lhc
Anmeldungsdatum: 22. November 2017
Beiträge: Zähle...
|
Hallo, ich habe einen vserver angemietet und dort Ubuntu-Server installiert sowie die grundlegende Konfiguration mit Apache und mysql.
Bei den Installationen und habe ich mich an diverse Anleitungen von hier gehalten. Ziel ist es hier einen Test-Webserver zu haben. Nun ist es so, dass der Server seit heute unzählige SSH-Verbindungen aufmachen probiert - diverse IP-Adressen, immer Standard-Port 22 und diverse Standard-Benutzer.
Also habe ich hier einen Zombie, der auf SSH abzielt... 😢 Grundsätzlich wird das System gleich neuinstalliert, ich würde aber gerne wissen was da abläuft und wie ich mir das eingefangen habe... nur weiß ich im Moment nicht wo ich wie da anfangen soll... Vielen Dank für Eure Hinweise! System: Ubuntu 16.04.3 LTS minimal
|
verdooft
Anmeldungsdatum: 15. September 2012
Beiträge: 4015
|
Schau mal in die auth.log. Versuchen sich da andere per ssh bei deinem Server anzumelden? Das ist normal. Loggst du dich da noch mittels User und Passwort ein, oder schon mit Public Key Verfahren? Wenn man trotzdem die vielen Fehlversuche etwas eindämmen möchte, kann man den Port wechseln und/oder fail2ban verwenden.
|
Into_the_Pit
Ehemalige
Anmeldungsdatum: 25. Juni 2008
Beiträge: 9490
Wohnort: Bochum
|
lhc schrieb: Nun ist es so, dass der Server seit heute unzählige SSH-Verbindungen aufmachen probiert - diverse IP-Adressen, immer Standard-Port 22 und diverse Standard-Benutzer.
Also habe ich hier einen Zombie, der auf SSH abzielt... 😢
Willkommen im Internet mit einem Server. Das ist völlig normal und - sofern Du Dein SSH richtig abgesichert hast - auch weniger kritisch. Du kannst z.B. Dienste wie fail2ban nutzen oder auch mit iptables arbeiten, je nach Geschmack.
Ziel ist es hier einen Test-Webserver zu haben
Sinnvoller ist es, besonders mit weniger Erfahrung bei der Administration eines Servers, das ganze in einer VM oder Container (LXD, Docker,…) zu installieren. Selbst lokal auf dem eigenen Rechner würde funktionieren.
|
lhc
(Themenstarter)
Anmeldungsdatum: 22. November 2017
Beiträge: 5
|
Hallo, danke für die Antworten.
Ich glaube, ich habe mich nicht ganz korrekt ausgedrückt:
das diverse Anfragen auf SSH kommen können ist mir bewusst und klar, aber so wie es ausschaut ist meine eigene Maschine der Zombie, der bei anderen Rechner mal anklopft... auth.log zeigt auch genau das an...
|
lhc
(Themenstarter)
Anmeldungsdatum: 22. November 2017
Beiträge: 5
|
Hallo, vielleicht noch hilfreich auszugsweise das Protokoll des Hosters, wobei die src_ip mein Server ist... time protocol src_ip src_port dest_ip dest_port
---------------------------------------------------------------------------
Wed Nov 22 16:16:07 2017 TCP 94.xxx.xxx.xxx 49246 => 9.xxx.xxx.249 22
Wed Nov 22 16:16:08 2017 TCP 94.xxx.xxx.xxx 49246 => 9.xxx.xxx.249 22
Wed Nov 22 16:16:10 2017 TCP 94.xxx.xxx.xxx 49246 => 9.xxx.xxx.249 22
Wed Nov 22 16:16:15 2017 TCP 94.xxx.xxx.xxx 49246 => 9.xxx.xxx.249 22
Wed Nov 22 16:16:23 2017 TCP 94.xxx.xxx.xxx 49246 => 9.xxx.xxx.249 22
Wed Nov 22 16:17:40 2017 TCP 94.xxx.xxx.xxx 47870 => 9.xxx.xxx.95 22
Wed Nov 22 16:17:41 2017 TCP 94.xxx.xxx.xxx 47870 => 9.xxx.xxx.95 22
Wed Nov 22 16:17:43 2017 TCP 94.xxx.xxx.xxx 47870 => 9.xxx.xxx.95 22
Wed Nov 22 16:17:47 2017 TCP 94.xxx.xxx.xxx 47870 => 9.xxx.xxx.95 22
Wed Nov 22 16:17:55 2017 TCP 94.xxx.xxx.xxx 47870 => 9.xxx.xxx.95 22
Code
|
Into_the_Pit
Ehemalige
Anmeldungsdatum: 25. Juni 2008
Beiträge: 9490
Wohnort: Bochum
|
lhc schrieb: aber so wie es ausschaut ist meine eigene Maschine der Zombie, der bei anderen Rechner mal anklopft...
Dann schau mal nach, was da alles läuft und warum Dein Server unbedingt per SSH raus möchte. Hierfür kannst Du z.B. mit iptables arbeiten
-A OUTPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 15/min -j LOG --log-uid
Erstellt Dir entsprechende Einträge im Log, z.B.
