Server-Einbruch

Puh, das sah/sieht nicht nett aus: Gestern Abend habe ich mich mit dem root-Account auf meinem Server eingeloggt, und zufällig durch das Scrollen durch die Liste der zuletzt unter diesem Account ausgeführten Shell-Befehle eine ganze Reihe gefunden, die definitiv nicht von mir stammen – irgendjemand hat sich also meines Servers bemächtigt und dort Sachen gemacht, die er dort definitiv nicht tun sollte.

Nach dem, was ich bisher an Spuren auf dem Server finden konnte, wurde

  • zunächst mit einem eigentlich reinen FTP-Benutzer ohne Shell ein Password-Cracker in einen versteckten Ordner unter /usr/share/man installiert, zumindest was den Besitzer der Dateien angeht,
  • von dort aus der Password-Cracker mit dem root-Benutzer gestartet,
  • und – was die eigenen Logfiles des Password-Crackers nahelegen – von meinem Server aus versucht, in weitere Server – u.a. in den dort auf Port 10000 liegenden Webmin – einzudringen.
  • Das ganze, zumindest die Logins, geschah über einen längeren Zeitraum als meine Logfiles reichen und ging von einem Server in Bukarest/Rumänien aus, wobei die Logfiles des Password-Crackers alle auf den letzten Freitag datieren.
  • Für weitere Aktivitäten konnte ich keine Anhaltspunkte finden, auszuschließen ist aber natürlich nichts, aber auch ist der Gesamt-Netzwerk-Traffic des Servers in letzter Zeit nicht merklich angestiegen.

Zunächst habe ich nun natürlich einmal den direkten root-Login ebenso wie den FTP-Server deaktiviert, sämtliche bekannte Erkennungssoftware für Schadprogramme wie clamav, chkrootkit oder rkhunter laufen lassen, und zusätzlich OSSEC installiert, das mich seitdem permanent informiert, sobald irgendwas verdächtiges auf dem Server passiert, und sämtliche Passwörter und Keys geändert, und ich erwäge ernsthaft, das System komplett neu aufzusetzen, wie das in solchen Fällen immer empfohlen wird.

Trotzdem bleibt natürlich die Frage, wie die Jungs überhaupt trotz ständig aktueller Serversoftware und relativ starken Passwörtern auf allen Accounts in das System hineingekommen sind, und bevor die Schwachstelle nicht entdeckt ist, lohnt natürlich auch das neue System nicht, da die Schwachstelle bspw. in irgendeinem PHP-Skript o.ä. noch immer vorhanden ist.

Vorerst werde ich mal sehr genau beobachten, was auf dem Server so alles passiert, aber vielleicht hat noch jemand weitere Ideen?

3 Antworten Subscribe to comments


  1. marco

    Sag mal: Benutzt du immer noch „currywurst“ als Passwort?

    18.08.2008 @ 23:20


  2. Johannes

    Boah verdammt, mußtest du hier jetzt unbedingt das root-Passwort veröffentlichen?

    Für Nonsense-Registrierungen ist die gute alte Currywurst aber durchaus noch in Betrieb… ;-)

    18.08.2008 @ 23:34


  3. Chris

    Wieso Currywurst? Das war doch längst Krakauer-2008 oder? Das wars zumindest, was ich dem Rumänen am Telefon neulich erzählt hatte. Man, der klang ja so vertrauensvoll….

    19.08.2008 @ 10:41


Archiv
Kategorien
Suche