 1 game psacln     81 Aug 17  2006 fwd
156 -rwxr-xr-x 1 game psacln 152108 Jun  1  2001 httpd
 16 -rwxr-xr-x 1 game psacln  14944 Dec 22 20:43 j
 20 -rwxr-xr-x 1 game psacln  17946 Dec 22 20:43 j2
 24 -rwxr-xr-x 1 game psacln  22983 Jul 30  2004 mech.help
  4 -rw-r--r-- 1 game psacln   1064 Dec 24 03:00 mech.levels
  4 -rw------- 1 game psacln      6 Dec 22 01:06 mech.pid
  4 -rw-r--r-- 1 game psacln    271 Dec 24 03:00 mech.session
  4 -rw-r--r-- 1 game psacln    519 Apr  2  2008 mech.set
  4 drwxr-xr-x 4 game psacln   4096 Feb 17  2008 ml
 20 -rwxr-xr-x 1 game psacln  19174 Feb  3  2008 s
 24 -rwxr-xr-x 1 game psacln  20872 Dec 22 20:43 sl
  4 -rwxr-xr-x 1 game psacln     67 Jul 30  2004 start.sh
 20 -rwxr-xr-x 1 game psacln  19291 Dec 22 20:43 std
 16 -rwxr-xr-x 1 game psacln  12886 Dec 22 20:43 stream
 12 -rwxr-xr-x 1 game psacln  11187 Dec 22 20:43 tty
 20 -rwxr-xr-x 1 game psacln  17783 Dec 22 20:43 v
 20 -rwxr-xr-x 1 game psacln  18937 Dec 22 16:13 v2
  4 -rwxr-xr-x 1 game psacln    915 Mar  2  2005 x

Gruss
-W
 
Hi,

@Merlok: Du wurdest über Deinen Webserver gehackt. Vermutlich irgendeine nicht ausreichend validierende Upload-Funktion.

Code:
wwwrun   13515  0.0  0.1   1812   784 ?        Ss   Dec22   0:00 httpd
wwwrun   13963 69.0  0.0   1508   476 ?        R    Dec23 570:35  \_ ./s 98.64.62.236 53
vsxxxxxx:/var/tmp/. /.  # ls -lsa
total 416
  4 drwxr-xr-x 2 wwwrun www   4096 Dec 22 21:00 .
  4 drwxr-xr-x 3 wwwrun www   4096 Dec 22 20:11 ..
  4 -rwxr-xr-x 1 wwwrun www    331 Dec 23 14:00 1
  0 -rwxr-xr-x 1 wwwrun www      0 Sep  1  2006 Floodu.seen
 12 -rwxr-xr-x 1 wwwrun www   8922 Jan 24  2006 b
 20 -rwxr-xr-x 1 wwwrun www  19557 May 10  2005 b2
 12 -rwxr-xr-x 1 wwwrun www   8687 Jan 24  2006 f
 16 -rwxr-xr-x 1 wwwrun www  14679 Nov  3  2005 f4
  4 -rwxr-xr-x 1 wwwrun www    126 Dec  5 14:07 fwd
156 -rwxr-xr-x 1 wwwrun www 152108 Jun  1  2001 httpd
 12 -rwxr-xr-x 1 wwwrun www  10848 May 29  2005 j
 16 -rwxr-xr-x 1 wwwrun www  13850 May 29  2005 j2
 24 -rwxr-xr-x 1 wwwrun www  22983 Jul 30  2004 mech.help
  4 -rw-r--r-- 1 wwwrun www   1064 Dec 24 03:00 mech.levels
  4 -rwx--x--x 1 wwwrun www      6 Dec 22 20:11 mech.pid
  4 -rw-r--r-- 1 wwwrun www    319 Dec 24 03:00 mech.session
  4 -rwxr-xr-x 1 wwwrun www    547 Dec  5 14:06 mech.set
  4 -rw-r--r-- 1 wwwrun www    488 Dec 23 14:10 medu.seen
 16 -rwxr-xr-x 1 wwwrun www  15078 Feb 20  2005 s
 20 -rwxr-xr-x 1 wwwrun www  16776 Sep 19  2002 sl
  4 -rwxr-xr-x 1 wwwrun www     67 Jul 30  2004 start.sh
 16 -rwxr-xr-x 1 wwwrun www  15195 Sep  2  2004 std
 12 -rwxr-xr-x 1 wwwrun www   8790 Jan 24  2006 stream
  8 -rwxr-xr-x 1 wwwrun www   7091 Jan 24  2006 tty
 16 -rwxr-xr-x 1 wwwrun www  13687 Nov 20  2002 v
 16 -rwxr-xr-x 1 wwwrun www  14841 Jul 22  2005 v2
  4 -rwxr-xr-x 1 wwwrun www    915 Mar  2  2005 x


Gruss
-W
 
Das sollte jetzt aber Beweis genug sein :) Jetzt heisst es Logfiles sichern, die guten Dinge raussuchen und evtl. in einem neuen Thread hier analysieren!

