Mein Rechner hat angeblich einen ssh-Einbruchversuch begangen! Wie das?

Dieses Thema im Forum "Security Talk" wurde erstellt von McFraggle, 27.04.2007.

  1. #1 McFraggle, 27.04.2007
    McFraggle

    McFraggle Jungspund

    Dabei seit:
    11.03.2004
    Beiträge:
    19
    Zustimmungen:
    0
    Hallo!
    Ich habe hier an meinem Arbeitsplatz (Uni) einen Server mit Kubuntu Edgy aufgesetzt. Läuft wunderbar. Nun muss ich von unserem Instituts-Sysadmin erfahren, dass die IP von unserem Rechenzentrum gesperrt wurde, da sie angeblich einen SSH-Scan durchführte.
    Von oberster Instanz (Irgendwo in NL) kam die Nachricht
    Zuvor kam noch eine Mail von DFN-CERT, mit einer Weiterleitung der Uni Arizona. Auszug:
    Die IP ist wirklich die meines Servers, aber ich oder andere mit Zugang zum Server haben das bestimmt nicht gemacht.

    Frage:
    Wie konnte mein Server kompromittiert werden?
    Wie kann ich das zukünftig verhindern???

    Vielen Dank für Hilfe!!!
    Ich bin angewiesen auf den Server und auf Freischaltung durch das Rechenzentrum, weil ich meist von Fern darauf zugreifen muss...
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 Schneemann, 27.04.2007
    Schneemann

    Schneemann Routinier

    Dabei seit:
    27.06.2006
    Beiträge:
    289
    Zustimmungen:
    0
    Ort:
    /home/janosch
    Hi,

    Ich hab letzens ein Video von der CeBit gesehen wodrin veranschaulicht wurde, wie man anderen PC's vorgaukelt eine andere IP zu sein. Haben die nicht irgendwie die MAC-Adresse überprüft?
     
  4. grey

    grey -=[GHOST]=-

    Dabei seit:
    28.07.2006
    Beiträge:
    303
    Zustimmungen:
    0
    Auch die MAC-Adresse kann gefälscht werden.

    @McFraggle: Ist nachvollzeihbar, wer zur fraglichen Zeit auf den Server zugegriffen hat?
    Wie ist die Anbindung ans I-Net? Wird eine direkte Verbindung genutzt oder laufen die Daten durch eine FW/Proxy?
    Evtl. kann dir ja der FW-Admin Daten geben (falls mitgeloggt wird).
     
  5. #4 McFraggle, 27.04.2007
    McFraggle

    McFraggle Jungspund

    Dabei seit:
    11.03.2004
    Beiträge:
    19
    Zustimmungen:
    0
    @grey:
    Nein, wir haben nur die IP durch die /var/log/auth.log(.x).

    Mittlerweile haben wir in der .bash_history des gehakten Accounts gesehen, dass tatsächlich von unserem Server aus gescannt wurde. Dort hat jemand fleißig Hackertools heruntergeladen und genutzt. Die IP wurde also nicht gefälscht. Der Rechner ist direkt mit einer statischen IP im INet.

    Wir fragen uns jetzt, wie man so schnell das Passwort knacken konnte. Der User-Name war ein gängiger Name in Kleinschrift. Den Accountnamen zu bekommen war also kein Problem. Aber das Passwort war -wenn auch nicht supersicher - doch immerhin kein einfaches name123-Passwort. Offenbar hat es aber beim ersten Versuch mit dem richtigen Accountnamen geklappt.

    Fällt Euch dazu was ein?

    Wir dachten schon an eine Sicherheitslücke im Apache oder dergleichen. Das gleiche Passwort (für gleichen Usernamen) steht auch (verschlüsselt) in einer Authentifizierungsdatei für die .htaccess-Dateien des Webservers.
     
  6. #5 Schneemann, 27.04.2007
    Schneemann

    Schneemann Routinier

    Dabei seit:
    27.06.2006
    Beiträge:
    289
    Zustimmungen:
    0
    Ort:
    /home/janosch
    Wenn man aber die MAC-Adresse fälscht, kommt das Paket ja nicht beim richtigen an.
     
  7. #6 FlyingHuman, 27.04.2007
    FlyingHuman

    FlyingHuman linux user

    Dabei seit:
    22.02.2004
    Beiträge:
    60
    Zustimmungen:
    0
    Ort:
    Randtscheche ;-)
  8. codc

    codc /dev/null

    Dabei seit:
    12.01.2004
    Beiträge:
    607
    Zustimmungen:
    0
    Eine gefälschte MAC ist nur im lokalen Netz von Bedeutung. ARP wird nicht geroutet.

    Kiste vom Netz nehmen /tmp /var und /home sichern und auf einer anderen Kiste untersuchen wie die da drauf gekommen sind. Da aber wohl Script-Kiddie würde ich mal auf einen SSH-Bruteforce-Scan tippen.

