|
Anmeldungsdatum: Beiträge: 78 |
Hallo, ich habe eine Warnung von Hetzner bekommen, dass mein Server dort DOS-Attacken versendet. Beim Nachsehen habe ich nun zwei verdächtige Prozesse gefunden. Der erste nennt sich vpnzgghihkkx, der zweite tbvedgfeeh. Diese deuten auf Malware hin. Wie kann ich nun rausfinden, um welche Malware es sich handelt? Hetzner hat die Verbindung zum Netz gekappt, so dass ich keine Anti-Virus-Software nachladen kann. Ich muss das Ding also irgendwie manuell entfernen. |
||
|
Anmeldungsdatum: Beiträge: 12067 |
Ich würde das System lieber frisch aufsetzen und auch nichts rüberkopieren, was ausführbar ist. Im besten Fall ist der Angriff nicht so lange her, und du hast noch ein Backup, welches sich wiederherstellen lässt. Selbst wenn du die beiden Schädlinge entfernst, weißt du nicht, welche Lücken sie gerissen haben... Die betroffenen Partitionen würde ich mir wohl zwecks Analyse in eine ISO packen... muss ja ne Lücke gegeben haben, die beim nächsten Server nicht drin sein sollte. Viel Erfolg bei der Suche auf jeden Fall!!! |
||
|
Anmeldungsdatum: Beiträge: 29240 Wohnort: Germany |
Google nach dem Namen? Datei auf Onlinevirenscanner hochladen?
Live-DVD (ISO-Datei) mit Virenscanner starten? Du wirst sowieso:
|
||
Anmeldungsdatum: Beiträge: 833 |
Naja, der Tipp "goggle nach dem Namen" ist ja nicht gerade hochwertig, fast schon "niederbittig". Zumal man mit dem 1. "Wort" vpn... was findet? Genau den Thread hier. "ISO ziehen" (wie auch immer das exakt geht) ist da schon mal eher ne Idee. Konkret würde ich zuerst mal alle log-Files möglichst bald sichern, um sie dann in Ruhe analysieren zu können. Dienste / Installationen müssen ihre Spuren hinterlassen. Btw: wenn die Verbindung gekappt ist, wie hast Du dann Zugriff? Die "Aktion Bundestag" (platt machen, Start bei Null) kannste immer noch machen, zuerst sollte aber doch eher Analyse und Reparatur angesagt sein. |
||
Anmeldungsdatum: Beiträge: 965 Wohnort: Österreich |
Eine Analyse ist gut/wichtig. Gerne auch auf einer Kopie vom System damit deine Dienste möglichst bald wieder erreichbar sind. Aber von einer Reparatur würde ich abraten. Am besten eine saubere Neuinstallation machen um keine Reste zu übersehen. |
||
|
Anmeldungsdatum: Beiträge: 12067 |
Das geht mit dd:
Das mit dem Image hat den Vorteil, dass der neu aufgesetzte Server weiter laufen kann, aber man seine Partitionen 1:1 noch hat. Diese könnte man dann in einer VM laufen lassen und offline Analyse betreiben, ohne das img zu beschädigen. Natürlich wäre es platzsparender, wenn man es komprimiert, aber ich denke man hebt das nicht für Jahre auf, sondern sucht und findet den Fehler und löscht den Kram dann. |
||
|
Anmeldungsdatum: Beiträge: 34254 |
Sag bloß, Du kennst die weltbekannte Malware "vpnzgghihkkx" und "tbvedgfeeh" nicht? Oder sollte das doch bloß zufallsgeneriert sein...
|
||
|
Anmeldungsdatum: Beiträge: 833 |
@ChickenLipsRfun2eat Merci.
Asche auf mein grindes Haupt. Hab ich beim abendlichen Lesen der Virenbildzeitung glatt überlesen. Glaube aber nicht, dass die zufällig generiert wurden. Das war bestimmt Absicht... Jetzt mal ernsthaft: was aber soll die konkrete Aktion hinter der plakativen Aussage
denn nun sein? Immer die Neuinstallations-Keule kann wohl kaum die Lösung sein. Klar, wenn es für den konkreten Fall das einfachste ist, dann ja. Der TE hat ja nicht gerade mannigfaltige Info geliefert. Nur: wenn der Zaun ein Loch hat reißt man ihn ja auch nicht gleich komplett ab. Anders gesagt: beim Arzt wird ja auch nicht immer sofort die Reinkarnation als ultima ratio verordnet. Also: will soll er nach der Ursache suchen? Das war die konkrete Frage. Deine Empfehlung wäre dann was? |
||
|
Anmeldungsdatum: Beiträge: 34254 |
Das ist die einzige saubere Lösung. Hier geht es um ein verseuchtes System, nicht um irgendein anderes Problem. |
||
|
Anmeldungsdatum: Beiträge: 833 |
Sorry, das ist ja wohl keine Begründung "das ist so". Es ist eine mögliche Lösung. Den Fehler/Saboteur zu finden und zu eliminieren ist eine weitere. Bietet darüber hinaus ja auch die Chance die wahre Ursache zu finden, um sie in Zukunft zu vermeiden. Und das es um ein verseuchtes System geht: stand ja da. Ich bezweifele, dass es belastbare Aussagen / Studien zu dem Thema gibt (.. die z.B. Aussagen der Art "von x korrumpierten Systemen konnten y erfolgreich repariert werden.." liefern). Vllt. sollte der TE zweigleisig fahren: a) ISO sichern b) neu aufsetzen c) Sicherung aus a) analysieren (sonst sieht man sich hier bald wieder) Wieso hat sich noch keiner über die Aussage
gewundert: was ist damit gemeint (er wird ja wohl kaum auf Win-Schad-SW unter Linux prüfen wollen...)? |
||
|
Ehemalige
Anmeldungsdatum: Beiträge: 12335 Wohnort: Berlin |
Wir sprechen von einem Server. Der muss online erreichbar sein und soll möglichst wenig Auszeit haben. Es muss also schnell gehen das System wieder in einen brauchbaren Zustand zu bringen. ▶ Neuinstallation, hoffentlich mit besseren Sicherheitseinstellungen.