Basti
 
@wstuermer:
Danke Dir erstmal für die Infos. Ich gehe mal davon aus dass Du von S4Y bist, oder hast Du das irgendwie auslesen können? Oo

Was genau meinst Du mit nicht ausreichend validierend? Eine Uploadfunktion bei der man sich nicht ausreichend authentifizieren muss?

Lässt sich denn irgendwie feststellen wo genau das passiert ist? Ich habe mehrereSeiten gehostet ala Joomla, Coppermine etc..
 
@wstuermer:
Danke Dir erstmal für die Infos. Ich gehe mal davon aus dass Du von S4Y bist, oder hast Du das irgendwie auslesen können? Oo
Ja ist er.
Was genau meinst Du mit nicht ausreichend validierend? Eine Uploadfunktion bei der man sich nicht ausreichend authentifizieren muss?
Uploadscripts müssen so konzipiert sein, dass sie
1.) Nur Dateien annehmen für den sie auch geschrieben wurden. Sprich: Wenn es ein Fotouploader sein soll, sollte er nur JPGs annehmen
2.) Dass man keine Scripte einschleusen kann und sie auf dem Server ausführen kann. SQL Injection ist eines der vielen Stichwörter die mir dabei einfallen.
3.) Bei dir sieht man, dass über den Webserver code eingeschleußt wurde der auf deinem Server zur Ausführung gebracht wird.
Lässt sich denn irgendwie feststellen wo genau das passiert ist?
Schau dir mal die Logs von Apache an, die sollten relativ schnell aufschluss darüber geben wer das war und über welches Script das passiert ist.
 
Last edited by a moderator:
Hm... wenn ich das richtig erkannnt hab, ist der Hacker also über den Benutzer "game" hereingekommen? Den hab ich nicht angelegt...
Find ich ziemlich schockierend, das ein neuinstalliertes Plexx so einfach gehackt werden kann - oder hat der Hacker ganz einfach das Passwort erraten? Kann man das irgendwie erkennen wie er reingekommen ist?
Ich hatte die Firewall am Tag davor ausgeschaltet, weil ich Plexx mit Firewall (es war ein Standard-Template von s4y) nicht mehr erreichen konnte.
Schockierend, könnt ihr mir ein paar Tipps geben, was ich besser machen sollte? (Plexx will ich ohnehin nicht mehr benutzen, also fänd ich ein paar allgemeine Tipps ganz gut)

Vielen Dank für eure Geduld!
 
3.) Bei dir sieht man, dass über den Webserver code eingeschleußt wurde der auf deinem Server zur Ausführung gebracht wird.
Den Auszug von wstuermer habe ich mir angesehen. Aber ich erkenne darauf irgendwie nichts. Wobei ich dazu sagen muss dass ich kein Experte auf dem Gebiet bin.
Wo sehe ich denn da dass Code eingeschleust wurde und ausgeführt wird? Über wwwrun läuft ja nun bekanntlich vieles.

Schau dir mal die Logs von Apache an, die sollten relativ schnell aufschluss darüber geben wer das war und über welches Script das passiert ist.
Kann ich momentan leider nicht, da ich kein Fax besitze und so erst am 29.12 das Fax senden kann wenn ich wieder auf Arbeit bin.
In welche Logs sollte ich denn genau schauen? S4Y sagte mir dass das Accesslog wohl manipuliert sein müsste.
 
Find ich ziemlich schockierend, das ein neuinstalliertes Plexx so einfach gehackt werden kann - oder hat der Hacker ganz einfach das Passwort erraten? Kann man das irgendwie erkennen wie er reingekommen ist?

War denn ausser Plesk noch irgendwas an Content installiert? Wenn z.B. eine veraltete Joomla Installation drauf war, bist Du der Liebling eines jeden Script Kiddys!
 
Der Witz ist: es war bzw. ist GAR NICHTS drauf - ich wollte warten, bis die Domain von meinem alten auf meinen neuen Hoster umgezogen ist;
hab also einfach neuinstalliert und dann gar nichts mehr gemacht... und dann einen Tag später sowas
 
Du solltest auf jeden Fall sofort(!) alle Logfiles sichern, sofern noch vorhanden, und schauen wo der "Einbrecher" reingekommen ist, sonst passiert Dir das beim nächsten mal gleich wieder.

Falls es keine Lücke im Plesk ist, kann es eigentlich nur noch ein unsicheres Kennwort sein, per BruteForce geknackt?! Aber hier raten wir nus ins blaue, bis wir Logfiles sehen.

lg Basti
 
Also ist es am Besten, wenn ich ankreuze, das es im Recovery-Modus gestartet wird?
Das kann aber noch ein bisschen dauern, ich hab kein Faxgerät und muss das Formular per Post versenden - ich meld mich dann wieder;
was mir immer noch nicht ganz klar ist: muss ich nur 39 € oder 2 x 39 € bezahlen?

Ansonsten: Frohe Weihnachten an alle hier und vielen Dank, das ihr auch kurz vorm Heiligen Abend noch so kompetente Hilfe leistet :eek:
 
Back
Top