Server vermutlich gehackt, extremer ausgehender Traffic. Wie erkennen und blockieren?
Hallo liebe Community,
ich hab ein "kleines" Problem und zwar habe ich Proxmox auf einem Hetzner Server, mit dem ich Hobbymäßig aktuell alles rund um Debian und virtualisierung lerne.
Scheinbar wurde mein Server aber nun gehackt, da ich ganze Zeit so hohen ausgehenden Traffic habe das ich kaum Verbindung zum Server kriege.
Auch das root Passwort war anders was ich dank Rescuesystem wieder ändern konnte.
Leider bin ich noch nicht weit genug um zu wissen wie ich erkenne woher das ganze kommt und wie ich das ganze blockiere. Deswegen dachte ich mir euch Profis zu fragen. Hetzner bietet ja leider keine Hilfe dazu.
Ich hoffe ich habe mein Problem ausführlich genug geschildert. Vermutlich passierte das ganze durch veraltete Software.
Lieben Gruß und danke im Voraus für eure Tipps und Hilfen.
ich hab ein "kleines" Problem und zwar habe ich Proxmox auf einem Hetzner Server, mit dem ich Hobbymäßig aktuell alles rund um Debian und virtualisierung lerne.
Scheinbar wurde mein Server aber nun gehackt, da ich ganze Zeit so hohen ausgehenden Traffic habe das ich kaum Verbindung zum Server kriege.
Auch das root Passwort war anders was ich dank Rescuesystem wieder ändern konnte.
Leider bin ich noch nicht weit genug um zu wissen wie ich erkenne woher das ganze kommt und wie ich das ganze blockiere. Deswegen dachte ich mir euch Profis zu fragen. Hetzner bietet ja leider keine Hilfe dazu.
Ich hoffe ich habe mein Problem ausführlich genug geschildert. Vermutlich passierte das ganze durch veraltete Software.
Lieben Gruß und danke im Voraus für eure Tipps und Hilfen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 621142
Url: https://administrator.de/forum/server-vermutlich-gehackt-extremer-ausgehender-traffic-wie-erkennen-und-blockieren-621142.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
45 Kommentare
Neuester Kommentar
Moin,
wenn das Ding sowieso nicht produktiv läuft. Abschalten, hol dir daheim einen kleinen Server und lerne, erst dann gehst du ins Internet...
wie das? Updates ist so ziemlich das erste (neben hardening...ok...), was man mit neuen Systemen durchführt.
Grüße
PS: Sollte das Ding doch produktiv laufen: Such dir jemanden, der direkt am System prüft, was noch machbar ist. Und verständige ggf. die Datenschutzbehörde.
wenn das Ding sowieso nicht produktiv läuft. Abschalten, hol dir daheim einen kleinen Server und lerne, erst dann gehst du ins Internet...
Ich hoffe ich habe mein Problem ausführlich genug geschildert. Vermutlich passierte das ganze durch veraltete Software.
wie das? Updates ist so ziemlich das erste (neben hardening...ok...), was man mit neuen Systemen durchführt.
Grüße
PS: Sollte das Ding doch produktiv laufen: Such dir jemanden, der direkt am System prüft, was noch machbar ist. Und verständige ggf. die Datenschutzbehörde.
Guten Abend,
es tut mir leid, aber ich muss das mal so direkt aussprechen: Server SOFORT vom Netz nehmen! Da Du nicht sicher fesstellen kannst, was der genau dort macht, gilt das System als komprommittiert und muss sofort offline genommen werden. Jede Minute die es länger online ist, kann eine Minute zu viel sein und die wird auf Dich zurückfallen, je nachdem was dort gemacht wird. Analysieren wirst Du da nichts mehr können, aber rechtliche Schritte können ggf. auf Dich zukommen und das wird kein Spaß.
NIcht ordentlich konfigurierte Testsysteme zum Herumspielen und Lernen betreibt man lokal und nicht im Internet.
Gruß
cykes
es tut mir leid, aber ich muss das mal so direkt aussprechen: Server SOFORT vom Netz nehmen! Da Du nicht sicher fesstellen kannst, was der genau dort macht, gilt das System als komprommittiert und muss sofort offline genommen werden. Jede Minute die es länger online ist, kann eine Minute zu viel sein und die wird auf Dich zurückfallen, je nachdem was dort gemacht wird. Analysieren wirst Du da nichts mehr können, aber rechtliche Schritte können ggf. auf Dich zukommen und das wird kein Spaß.
NIcht ordentlich konfigurierte Testsysteme zum Herumspielen und Lernen betreibt man lokal und nicht im Internet.
