Zserver
New Member
Hallo,
wir bekamen vor kurzem eine Mail vom Provider in der uns mit folgenden Logfile Auszügen ein kompromitierter Server vorgeworfen wird.
Die IP wurde von mir unkenntlich gemacht, ist aber ein von 2 IPS des Servers auf der 4 von 11 Domains laufen - die anderen 7 Domains laufen auf der 2. IP und sind somit aus dem Rennen?
Es wurde ein Frist von 3 Tagen gesetzt um "angemessen zu reagieren". Der Lieferant des Logauszuges wurde uns nicht genannt und ein Kontakt mit der Abuse Abteilung des Providers sieht so aus, das man nur Mails schicken kann, die aber jetzt bereits 1,5 Tage unbeantwortet bleiben. Telefonisch den Technischen Support erreicht und der sagte nur, das wir ja mehr wüssten wie der Support selbst und man nur ein Ticket an die Abuse Abteilung stellen könne, das die sich bei uns nochmal melden...
Der Root läuft seit 3 Jahren ohne Probleme. Es ist ein Root von Strato mit Opensuse und Plesk drauf. Auf den fraglichen Domains laufen u.a. Wordpress, vbulletin, Appgini, Xenforo Systeme Die Wordpress, vbulletin Systeme sind auf aktuellem Stand, von XenForo sind mir keine Sicherheitslücken mit den laufenden Versionen bekannt und Appgini ist eine Datenbanksoftware.
Kann jemand einen Tipp geben wo man mit der Suche nach einem Script auf einem Rootserver sinnvoll anfangen könnte?
Wir wollten Ende des Jahres sowieso auf einen managed Server umsteigen, aber ein Umstieg ohne das Leck gefunden zu haben wird ja auch nicht viel bringen. Wir wären für jeden Tipp dankbar.
Grüße
wir bekamen vor kurzem eine Mail vom Provider in der uns mit folgenden Logfile Auszügen ein kompromitierter Server vorgeworfen wird.
Code:
Lines containing IP:11.222.33.44 in /var/log/auth.log
Nov 8 03:18:39 rockthehalo sshd[5584]: Failed password for root from 11.222.33.44 port 36745 ssh2
Nov 8 03:18:39 rockthehalo sshd[5584]: Received disconnect from 11.222.33.44: 11: Bye Bye [preauth]
Nov 8 03:25:14 rockthehalo sshd[5661]: Failed password for root from 11.222.33.44 port 41338 ssh2
Nov 8 03:25:14 rockthehalo sshd[5661]: Received disconnect from 11.222.33.44: 11: Bye Bye [preauth]
Nov 8 03:31:49 rockthehalo sshd[5722]: Failed password for root from 11.222.33.44 port 38542 ssh2
Nov 8 03:31:49 rockthehalo sshd[5722]: Received disconnect from 11.222.33.44: 11: Bye Bye [preauth]
+++++++++++++++++++++++++++++
Lines containing IP:11.222.33.44 in /var/log/auth.log
Nov 8 03:18:39 rockthehalo sshd[5584]: Failed password for root from 11.222.33.44 port 36745 ssh2
Nov 8 03:18:39 rockthehalo sshd[5584]: Received disconnect from 11.222.33.44: 11: Bye Bye [preauth]
Nov 8 03:25:14 rockthehalo sshd[5661]: Failed password for root from 11.222.33.44 port 41338 ssh2
Nov 8 03:25:14 rockthehalo sshd[5661]: Received disconnect from 11.222.33.44: 11: Bye Bye [preauth]
Nov 8 03:31:49 rockthehalo sshd[5722]: Failed password for root from 11.222.33.44 port 38542 ssh2
Nov 8 03:31:49 rockthehalo sshd[5722]: Received disconnect from 11.222.33.44: 11: Bye Bye [preauth]
Nov 9 03:34:13 rockthehalo sshd[29511]: Failed password for root from 11.222.33.44 port 48995 ssh2
Nov 9 03:34:13 rockthehalo sshd[29511]: Received disconnect from 11.222.33.44: 11: Bye Bye [preauth]
Nov 9 03:41:02 rockthehalo sshd[29577]: Failed password for root from 11.222.33.44 port 37834 ssh2
Nov 9 03:41:02 rockthehalo sshd[29577]: Received disconnect from 11.222.33.44: 11: Bye Bye [preauth]
