Dark_Wolf
Anmeldungsdatum: 12. August 2006
Beiträge: 2596
Wohnort: Linuxland
|
Hallo Leute ☹ Ich dachte nicht das es mir mal so ergehen würde. Aber mein PC wurde gehackt. Aufgefallen ist mir das ganze durch den Portscanner "pscan2" er wurde permanent gestartet. Man konnte in killen aber Sekunden später war der Prozess wieder da. Gestartet wurde das ganze mit einem angelegten User den ich nur zu Testzwecken verwendete. Dieser User hatte keine Rootrechte. Die Adresse konnte ich nach England zurückverfolgen. Aber das war dann auch schon alles. Was soll ich jetzt machen? Ich hab natürlich ein sauberes Backup meines Systems, aber die Userdaten im Home sind nicht aktuell. Dienste die auf dem Geräte liefen: apache vdr mysqul tor polipo nxserver ssh Systemstand: Update vor ca. 1-2 Wochen. Wiest irgendwas von Sicherheitslücken? Achja, das KRASSE an der Sache: Der Hack ging über Port 22!!!!!!!!!!!!!!!!!!!!!!!
|
detructor15
Anmeldungsdatum: 16. Januar 2007
Beiträge: 5733
|
Achja, das KRASSE an der Sache: Der Hack ging über Port 22!!!!!!!!!!!!!!!!!!!!!!!
und? der kann über jeden Port kommen\^^ Zieh das Netzwerkkabel ab, mach ein backup, spiel neu auf, richte ufw ein und fertig 😉
|
Dark_Wolf
(Themenstarter)
Anmeldungsdatum: 12. August 2006
Beiträge: 2596
Wohnort: Linuxland
|
Du nimmst das locker. Hab sowas noch nie gehabt. Naja, wie ist das mit der Homepartition? Sollte ich die auch löschen? Dokumente, Movies, usw. stellt normalerweise ja kein Problem dar oder? Firewall hab ich ja mit IP-tables. Aber ne Sicherheitslücke in einem Progamm, kommt er über das rein und dann weiter über Port22. Ja, hast recht, könnte über jedes Port gekommen sein.
|
Chrissss
Anmeldungsdatum: 31. August 2005
Beiträge: 37971
|
Punkt1) Ist SSH nach aussen hin zum Internet offen? Spricht steht der Rechner nicht hinter einem Router bzw. wird Port 22 weitergeleitet? Punkt2) War tatsächlich dieser Testuser über SSH eingeloggt? Was sagt
who Punkt3) Hat dieser "Testbenutzer" ein ordentliches PW? Und nicht Login "test" und PW "test"? Wenn das der Fall sein sollte, dann hat bei dir Brain 1.0 versagt 😉 Punkt4) Benutz in Zukunft beispielsweise fail2ban oder konfiguriere SSH so, dass sich nur dein Benutzer einloggen darf, oder nur User die in der admin-Gruppe sind etc.
|
detructor15
Anmeldungsdatum: 16. Januar 2007
Beiträge: 5733
|
hmmm...wenn du ein backup der Daten hast, dann würd ich home mit plätten...ansonsten würd ich schauen das ich mir ein backup der Daten mach (sei sicher das du nur das kopierst was dir gehört, nich das der da was reingepackt hat) locker nehm ich es nicht (würd ich auch nicht), aber es lässt sich nicht mehr ändern und somit gehts um schadensbegrenzung 😉
|
adun
Anmeldungsdatum: 29. März 2005
Beiträge: 8606
|
Ich fasse mal zusammen: Du hast einem Testbenutzer, der vermutlich kein sicherer Passwort aber einen häufigen Namen wie "test" hatte, Shellzugriff (vermutlich Bash) über den sshd gegeben und wunderst dich, dass jemand das Angebot dankend angenommen hat? Dark Wolf hat geschrieben:
Was soll ich jetzt machen?
