Mein Rechner hat angeblich einen ssh-Einbruchversuch begangen! Wie das?

[McFraggle]

Hallo!
Ich habe hier an meinem Arbeitsplatz (Uni) einen Server mit Kubuntu Edgy aufgesetzt. Läuft wunderbar. Nun muss ich von unserem Instituts-Sysadmin erfahren, dass die IP von unserem Rechenzentrum gesperrt wurde, da sie angeblich einen SSH-Scan durchführte.
Von oberster Instanz (Irgendwo in NL) kam die Nachricht

...Hello,

The IP 141.XXX.XXX.XXX has just been banned by Fail2Ban after 8 attempts against service ssh.
This report was sent at (including timezone): wo apr 25 11:49:18 CEST 2007


Lines containing 141.XXX.XXX.XXX in /var/log/auth.log:
------------------------------------------------------
Apr 25 11:49:15 Delta sshd[25799]: Invalid user ashley from 141.XXX.XXX.XXX
Apr 25 11:49:15 Delta sshd[25803]: Invalid user jessica from 141.XXX.XXX.XXX
Apr 25 11:49:15 Delta sshd[25805]: Invalid user emily from 141.XXX.XXX.XXX
Apr 25 11:49:16 Delta sshd[25807]: Invalid user sarah from 141.XXX.XXX.XXX
Apr 25 11:49:16 Delta sshd[25810]: Invalid user samantha from 141.XXX.XXX.XXX
Apr 25 11:49:16 Delta sshd[25813]: Invalid user brittany from 141.XXX.XXX.XXX
Apr 25 11:49:17 Delta sshd[25815]: Invalid user amanda from 141.XXX.XXX.XXX
Apr 25 11:49:17 Delta sshd[25817]: Invalid user elizabeth from 141.XXX.XXX.XXX
Apr 25 11:49:17 Delta sshd[25821]: Invalid user taylor from 141.XXX.XXX.XXX
Apr 25 11:49:18 Delta sshd[25823]: Invalid user megan from 141.XXX.XXX.XXX
Apr 25 11:49:18 Delta sshd[25834]: Invalid user stephanie from 141.XXX.XXX.XXX
------------------------------------------------------

Zuvor kam noch eine Mail von DFN-CERT, mit einer Weiterleitung der Uni Arizona. Auszug:

...141.XXX.XXX.XXX is likely compromised, and was blocked by arizona.edu for looking for security holes.
Contact ********** for more information.

University of Arizona SIRT
(520) 626 0100


First 20 log entries with last two octets of local IPs removed follow. Time zone is GMT -07:00
Start End Sif SrcIPaddress SrcP DIf DstIPaddress DstP P Fl Pkts Octets
0424.22:42:28.842 0424.22:42:31.850 6 141.XXX.XXX.XXX 53933 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:24.601 0424.22:42:24.601 72 150.135.xxx.xxx 22 6 141.XXX.XXX.XXX 41431 6 0 1 40
0424.22:42:24.652 0424.22:42:27.690 6 141.XXX.XXX.XXX 60290 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:28.855 0424.22:42:31.857 6 141.XXX.XXX.XXX 49041 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:29.439 0424.22:42:32.440 6 141.XXX.XXX.XXX 60858 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:30.276 0424.22:42:33.282 6 141.XXX.XXX.XXX 51812 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:30.257 0424.22:42:33.259 6 141.XXX.XXX.XXX 50667 0 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:28.824 0424.22:42:31.828 6 141.XXX.XXX.XXX 51663 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:28.833 0424.22:42:31.841 6 141.XXX.XXX.XXX 48095 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:33.886 0424.22:42:34.161 72 150.135.xxx.xxx 22 6 141.XXX.XXX.XXX 44199 6 0 4 241
0424.22:42:29.135 0424.22:42:32.135 6 141.XXX.XXX.XXX 38717 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:28.860 0424.22:42:30.267 72 150.135.xxx.xxx 22 6 141.XXX.XXX.XXX 54724 6 0 4 236
0424.22:42:28.820 0424.22:42:31.824 6 141.XXX.XXX.XXX 44374 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:30.252 0424.22:42:33.252 6 141.XXX.XXX.XXX 59631 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:28.843 0424.22:42:31.852 6 141.XXX.XXX.XXX 55137 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:28.855 0424.22:42:31.853 6 141.XXX.XXX.XXX 55866 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:29.440 0424.22:42:32.441 6 141.XXX.XXX.XXX 55731 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:28.799 0424.22:42:31.805 6 141.XXX.XXX.XXX 52379 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:28.799 0424.22:42:31.803 6 141.XXX.XXX.XXX 60244 0 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:30.279 0424.22:42:33.284 6 141.XXX.XXX.XXX 34371 72 150.135.xxx.xxx 22 6 0 2 120
0424.22:42:28.792 0424.22:42:31.797 6 141.XXX.XXX.XXX 52082 0 150.135.xxx.xxx 22 6 0 2 120
<snip>

Die IP ist wirklich die meines Servers, aber ich oder andere mit Zugang zum Server haben das bestimmt nicht gemacht.

Frage:
Wie konnte mein Server kompromittiert werden?
Wie kann ich das zukünftig verhindern???

Vielen Dank für Hilfe!!!
Ich bin angewiesen auf den Server und auf Freischaltung durch das Rechenzentrum, weil ich meist von Fern darauf zugreifen muss...

 

[Schneemann]

Hi,

Ich hab letzens ein Video von der CeBit gesehen wodrin veranschaulicht wurde, wie man anderen PC's vorgaukelt eine andere IP zu sein. Haben die nicht irgendwie die MAC-Adresse überprüft?

 

[grey]

Hi,

Ich hab letzens ein Video von der CeBit gesehen wodrin veranschaulicht wurde, wie man anderen PC's vorgaukelt eine andere IP zu sein. Haben die nicht irgendwie die MAC-Adresse überprüft?

Auch die MAC-Adresse kann gefälscht werden.

@McFraggle: Ist nachvollzeihbar, wer zur fraglichen Zeit auf den Server zugegriffen hat?
Wie ist die Anbindung ans I-Net? Wird eine direkte Verbindung genutzt oder laufen die Daten durch eine FW/Proxy?
Evtl. kann dir ja der FW-Admin Daten geben (falls mitgeloggt wird).

 

[McFraggle]

@grey:
Nein, wir haben nur die IP durch die /var/log/auth.log(.x).

Mittlerweile haben wir in der .bash_history des gehakten Accounts gesehen, dass tatsächlich von unserem Server aus gescannt wurde. Dort hat jemand fleißig Hackertools heruntergeladen und genutzt. Die IP wurde also nicht gefälscht. Der Rechner ist direkt mit einer statischen IP im INet.

Wir fragen uns jetzt, wie man so schnell das Passwort knacken konnte. Der User-Name war ein gängiger Name in Kleinschrift. Den Accountnamen zu bekommen war also kein Problem. Aber das Passwort war -wenn auch nicht supersicher - doch immerhin kein einfaches name123-Passwort. Offenbar hat es aber beim ersten Versuch mit dem richtigen Accountnamen geklappt.

Fällt Euch dazu was ein?

Wir dachten schon an eine Sicherheitslücke im Apache oder dergleichen. Das gleiche Passwort (für gleichen Usernamen) steht auch (verschlüsselt) in einer Authentifizierungsdatei für die .htaccess-Dateien des Webservers.

 

[Schneemann]

Auch die MAC-Adresse kann gefälscht werden.

Wenn man aber die MAC-Adresse fälscht, kommt das Paket ja nicht beim richtigen an.

 

[FlyingHuman]

Damit sowas künftig nicht mehr passiert:

http://www.debian.org/doc/manuals/securing-debian-howto/

Kubuntu ist ja auf Debian aufbauend, da müsste das howto auch klappen.. wobei ich mich frag warum man kubuntu als server nimmt, ist ja eher für Desktop geeignet.

MfG

 

[codc]

Eine gefälschte MAC ist nur im lokalen Netz von Bedeutung. ARP wird nicht geroutet.

Kiste vom Netz nehmen /tmp /var und /home sichern und auf einer anderen Kiste untersuchen wie die da drauf gekommen sind. Da aber wohl Script-Kiddie würde ich mal auf einen SSH-Bruteforce-Scan tippen.

Die Kiste neu aufsetzten und diesmal sicher konfigurieren.

Hint: SSH kann man mit Keys sichern und root sollte der login über ssh verboten werden.
SSH-Scans werden wirkungsvoll von fail2ban abgewiesen.

Ansonsten sind unsaubere PHP-Scripte und das Fehlen von Sicherheitsupdates zu 98% aller Fälle für Einbrüche die Ursache.

Allerdings wenn du von Linux nur wenig Ahnung hast ist es keine gute Idee einen Server mit öffentlicher IP zu betreiben. Der nächste Einbruch ist vorprogrammiert.

 

[saeckereier]

Nebenbei mal die Logdateien überprüfen auf falsche Anmeldeversuche auf den kompromittierten Account, da könnte man dann die Quell IP des Hackers finden. Wenn es nur ein einfacher User Account war war es auch unmöglich die Logdateien zu verfälschen.. Ich hoffe nur dass ihr die Logdateien lange genug aufbewahrt..

 

[tr0nix]

Es gibt verschiedene Methoden einen kompromittierten Host zu analysieren. Die strikteste dabei ist sicherlich, den Host runterzufahren (bzw. Kabel ziehen...), von CD booten und das ganze analysieren.

Wir dachten schon an eine Sicherheitslücke im Apache oder dergleichen. Das gleiche Passwort (für gleichen Usernamen) steht auch (verschlüsselt) in einer Authentifizierungsdatei für die .htaccess-Dateien des Webservers.

Ganz fest autsch.. die Datei ist auf jeden Fall lesbar für den Apache-User. Wenn eine Webapplikation - welche üblicherweise als Apache-User läuft - einen Fehler hat, kann diese einfach geöffnet werden (wurde zuvor ja bereits angedeutet).

Wie lange war das Passwort denn? Spezialzeichen verwendet? 6 Zeichen mit nur Alphanumerischen Zeichen sollte sich heutzutage schon Bruteforcen lassen.

 

[rikola]

Fällt Euch dazu was ein?

Welche Dienste laufen denn auf dem Rechner? Webmail, ftpd? Bei einem ueblichen ftp-server wird das Passwort unverschluesselt verschickt, dass heisst, ein Rechner zwischendrin koennte es abgefangen haben. Eine andere Moeglichkeit ist, dass sich der user von einem infizierten Rechner aus eingeloggt hat (Internet-Cafe?), auf dem ein Trojaner mitgeschnitten hat.
Gibt sicher noch einige ander Moeglichkeiten, wie man an das Passwort kommt. Z.B., indem man das gleiche Passwort woanders benutzt, wo es nicht so sicher zugeht...