Nov 9 03:47:49 rockthehalo sshd[29645]: Failed password for root from 11.222.33.44 port 34331 ssh2
Nov 9 03:47:49 rockthehalo sshd[29645]: Received disconnect from 11.222.33.44: 11: Bye Bye [preauth]
++++++++++++++++++++++++++++
Lines containing IP:11.222.33.44 in /var/log/auth.log
Nov 8 03:18:39 rockthehalo sshd[5584]: Failed password for root from 11.222.33.44 port 36745 ssh2
Nov 8 03:18:39 rockthehalo sshd[5584]: Received disconnect from 11.222.33.44: 11: Bye Bye [preauth]
Nov 8 03:25:14 rockthehalo sshd[5661]: Failed password for root from 11.222.33.44 port 41338 ssh2
Nov 8 03:25:14 rockthehalo sshd[5661]: Received disconnect from 11.222.33.44: 11: Bye Bye [preauth]
Nov 8 03:31:49 rockthehalo sshd[5722]: Failed password for root from 11.222.33.44 port 38542 ssh2
Nov 8 03:31:49 rockthehalo sshd[5722]: Received disconnect from 11.222.33.44: 11: Bye Bye [preauth]
Nov 9 03:34:13 rockthehalo sshd[29511]: Failed password for root from 11.222.33.44 port 48995 ssh2
Nov 9 03:34:13 rockthehalo sshd[29511]: Received disconnect from 11.222.33.44: 11: Bye Bye [preauth]
Nov 9 03:41:02 rockthehalo sshd[29577]: Failed password for root from 11.222.33.44 port 37834 ssh2
Nov 9 03:41:02 rockthehalo sshd[29577]: Received disconnect from 11.222.33.44: 11: Bye Bye [preauth]
Nov 9 03:47:49 rockthehalo sshd[29645]: Failed password for root from 11.222.33.44 port 34331 ssh2
Nov 9 03:47:49 rockthehalo sshd[29645]: Received disconnect from 11.222.33.44: 11: Bye Bye [preauth]
Nov 10 03:50:13 rockthehalo sshd[18522]: Failed password for root from 11.222.33.44 port 59071 ssh2
Nov 10 03:50:14 rockthehalo sshd[18522]: Received disconnect from 11.222.33.44: 11: Bye Bye [preauth]
Nov 10 03:57:01 rockthehalo sshd[18592]: Failed password for root from 11.222.33.44 port 38490 ssh2
Nov 10 03:57:01 rockthehalo sshd[18592]: Received disconnect from 11.222.33.44: 11: Bye Bye [preauth]
Nov 10 04:03:49 rockthehalo sshd[18645]: Failed password for root from 11.222.33.44 port 36164 ssh2
Nov 10 04:03:49 rockthehalo sshd[18645]: Received disconnect from 11.222.33.44: 11: Bye Bye [preauth]
Es wurde ein Frist von 3 Tagen gesetzt um "angemessen zu reagieren". Der Lieferant des Logauszuges wurde uns nicht genannt und ein Kontakt mit der Abuse Abteilung des Providers sieht so aus, das man nur Mails schicken kann, die aber jetzt bereits 1,5 Tage unbeantwortet bleiben. Telefonisch den Technischen Support erreicht und der sagte nur, das wir ja mehr wüssten wie der Support selbst und man nur ein Ticket an die Abuse Abteilung stellen könne, das die sich bei uns nochmal melden...
Der Root läuft seit 3 Jahren ohne Probleme. Es ist ein Root von Strato mit Opensuse und Plesk drauf. Auf den fraglichen Domains laufen u.a. Wordpress, vbulletin, Appgini, Xenforo Systeme Die Wordpress, vbulletin Systeme sind auf aktuellem Stand, von XenForo sind mir keine Sicherheitslücken mit den laufenden Versionen bekannt und Appgini ist eine Datenbanksoftware.
Kann jemand einen Tipp geben wo man mit der Suche nach einem Script auf einem Rootserver sinnvoll anfangen könnte?
Wir wollten Ende des Jahres sowieso auf einen managed Server umsteigen, aber ein Umstieg ohne das Leck gefunden zu haben wird ja auch nicht viel bringen. Wir wären für jeden Tipp dankbar.
Grüße
Last edited by a moderator: