Hallo, ich habe einen Befall mit Schadsoftware. Dieser trat auf einem Hetzner-Server auf. Das sieht wie folgt aus:
1 | -rwxr-xr-x 1 root root 625611 Oct 19 18:00 /bin/ewhnswytid |
Die Malware beteiligt sich an DDOS-Attacken gegen Fremdrechner und scheint sich an allen möglichen Stellen einzunisten. Der Dateiname ist variabel.
Der befallene Server steht bei Hetzner. Da lief zunächst die Version 16.04 LTS, bei der der Befall auftrat. Auf dem Server gab es nur drei von außen erreichbare Dienste, nämlich SSH, Samba und Openvpn. Nachdem die Schadsoftware auftrat, habe ich ein Backup des /home- und des /etc-Verzeichnisses gezogen (Je eine unkomprimierte .tar-Datei) und dann den Server mit den Hetzner-Tools neu aufgesetzt, mit der aktuellen Ubuntu-Version. Nun, 24 Stunden später ist das Problem erneut aufgetreten.
Nun, was habe ich seit der Neuinstallation gemacht: Zunächst ein apt upgrade durchgeführt, danach dann ufw installiert und aktiviert. Dann habe ich Samba und Openvpn installiert, aber noch nicht über die Firewall freigegeben. Anschließend habe ich das Zurücklesen des /home-Verzeichnisses gestartet. Dies habe ich nicht als root gemacht, sondern ich habe hierzu einen eigenen User eingerichtet, der alle Rechte im /home-Verzeichnis bekam.
Während das Zurücklesen nun lief, habe ich über eine zweite Konsole angefangen, Openvpn einzurichten. Hier ist vermutlich der Fehler passiert. Ich habe allzu naiv Dateien aus dem Backup in das /etc/openvpn-Verzeichnis kopiert. In einer steckte vermutlich irgendwo die Malware drin. Oder führt tar beim Entpacken Skripte aus, so dass irgendwo ein Rootkit hätte aktiviert werden können?
Nun aber meine Fragen:
Welche Fehlerquellen gibt es noch in dem beschriebenen Vorgehen?
Wie durchsuche ich mein Tar-Archiv? (ca. 1,5 TB groß)
Um welche Malware könnte es sich handeln? (Die mit ls -l /bin/ewhnswytid
angegebene Dateigröße von 625611 könnte ein Hinweis sein)
Bearbeitet von sebix:
Bitte verwende in Zukunft Codeblöcke, um die Übersicht im Forum zu verbessern!