Dringend Hirn einschalten. Eine Paketfilter kann dich vor sowas nur beschützen, wenn er jede Verbindung verbietet, dass erreichst du aber auch durch simples Ziehen des Netzwerkkabels. Hast du noch andere Spirenzchen am Laufen auf die der Testbenutzer schreibend zugreifen konnte? Wenn nicht, geh deine Daten genau durch und hoffe, dass sie nicht kompromittiert wurden. Alle persönlichen Daten auf dem Rechner kannst du zukünftig als weltweit bekannt betrachten. Wird dir hoffentlich eine Lehre sein. Darüber hinaus kannst du Anzeige erstatten. Dafür wirst du aber vermutlich die Beweismittel abgegeben müssen und ob das was bringt darf bezweifelt werden.
|
Dark_Wolf
(Themenstarter)
Anmeldungsdatum: 12. August 2006
Beiträge: 2596
Wohnort: Linuxland
|
Tjo, na dann werd ich mal Hirn einschalten. Ich werd mal das Backup zurückspielen, Home werde ich wohl komplett löschen, die Daten einzeln rauskopieren, und den Rest den ich nicht brauche auch löschen. Und alles besser konfigurieren. Na, dann hab ich wohl ne Menge Arbeit vor mir. Kann ich irgendwo den Netzwerktraffic der vergangenen 24 Stunden abfragen? In diesem Zeitraum dürfte herum gewühlt worden sein. Dann kann ich ungefähr abschätzen wie viel Daten das kopiert worden sind. Chrissss fail2ban ist ne feine Sache, werd ich sicher einbauen.
|
Chrissss
Anmeldungsdatum: 31. August 2005
Beiträge: 37971
|
Kann ich irgendwo den Netzwerktraffic der vergangenen 24 Stunden abfragen?
Beim BND 😀 😉 Nein, über
$ ifconfig
...
eth0 Protokoll:Ethernet Hardware Adresse 00:30:1B:BA:40:2F
inet Adresse:172.23.68.192 Bcast:172.23.79.255 Maske:255.255.240.0
inet6 Adresse: fe80::230:1bff:feba:402f/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:35836740 errors:0 dropped:0 overruns:0 frame:0
TX packets:25031595 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:4013055453 (3.7 GB) TX bytes:21585665406 (20.1 GB)
Interrupt:16 kannst du sehen, was seit dem *hochfahren* der Netzwerkschnittestelle übertragen wurde, also üblicherweise seit dem letzten Neustart.
|
Dark_Wolf
(Themenstarter)
Anmeldungsdatum: 12. August 2006
Beiträge: 2596
Wohnort: Linuxland
|
Hallo Leute Ich dank euch mal allen für eure Anworten. Ich muß zugeben ich sehe es irgendwie nicht negativ. Ich hab was dabei gelernt und werde auch bei der Realisierung von meinem Sicherheitskonzept noch ne Menge lernen. Aber ich hoffe das bleibt ein Einzelfall. Wenn ich dann alles so schön richtig paranoid abgesichert habe, meld ich ich wieder hier. ☺ MFG Dark Wolf
|
otzenpunk
Anmeldungsdatum: 17. Oktober 2005
Beiträge: 8691
Wohnort: Hamburg-Altona
|
Fail2ban hat auch keine astreine Sicherheitsvorgeschichte: http://www.ossec.net/en/attacking-loganalysis.html Für den Heimgebrauch meiner Meinung nach ein Sinnlos-Tool. So klein sind die Festplatten heute nicht mehr, dass man auf die Größe der Logdateien achten muss. Ein Account, der ein so schwaches Passwort hat, dass er über eine Brute-Force-Attacke geknackt werden kann, ist das eigentliche Problem, und Fail2ban ändert daran nichts. Wenn man Admin an einer Uni oder sonstwo ist, wo Benutzer regelmäßig den Namen ihres Kuscheltiers als Passwort nehmen, und andere versuchen das dann zu erraten, mag das als Teil von "Defense-in-Depth" sinnvoll sein, für einen SOHO-Rechner sollte man dagegen in der sshd_config AllowUsers/AllowGroups setzen und vernünftige Passwörter oder - noch besser - Public-Keys verwenden, und kann dann entspannt zusehen, wie irgendwelche Chinesen oder Russen sich die Zähne ausbeißen.
