Ich hätte vermutet das Hetzner, OVH oder Server4You Kunden schon lange betroffen sind, immerhin sind die meisten Kunden dort Anfänger. Sorry, ist einfach eigene Erfahrung mit den "Nachbarn" am Switch.
Von Lord_Pinhead am Do, 21. Februar 2013 um 15:21 #
Das liegt nicht am SSHd, bitte um Richtigstellung. Im Verlinkten Webmaster Forum wird gesagt das die Workstation einen Trojaner installiert hatten und die Logindaten (Passwort oder Keys) gestohlen wurden.
Sollte jemand hier betroffen sein, Workstation neu aufziehen und Passwörter und Keys komplett tauschen.
Von .,-,-,-,-,.-,.-,.-, am Do, 21. Februar 2013 um 15:55 #
Man findet bisher u.a. bei Red Hat und Suse nichts über irgendeine entsprechend ausnutzbare Sicherheitslücke.
Nach der Lektüre dieses Webmaster-Forums ist man auch nicht viel schlauer.
Es klingt eher danach, dass hier zu viele unerfahrene Leute Server betreiben, wofür auch der anscheinend häufigere Befall von CentOS und Debian spricht. Auch in Debianforen gibt es manchmal Nutzeranfragen wegen gehackter Webserver, deren Betreiber oder "Mieter" in der nachfolgenden Diskussion ein grauenhaftes Nichtwissen offenbaren. Meist endet die Diskussion damit, dass man den Betroffenen vorschlagen muss, keine Server an unsicheren, öffentlichen Netzwerken zu betreiben.
Von Lord_Pinhead am Fr, 22. Februar 2013 um 07:43 #
Dein Wort in Gottes Ohr wie es so schön heißt. Debian ist nun weißgott kein Anfänger Linux, aber es ist weit verbreitet, bringt guten Support mit, läuft stabil und hat eine große Softwareauswahl. Ich nutze auf meinen Servern selbst nur Debian, und wenn man sich nicht auf die Webkonfig Oberflächen verlässt, sondern mit solidem Grundwissen die Kiste betreibt passiert auch nix.
Aber wie gesagt, da teile ich deine Meinung das der Rootkit/Trojaner eher auf Servern mit schlecht gesicherten Apachen bzw. unsicheren PHP Scripten verteilt wurde. Nichts was einen Erfahrenen Admin nun graue Haar bereiten muss. Soetwas läuft in meine Logs unter Hintergrundrauschen
Von .-,.-,.-,.-,.-,.-, am Fr, 22. Februar 2013 um 21:26 #
Als ich das bisschen Text oben geschrieben habe, hatte ich ein Posting wie das folgende vor Augen: http://debianforum.de/forum/viewtopic.php?f=8&t=54412
Ich zitiere: "Hallo, ich bin ein Noob auf dem Gebiet Linux und mein Root Server wurde scheinbar von Jemanden gehackt und Flooding Tools darauf installiert. Sodaß ich von meinem Provider folgende Mail bekam: (...)"
Genau daran denke ich immer, wenn ich etwas von "Webserver-Admins" oder "Webmaster-Server" lese.
Außerdem hat mein Provider mir geraten regelmäßig Updates für mein Betriebssystem einzuspielen aber ich habe leider absolut keine Ahnung wie ich das machen soll bzw. woher ich diese Updates überhaupt bekomme.
Also wenn in meinen Server eingebrochen wird, dann werde ich bestimmt nicht die Links zurücksetzen und dann weiter machen wie bisher. So viel Profi, dass ich wirklich ausschließen kann, dass der Eindringling nicht woanders noch Spuren hinterlassen hat, ist wohl kaum jemand. Ich würde ihn komplett neu aufsetzen. Oder wie sehen die anderen das?
Egal wieviel Profi man ist, es ist immer sicherer und billiger den Server nochmal aufzusetzen als jede Datei zu checken, nach versteckten Prozessen und auffälligen Verhalten im Netz zu suchen.
Also Image und letztes Backup zurückspielen und nach einer Stunde denkt keiner mehr dran ... äh' doch, die Ursache sollte gefunden werden, sonst macht man das dann jeden Tag
-> System härten, Intrusion detecten aufsetzen etc...
Nicht immer trifft es Anfänger, auch unachtsamkeit und bequemlichkeit können treffen. Zu meiner Schande muss ich gestehen, das in 14 Jahren einmal ein Einbruch stattfand als ich in den Urlaub gefahren bin. Ich war so frei und hab einen Cronjob hinterlegt -> "apt-get update && apt-get -y upgrade", was mir meine httpd.conf vom Apachen und php.ini von der PHP Installation zurückgesetzt hat. Prima, kein Chroot mehr, kein CGI mit einzelnen Nutzern, alle PHP Funktionen wieder verfügbar... Kurzum alle Sicherungen wurden mit der Standarddatei des Paketes überschrieben. 2 Tage danach hat ein Bot das System übernommen.
Nach meinem Urlaub hab ich es gemerkt, die Forensische Analyse gestartet und gelacht. Der "Hacker" wollte den ProFPTD austauschen, ist am Kompilieren gescheitert, das umkonfigurieren der installierten Variante hat er vermasselt, alle Uploads und Downloads seine Warezfreunde wurden geloggt. Der Rootkit ließ sich nicht installieren da ein eigener Kernel von mir auf der Kiste lief. Der IRC Bot für das Verteilen in IRC Channels hatte das Channel Passwort im Klartext gespeichert, und da der "Hacker" seinen Benutzernamen mit hinterlegt hat im Perlscript vom Bot, wusste ich auch das. Und interessanterweiße, das Passwort war sein Sicherungspasswort für den Nickname im IRC. Dadurch konnte ich mich prima authentifizieren und etwas Spaß als er haben. Am Ende des Tages waren alle seine Bots offline da ich alle IP´s hatte und die Betreiber informieren konnte.
Bei solchen "Profis" mache ich mir keine Gedanken was da passiert sein kann. Ab ins Rettungssystem, MD5 Sum File geladen und verglichen, mit find veränderte Dateien gesucher, System manuell reinstalliert (Basissystem), Konfigs geprüft, nach einer Stunde war alles gecheckt, Passwörter zurückgesetzt und Kunden informiert. Das war 2004 und seitdem hab ich meine Lektion gelernt was automatische Updates angeht.
k.t.
Ich denke es sind Webmaster-Foren gemeint :-)
Bisher aber nicht flächendeckend, nur im Verlinkten Forum wird diskutiert.
FullDisclosure: Nada
Secunia: Nada
Rootforum: Nada
Ich hätte vermutet das Hetzner, OVH oder Server4You Kunden schon lange betroffen sind, immerhin sind die meisten Kunden dort Anfänger. Sorry, ist einfach eigene Erfahrung mit den "Nachbarn" am Switch.
Sorry, du hast dich auf das Webmasterserver bezogen -> "im Netz verfügbare Webmasterserver"
Das ist quark, das stimmt. Entweder Server oder Webserver. Vielleicht nur verschrieben.
Muss was Neues sein! Google kennt es auch nicht.
Das liegt nicht am SSHd, bitte um Richtigstellung. Im Verlinkten Webmaster Forum wird gesagt das die Workstation einen Trojaner installiert hatten und die Logindaten (Passwort oder Keys) gestohlen wurden.
Sollte jemand hier betroffen sein, Workstation neu aufziehen und Passwörter und Keys komplett tauschen.
Man findet bisher u.a. bei Red Hat und Suse nichts über irgendeine entsprechend ausnutzbare Sicherheitslücke.
Nach der Lektüre dieses Webmaster-Forums ist man auch nicht viel schlauer.
Es klingt eher danach, dass hier zu viele unerfahrene Leute Server betreiben, wofür auch der anscheinend häufigere Befall von CentOS und Debian spricht. Auch in Debianforen gibt es manchmal Nutzeranfragen wegen gehackter Webserver, deren Betreiber oder "Mieter" in der nachfolgenden Diskussion ein grauenhaftes Nichtwissen offenbaren. Meist endet die Diskussion damit, dass man den Betroffenen vorschlagen muss, keine Server an unsicheren, öffentlichen Netzwerken zu betreiben.
Dein Wort in Gottes Ohr wie es so schön heißt.
Debian ist nun weißgott kein Anfänger Linux, aber es ist weit verbreitet, bringt guten Support mit, läuft stabil und hat eine große Softwareauswahl. Ich nutze auf meinen Servern selbst nur Debian, und wenn man sich nicht auf die Webkonfig Oberflächen verlässt, sondern mit solidem Grundwissen die Kiste betreibt passiert auch nix.
Aber wie gesagt, da teile ich deine Meinung das der Rootkit/Trojaner eher auf Servern mit schlecht gesicherten Apachen bzw. unsicheren PHP Scripten verteilt wurde. Nichts was einen Erfahrenen Admin nun graue Haar bereiten muss.
Soetwas läuft in meine Logs unter Hintergrundrauschen
Als ich das bisschen Text oben geschrieben habe, hatte ich ein Posting wie das folgende vor Augen:
http://debianforum.de/forum/viewtopic.php?f=8&t=54412
Ich zitiere:
"Hallo,
ich bin ein Noob auf dem Gebiet Linux und mein Root Server wurde scheinbar von Jemanden gehackt und Flooding Tools darauf installiert.
Sodaß ich von meinem Provider folgende Mail bekam: (...)"
Genau daran denke ich immer, wenn ich etwas von "Webserver-Admins" oder "Webmaster-Server" lese.
Der schönste Satz in genanntem Posting:
Aber vor den Kumpels dann prollen "Ey, hab isch voll den eigenen Server in der Internet"
Also wenn in meinen Server eingebrochen wird, dann werde ich bestimmt nicht die Links zurücksetzen und dann weiter machen wie bisher. So viel Profi, dass ich wirklich ausschließen kann, dass der Eindringling nicht woanders noch Spuren hinterlassen hat, ist wohl kaum jemand. Ich würde ihn komplett neu aufsetzen. Oder wie sehen die anderen das?
Egal wieviel Profi man ist, es ist immer sicherer und billiger den Server nochmal aufzusetzen als jede Datei zu checken, nach versteckten Prozessen und auffälligen Verhalten im Netz zu suchen.
Also Image und letztes Backup zurückspielen und nach einer Stunde denkt keiner mehr dran ... äh' doch, die Ursache sollte gefunden werden, sonst macht man das dann jeden Tag
-> System härten, Intrusion detecten aufsetzen etc...
setzt vorraus du kennst den Infektionszeitpunkt ... oder woher weißt du welches Backup sauber ist?
Das Image ist das vom frisch erstellen PC und die Rücksicherungen sind nicht binäre Daten in veredelter ASCI-Form, wo soll da 'was unsauber sein?
Nicht immer trifft es Anfänger, auch unachtsamkeit und bequemlichkeit können treffen.
Zu meiner Schande muss ich gestehen, das in 14 Jahren einmal ein Einbruch stattfand als ich in den Urlaub gefahren bin. Ich war so frei und hab einen Cronjob hinterlegt -> "apt-get update && apt-get -y upgrade", was mir meine httpd.conf vom Apachen und php.ini von der PHP Installation zurückgesetzt hat. Prima, kein Chroot mehr, kein CGI mit einzelnen Nutzern, alle PHP Funktionen wieder verfügbar... Kurzum alle Sicherungen wurden mit der Standarddatei des Paketes überschrieben. 2 Tage danach hat ein Bot das System übernommen.
Nach meinem Urlaub hab ich es gemerkt, die Forensische Analyse gestartet und gelacht. Der "Hacker" wollte den ProFPTD austauschen, ist am Kompilieren gescheitert, das umkonfigurieren der installierten Variante hat er vermasselt, alle Uploads und Downloads seine Warezfreunde wurden geloggt. Der Rootkit ließ sich nicht installieren da ein eigener Kernel von mir auf der Kiste lief. Der IRC Bot für das Verteilen in IRC Channels hatte das Channel Passwort im Klartext gespeichert, und da der "Hacker" seinen Benutzernamen mit hinterlegt hat im Perlscript vom Bot, wusste ich auch das. Und interessanterweiße, das Passwort war sein Sicherungspasswort für den Nickname im IRC. Dadurch konnte ich mich prima authentifizieren und etwas Spaß als er haben. Am Ende des Tages waren alle seine Bots offline da ich alle IP´s hatte und die Betreiber informieren konnte.
Bei solchen "Profis" mache ich mir keine Gedanken was da passiert sein kann. Ab ins Rettungssystem, MD5 Sum File geladen und verglichen, mit find veränderte Dateien gesucher, System manuell reinstalliert (Basissystem), Konfigs geprüft, nach einer Stunde war alles gecheckt, Passwörter zurückgesetzt und Kunden informiert. Das war 2004 und seitdem hab ich meine Lektion gelernt was automatische Updates angeht.
wenn jemand in der /lib oder /lib64 files tauschen kann. immerhin sind dazu root rechte notwendig - und die kriegt man nicht an jedem kiosk....
Wenn man erstmal drin ist (also nicht nur in der chroot Umgebung), dann kriegt man auch Root-Rechte. Da würde ich mich auf nichts verlassen.