Login


 
Newsletter
Werbung

Thema: SSHd-Spam-Exploit befällt Webmaster-Server

17 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von Bernd Stein am Do, 21. Februar 2013 um 14:59 #

k.t.

0
Von Lord_Pinhead am Do, 21. Februar 2013 um 15:21 #

Das liegt nicht am SSHd, bitte um Richtigstellung. Im Verlinkten Webmaster Forum wird gesagt das die Workstation einen Trojaner installiert hatten und die Logindaten (Passwort oder Keys) gestohlen wurden.

Sollte jemand hier betroffen sein, Workstation neu aufziehen und Passwörter und Keys komplett tauschen.

  • 1
    Von .,-,-,-,-,.-,.-,.-, am Do, 21. Februar 2013 um 15:55 #

    Man findet bisher u.a. bei Red Hat und Suse nichts über irgendeine entsprechend ausnutzbare Sicherheitslücke.

    Nach der Lektüre dieses Webmaster-Forums ist man auch nicht viel schlauer.

    Es klingt eher danach, dass hier zu viele unerfahrene Leute Server betreiben, wofür auch der anscheinend häufigere Befall von CentOS und Debian spricht. Auch in Debianforen gibt es manchmal Nutzeranfragen wegen gehackter Webserver, deren Betreiber oder "Mieter" in der nachfolgenden Diskussion ein grauenhaftes Nichtwissen offenbaren. Meist endet die Diskussion damit, dass man den Betroffenen vorschlagen muss, keine Server an unsicheren, öffentlichen Netzwerken zu betreiben.

    • 2
      Von Lord_Pinhead am Fr, 22. Februar 2013 um 07:43 #

      Dein Wort in Gottes Ohr wie es so schön heißt.
      Debian ist nun weißgott kein Anfänger Linux, aber es ist weit verbreitet, bringt guten Support mit, läuft stabil und hat eine große Softwareauswahl. Ich nutze auf meinen Servern selbst nur Debian, und wenn man sich nicht auf die Webkonfig Oberflächen verlässt, sondern mit solidem Grundwissen die Kiste betreibt passiert auch nix.

      Aber wie gesagt, da teile ich deine Meinung das der Rootkit/Trojaner eher auf Servern mit schlecht gesicherten Apachen bzw. unsicheren PHP Scripten verteilt wurde. Nichts was einen Erfahrenen Admin nun graue Haar bereiten muss.
      Soetwas läuft in meine Logs unter Hintergrundrauschen ;)

      • 1
        Von .-,.-,.-,.-,.-,.-, am Fr, 22. Februar 2013 um 21:26 #

        Als ich das bisschen Text oben geschrieben habe, hatte ich ein Posting wie das folgende vor Augen:
        http://debianforum.de/forum/viewtopic.php?f=8&t=54412

        Ich zitiere:
        "Hallo,
        ich bin ein Noob auf dem Gebiet Linux und mein Root Server wurde scheinbar von Jemanden gehackt und Flooding Tools darauf installiert.
        Sodaß ich von meinem Provider folgende Mail bekam: (...)"

        Genau daran denke ich immer, wenn ich etwas von "Webserver-Admins" oder "Webmaster-Server" lese.

        • 1
          Von Markus B. am Sa, 23. Februar 2013 um 03:16 #

          Der schönste Satz in genanntem Posting:

          Außerdem hat mein Provider mir geraten regelmäßig Updates für mein Betriebssystem einzuspielen aber ich habe leider absolut keine Ahnung wie ich das machen soll bzw. woher ich diese Updates überhaupt bekomme.

0
Von dertisch17 am Do, 21. Februar 2013 um 20:10 #

Also wenn in meinen Server eingebrochen wird, dann werde ich bestimmt nicht die Links zurücksetzen und dann weiter machen wie bisher. So viel Profi, dass ich wirklich ausschließen kann, dass der Eindringling nicht woanders noch Spuren hinterlassen hat, ist wohl kaum jemand. Ich würde ihn komplett neu aufsetzen. Oder wie sehen die anderen das?

  • 0
    Von ups am Do, 21. Februar 2013 um 20:31 #

    Egal wieviel Profi man ist, es ist immer sicherer und billiger den Server nochmal aufzusetzen als jede Datei zu checken, nach versteckten Prozessen und auffälligen Verhalten im Netz zu suchen.

    Also Image und letztes Backup zurückspielen und nach einer Stunde denkt keiner mehr dran ... äh' doch, die Ursache sollte gefunden werden, sonst macht man das dann jeden Tag ;-)

    -> System härten, Intrusion detecten aufsetzen etc...

    1
    Von Spochtl am Fr, 22. Februar 2013 um 07:58 #

    Nicht immer trifft es Anfänger, auch unachtsamkeit und bequemlichkeit können treffen.
    Zu meiner Schande muss ich gestehen, das in 14 Jahren einmal ein Einbruch stattfand als ich in den Urlaub gefahren bin. Ich war so frei und hab einen Cronjob hinterlegt -> "apt-get update && apt-get -y upgrade", was mir meine httpd.conf vom Apachen und php.ini von der PHP Installation zurückgesetzt hat. Prima, kein Chroot mehr, kein CGI mit einzelnen Nutzern, alle PHP Funktionen wieder verfügbar... Kurzum alle Sicherungen wurden mit der Standarddatei des Paketes überschrieben. 2 Tage danach hat ein Bot das System übernommen.

    Nach meinem Urlaub hab ich es gemerkt, die Forensische Analyse gestartet und gelacht. Der "Hacker" wollte den ProFPTD austauschen, ist am Kompilieren gescheitert, das umkonfigurieren der installierten Variante hat er vermasselt, alle Uploads und Downloads seine Warezfreunde wurden geloggt. Der Rootkit ließ sich nicht installieren da ein eigener Kernel von mir auf der Kiste lief. Der IRC Bot für das Verteilen in IRC Channels hatte das Channel Passwort im Klartext gespeichert, und da der "Hacker" seinen Benutzernamen mit hinterlegt hat im Perlscript vom Bot, wusste ich auch das. Und interessanterweiße, das Passwort war sein Sicherungspasswort für den Nickname im IRC. Dadurch konnte ich mich prima authentifizieren und etwas Spaß als er haben. Am Ende des Tages waren alle seine Bots offline da ich alle IP´s hatte und die Betreiber informieren konnte.

    Bei solchen "Profis" mache ich mir keine Gedanken was da passiert sein kann. Ab ins Rettungssystem, MD5 Sum File geladen und verglichen, mit find veränderte Dateien gesucher, System manuell reinstalliert (Basissystem), Konfigs geprüft, nach einer Stunde war alles gecheckt, Passwörter zurückgesetzt und Kunden informiert. Das war 2004 und seitdem hab ich meine Lektion gelernt was automatische Updates angeht.

2
Von robiwan am Fr, 22. Februar 2013 um 08:48 #

wenn jemand in der /lib oder /lib64 files tauschen kann. immerhin sind dazu root rechte notwendig - und die kriegt man nicht an jedem kiosk.... :huh:

Pro-Linux
Pro-Linux @Twitter
Neue Nachrichten
Werbung