Nov 22 17:32:52 icinga2 kernel: [1916442.421644] IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=9579 DF PROTO=TCP SPT=53100 DPT=22 WINDOW=43690 RES=0x00 SYN URGP=0 UID=113 GID=118
Ansonsten wäre es ratsam den Server vom Netz zu nehmen.
|
lhc
(Themenstarter)
Anmeldungsdatum: 22. November 2017
Beiträge: 5
|
Hallo Into_the_Pit, ich habe via iptables nun ausgehenden Verkehr zu Port 22 komplett abgedreht, aber auch noch das log aktiviert (entsprechend Deiner Vorgabe). Im Moment ist's ruhig, aber mal abwarten.
Mein eigener Test (ob die Regel greift) wurde aufgezeichnet und entsprechend blockiert - hier das log dazu:
Nov 22 17:53:40 Ubuntu-1604-xenial-64-minimal kernel: [ 3572.081012] IN= OUT=eth0 SRC=172.31.1.100 DST=205.166.94.17 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=35817 DF PROTO=TCP SPT=42880 DPT=22 WINDOW=29200 RES=0x00 SYN URGP=0 UID=0 GID=0
Nov 22 17:53:41 Ubuntu-1604-xenial-64-minimal kernel: [ 3573.107413] IN= OUT=eth0 SRC=172.31.1.100 DST=205.166.94.17 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=35818 DF PROTO=TCP SPT=42880 DPT=22 WINDOW=29200 RES=0x00 SYN URGP=0 UID=0 GID=0
Nov 22 17:53:41 Ubuntu-1604-xenial-64-minimal kernel: [ 3573.107736] IN= OUT=eth0 SRC=172.31.1.100 DST=205.166.94.6 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=282 DF PROTO=TCP SPT=34684 DPT=22 WINDOW=29200 RES=0x00 SYN URGP=0 UID=0 GID=0
Nov 22 17:53:42 Ubuntu-1604-xenial-64-minimal kernel: [ 3574.131384] IN= OUT=eth0 SRC=172.31.1.100 DST=205.166.94.6 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=283 DF PROTO=TCP SPT=34684 DPT=22 WINDOW=29200 RES=0x00 SYN URGP=0 UID=0 GID=0
Nov 22 17:53:42 Ubuntu-1604-xenial-64-minimal kernel: [ 3574.131682] IN= OUT=eth0 SRC=172.31.1.100 DST=205.166.94.9 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=13593 DF PROTO=TCP SPT=57428 DPT=22 WINDOW=29200 RES=0x00 SYN URGP=0 UID=0 GID=0
Nov 22 17:53:44 Ubuntu-1604-xenial-64-minimal kernel: [ 3576.179371] IN= OUT=eth0 SRC=172.31.1.100 DST=205.166.94.15 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=32900 DF PROTO=TCP SPT=47646 DPT=22 WINDOW=29200 RES=0x00 SYN URGP=0 UID=0 GID=0 Ich bin mir nicht sicher, was ich da rauslesen könnte...
Der Server wird sowieso neu aufgesetzt, mir ist nur wichtig, dass ich verstehe was hier abläuft (man will ja auch was lernen...) Danke!
|
chilidude
Anmeldungsdatum: 18. Februar 2010
Beiträge: 867
|
Into_the_Pit schrieb: lhc schrieb: aber so wie es ausschaut ist meine eigene Maschine der Zombie, der bei anderen Rechner mal anklopft...
Dann schau mal nach, was da alles läuft und warum Dein Server unbedingt per SSH raus möchte. Hierfür kannst Du z.B. mit iptables arbeiten
-A OUTPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 15/min -j LOG --log-uid
Erstellt Dir entsprechende Einträge im Log, z.B.
Nov 22 17:32:52 icinga2 kernel: [1916442.421644] IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=9579 DF PROTO=TCP SPT=53100 DPT=22 WINDOW=43690 RES=0x00 SYN URGP=0 UID=113 GID=118
Ansonsten wäre es ratsam den Server vom Netz zu nehmen.
Warum so kompliziert? netstat -taupe
liefert alles was man braucht. (Um die uid zu sehen muss es allerdings unter root gestartet werden.)
|
TheDarkRose
Anmeldungsdatum: 28. Juli 2010
Beiträge: 3459
|
Richtige Lösung: kündigen!
|
lhc
(Themenstarter)
Anmeldungsdatum: 22. November 2017
Beiträge: 5
|
Hallo, @DarkHorse: ? So, Lösung gefunden... 😢 (netstat -taupe hat mich in die richtige Richtung geführt)
es gab einen Prozess unter /tmp, welcher den ungewünschten Traffic erzeugte. Grundlegende Ursache war, dass die Webseiten-Bastler einen zusätzlichen Benutzer angelegt haben - grundsätzlich nicht schlimm, aber die Username/Passwort-Kombination ubuntu & ubuntu auf einem Ubuntu-System sowie sudo-rechte und ssh-login ist dann doch zu viel des Guten... Sechs Stunden nach Anlage des users hatte ich schon den ersten fremden Login am System 😢 Also, wieder was gelernt und System platt machen. Danke für Eure Rückmeldungen!
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5334
|
lhc schrieb: @DarkHorse: ?
Kompromittierte Server gehoeren abgedreht, was du eh gemacht hast/vorhast: Also, wieder was gelernt und System platt machen.
Da man nie weiss, was der/die Angreifer sonst noch gemacht hat.
|