|
pepre
Supporter
Anmeldungsdatum: 31. Oktober 2005
Beiträge: 6466
Wohnort: Erlangen
|
Was die üblichen ssh-Attacken auch wirkungsvoll blockt (und das Log sauberhält): iptables -A INPUT -p tcp --dport 22 -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j DROP Wenn der Account natürlich mit User = test und Passwort = test angelegt wurde, dann hilft das auch nix. 😈
|
otzenpunk
Anmeldungsdatum: 17. Oktober 2005
Beiträge: 8691
Wohnort: Hamburg-Altona
|
pepre hat geschrieben: Was die üblichen ssh-Attacken auch wirkungsvoll blockt (und das Log sauberhält): iptables -A INPUT -p tcp --dport 22 -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j DROP
Auch das könnte, wenn ich da nichts übersehe, für eine DoS-Attacke genutzt werden. Da alle Pakete an Port 22 gezählt werden, ist kein kompletter TCP-Handshake notwendig, um die Regel zu triggern. Das macht es trivial, die Quell-IP zu spoofen.
|
otzenpunk
Anmeldungsdatum: 17. Oktober 2005
Beiträge: 8691
Wohnort: Hamburg-Altona
|
Wo wir das Thema gerade hatten. Auf der Sicherheits-Mailingliste incidents@securityfocus.com wird z.Zt. von einem massiven, botnetz-gestützten SSH-Brute-Force-Angriff berichtet. Jeder Zombie probiert dabei auf jedem Ziel nur einen Login aus. Gleichzeitig koordinieren sich die Bots darüber, an welcher Stelle im Dictionary man bei welchem Zielhost bereits angelangt ist. Das macht Tools wie Fail2ban oder auch iptables-recent komplett unwirksam.
|
Phaeilo
Anmeldungsdatum: 25. August 2006
Beiträge: 188
Wohnort: Texas
|
otzenpunk hat geschrieben: Wo wir das Thema gerade hatten. Auf der Sicherheits-Mailingliste incidents@securityfocus.com wird z.Zt. von einem massiven, botnetz-gestützten SSH-Brute-Force-Angriff berichtet. Jeder Zombie probiert dabei auf jedem Ziel nur einen Login aus. Gleichzeitig koordinieren sich die Bots darüber, an welcher Stelle im Dictionary man bei welchem Zielhost bereits angelangt ist. Das macht Tools wie Fail2ban oder auch iptables-recent komplett unwirksam.
Wow, das klingt sehr interessant sind dadurch nur Passwoerter betroffen, oder kann ich die einfach ausstellen und nur noch mit Keys arbeiten?
|
otzenpunk
Anmeldungsdatum: 17. Oktober 2005
Beiträge: 8691
Wohnort: Hamburg-Altona
|
Phaeilo hat geschrieben: Wow, das klingt sehr interessant sind dadurch nur Passwoerter betroffen, oder kann ich die einfach ausstellen und nur noch mit Keys arbeiten?
Davon sind natürlich ebenfalls nur Passwörter betroffen, und zwar die einfach zu erratenden, genau wie bei herkömmlichen Brute-Force-Attacken. Der Unterschied ist nur, dass nicht ein einziger Angriffsrechner die 1000 Login-Versuche ausführt (bzw. nach einem Dutzend Versuche ausgesperrt wird), sondern dass die Versuche ständig von anderen IPs kommen. Deaktiveren der Passwörter und ausschließliches Nutzen von Public-Keys schützt davor natürlich. Ebenso, wenn man vernünftige Passwörter wie 24fr2r"§2§R2fb3 verwendet.
|