    Die Kiste neu aufsetzten und diesmal sicher konfigurieren.

    Hint: SSH kann man mit Keys sichern und root sollte der login über ssh verboten werden.
    SSH-Scans werden wirkungsvoll von fail2ban abgewiesen.

    Ansonsten sind unsaubere PHP-Scripte und das Fehlen von Sicherheitsupdates zu 98% aller Fälle für Einbrüche die Ursache.

    Allerdings wenn du von Linux nur wenig Ahnung hast ist es keine gute Idee einen Server mit öffentlicher IP zu betreiben. Der nächste Einbruch ist vorprogrammiert.
     
  9. #8 saeckereier, 10.05.2007
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Nebenbei mal die Logdateien überprüfen auf falsche Anmeldeversuche auf den kompromittierten Account, da könnte man dann die Quell IP des Hackers finden. Wenn es nur ein einfacher User Account war war es auch unmöglich die Logdateien zu verfälschen.. Ich hoffe nur dass ihr die Logdateien lange genug aufbewahrt..
     
  10. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  11. tr0nix

    tr0nix der-mit-dem-tux-tanzt

    Dabei seit:
    11.07.2003
    Beiträge:
    1.585
    Zustimmungen:
    0
    Ort:
    Schweiz, Opfikon/Glattbrugg
    Es gibt verschiedene Methoden einen kompromittierten Host zu analysieren. Die strikteste dabei ist sicherlich, den Host runterzufahren (bzw. Kabel ziehen...), von CD booten und das ganze analysieren.

    Ganz fest autsch.. die Datei ist auf jeden Fall lesbar für den Apache-User. Wenn eine Webapplikation - welche üblicherweise als Apache-User läuft - einen Fehler hat, kann diese einfach geöffnet werden (wurde zuvor ja bereits angedeutet).

    Wie lange war das Passwort denn? Spezialzeichen verwendet? 6 Zeichen mit nur Alphanumerischen Zeichen sollte sich heutzutage schon Bruteforcen lassen.
     
  12. rikola

    rikola Foren Gott

    Dabei seit:
    23.08.2005
    Beiträge:
    2.133
    Zustimmungen:
    0
    Welche Dienste laufen denn auf dem Rechner? Webmail, ftpd? Bei einem ueblichen ftp-server wird das Passwort unverschluesselt verschickt, dass heisst, ein Rechner zwischendrin koennte es abgefangen haben. Eine andere Moeglichkeit ist, dass sich der user von einem infizierten Rechner aus eingeloggt hat (Internet-Cafe?), auf dem ein Trojaner mitgeschnitten hat.
    Gibt sicher noch einige ander Moeglichkeiten, wie man an das Passwort kommt. Z.B., indem man das gleiche Passwort woanders benutzt, wo es nicht so sicher zugeht...
     
Thema:

Mein Rechner hat angeblich einen ssh-Einbruchversuch begangen! Wie das?

Die Seite wird geladen...

Mein Rechner hat angeblich einen ssh-Einbruchversuch begangen! Wie das? - Ähnliche Themen

  1. Hilfe 1111!!!! Mein Rechner macht was ich will!!!1111!!!!!

    Hilfe 1111!!!! Mein Rechner macht was ich will!!!1111!!!!!: ..meistens jedenfalls... :)) Dies soll der Thread für alle werden die allein durch magische Kräfte, seltsame Rituale, Beschwörungsformeln oder...
  2. meinen linux auf andere rechner klonen (dank livecd?)

    meinen linux auf andere rechner klonen (dank livecd?): Hallo Leute / Hallo Forum! :-) gern würde ich meinen linux nun auf mehreren Rechnern installieren und dabei möglichts nicht alles wieder neu...
  3. Kann es sein, dass mein Rechner wegen nicht angeschlossener Lan-Kabel langsam ist???

    Kann es sein, dass mein Rechner wegen nicht angeschlossener Lan-Kabel langsam ist???: Hallo, ich habe hier einen Server, der normalerweise voll im Netz hängt. Nun habe ich ihn woanders mit hingenommen und keine Netzwerkkabel...
  4. welche postscript-fonts sind auf meinem rechner installiert?

    welche postscript-fonts sind auf meinem rechner installiert?: wie finde ich raus, welche ps-fonts auf meinem rechner installiert sind und unter welchem namen sie in einem ps-document angesprochen werden?...
  5. kann auf meinem "steinzeitrechner" kein linux installieren...

    kann auf meinem "steinzeitrechner" kein linux installieren...: [gelöst] kann auf meinem "steinzeitrechner" kein linux installieren...kernel-panic hallo, ich hab ein alten pc zusammengesteckt (166mhz,...