Richtig. Und soweit ich das sehe wurde das auch so hier im Forum vorgeschlagen. Die Analyse was überhaupt passiert ist, wie die Angreifer auf das System gekommen sind und was sie sonst gemacht haben sollte man in Ruhe und vor allem in einer sicheren Umgebung (virtualbox, oder ähnliches) offline machen. Den Server offline zu nehmen bis die Analyse abgeschlossen ist kann aber auch nicht die Lösung sein und in der Zwischenzeit muss das System als kompromittiert gelten. Wir wissen nicht was die Angreifer wo am System geändert haben, das heraus zu finden und die Änderungen rückgängig zu machen würde lange dauern in dieser Zeit ist der Server nicht nutzbar. Und wir wüssten nie sicher ob wir wirklich alles erwischt haben. Der einzig schnelle und garantierte Weg zu einem sauberen System ist in dem Fall tatsächlich die Neuinstallation. ~jug |
||
|
Anmeldungsdatum: Beiträge: 167 Wohnort: Dresden |
Hab ich es überlesen, oder fehlt die Angabe tatsächlich? Um welche Art von Server handelt es sich? Wo liegt die Malware? Handelt es sich um einen Webserver und die Schädlinge liegen im Document root eines Kunden, würde ich schwerlich den Server plattmachen. |
||
|
Anmeldungsdatum: Beiträge: 29240 Wohnort: Germany |
Das ist immer Schritt 1 - und viele Nutzer lassen den schon aus. Das Thema hier wurde auch erst jetzt gefunden, vorhin noch gar nix. Aber um die Nutzer mal drauf zu stupsen, dass man auch "Zufallsnamen" durchaus mal suchen kann und nicht selten doch was findet, darauf kommt es immer wieder mal an. War auch wohlweislich nur einer von fünf Hinweisen - und zwar das Erste, was man tut. Vielleicht sollte man auch die anderen Hinweise beachten und natürlich auch die anderer Nutzer. Edit: Man könnte auch glatt auf die verrückte Idee kommen, den Namen auf dem System zu finden und die Datei zu öffnen, um weitere brauchbare Hinweise zu finden, was es macht oder Teile davon, die man nicht versteht oder die irgendwie Fingerprint-mäßig aussehen ("H4ckor looolz"/ bestimmte Befehle mit seltsamen/ eindeutigen Optionen/ Parametern) mal zu googeln, also logischerweise nicht nur den Namen...aber das Denken scheint hier ja schnell aufzuhören, wenn man nicht jeden Schritt vorkaut und in einem Roman ergießt. 😉 Eigentlich selbstverständlich, dass man Namen googelt, die Dateien öffnet (auch wenn man was in Google findet, ansonsten sowieso) usw. ... Drum bring ich das auch so kurz angebunden ein - sowas nervt, wenn's halt nicht gemacht oder erwähnt wird oder dann nicht einfach mal weitergedacht und weitergesucht wird (Datei suchen und Inhalt ansehen)... |
||
|
Anmeldungsdatum: Beiträge: 12067 |
Das ist aber so 😀 Das eigentliche Problem liegt darin, dass eine Malware mit (wohlmöglich noch root-)Zugriff sich auch überall anders einnisten könnte oder Kollegen mit sich bringt, deine Scripte umschreibt, vorhandene erweitert,... Man kann kaum jede Datei auf einem Server einzeln prüfen und selbst wenn sie funktioniert wie gewohnt, könnte es dennoch sein, dass es eine neu kompilierte ist, die um gewisse versteckte Funktionalitäten erweitert wurde. Es hindert dich ja keiner daran, am Quellcode rumzuspielen und deine eigenen Versionen zu kompilieren. Ebensowenig den Eindringling. Je nachdem welche Zugriffsrechte er sich ergaunern konnte, kann das unter Umständen systemweit sein. Falls er "nur" Benutzerrechte hatte, ist das natürlich eingeschränkter. Die entsprechenden Einträge könnten aus den Logs entfernt werden, usw.... Also es gäbe sicher die Möglichkeit, alles manuell zu überprüfen. Das dürfte aber Monate oder Jahre in Anspruch nehmen und man kann sich dennoch kaum sicher sein, ob man nicht etwas übersehen hat. Daher ist die einzig sinnvolle Option: neu machen und sicher sein. Das gilt nicht nur für Server, sondern generell für alle befallenen Geräte. |
||
|
Moderator, Webteam
Anmeldungsdatum: Beiträge: 5582 |
Hi, Ich empfehle diese sehr gute Lektuere auf Serverfault: https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server |