Gruß
cykes
Hallo,
zuerst abschalten, dann weiter überlegen was Du mit der Kiste machst.
Der Traffic könnte noch auf irgendeine Software/Modul zurückzuführen sein was man suchen kann.
Aber ein geändertes Root-Password ist ja schon eindeutig.
Jede Sekunde nutzt Jemand das um andere Server zu hacken, Leute zu bestehlen und Viren zu verteilen.
Und Du machst Dich strafbar oder zumindest mitschuldig. Die Spur führt ja nun zu Deinem Server und damit erstmal zu Dir.
Also sofort abschalten und danach weiter überlegen.
Stefan
zuerst abschalten, dann weiter überlegen was Du mit der Kiste machst.
Der Traffic könnte noch auf irgendeine Software/Modul zurückzuführen sein was man suchen kann.
Aber ein geändertes Root-Password ist ja schon eindeutig.
Jede Sekunde nutzt Jemand das um andere Server zu hacken, Leute zu bestehlen und Viren zu verteilen.
Und Du machst Dich strafbar oder zumindest mitschuldig. Die Spur führt ja nun zu Deinem Server und damit erstmal zu Dir.
Also sofort abschalten und danach weiter überlegen.
Stefan
In der Regel hat ein Linux eins dieser Tools dabei: https://www.tecmint.com/linux-network-bandwidth-monitoring-tools/
Oder versuche mal eines davon zu installieren...
Oder versuche mal eines davon zu installieren...
Zitat von @142583:
In der Regel hat ein Linux eins dieser Tools dabei: https://www.tecmint.com/linux-network-bandwidth-monitoring-tools/
In der Regel hat ein Linux eins dieser Tools dabei: https://www.tecmint.com/linux-network-bandwidth-monitoring-tools/
Nein, ein verseuchtes System betreibt man nicht einfach so weiter. Das isoliert man oder deaktiviert es.
lks
Zitat von @Lochkartenstanzer:
Nein, ein verseuchtes System betreibt man nicht einfach so weiter. Das isoliert man oder deaktiviert es.
lks
Zitat von @142583:
In der Regel hat ein Linux eins dieser Tools dabei: https://www.tecmint.com/linux-network-bandwidth-monitoring-tools/
In der Regel hat ein Linux eins dieser Tools dabei: https://www.tecmint.com/linux-network-bandwidth-monitoring-tools/
Nein, ein verseuchtes System betreibt man nicht einfach so weiter. Das isoliert man oder deaktiviert es.
lks
Es ist seine Hobbykiste und Hetzner ist es egal. Er möchte lernen und weiß schon wie man die Kiste runterfährt.
Was Du und ich machen würden, hat er nicht gefragt.
Zitat von @142583:
Es ist seine Hobbykiste und Hetzner ist es egal. Er möchte lernen und weiß schon wie man die Kiste runterfährt.
Was Du und ich machen würden, hat er nicht gefragt.
Es ist seine Hobbykiste und Hetzner ist es egal. Er möchte lernen und weiß schon wie man die Kiste runterfährt.
Was Du und ich machen würden, hat er nicht gefragt.
Wenn er lernen will, fährt er die Kiste runter, zieht sich ein Image und macht die Kiste neu. Dann sucht er sich ein forensisches Tool und analysiert damit dann das Image oder klatscht das auf eine Kiste in einem abgesicherten Netz um es da zu analysieren.
Rätst doch auch keinem Autofahrer, einfach solange im normalen Straßenverkehr weiterzufahren, auch wenn er gemerkt hat, daß sein "selbstfahrendes Auto" (= teslo & Co.) manchmal verzögert bremst oder kleine Schlenker auf die Gegenfahrbahn macht.
Der weiterbetrieb des Systems ist, wenn schon so ein konkreter, begründeter Verdacht besteht, grob fahrlässig udn gefährdet andere im Netz enorm und ist für den "Eigentümer" Haftungsrisiken verbunden. Insbesondere dann, wenn er wider das Ding weiterbetreibt!
lks
Zitat von @142583:
Es ist seine Hobbykiste und Hetzner ist es egal. Er möchte lernen und weiß schon wie man die Kiste runterfährt.
Was Du und ich machen würden, hat er nicht gefragt.
Uff, dieser Rat bei dem Namen....Zitat von @Lochkartenstanzer:
Nein, ein verseuchtes System betreibt man nicht einfach so weiter. Das isoliert man oder deaktiviert es.
lks
Zitat von @142583:
In der Regel hat ein Linux eins dieser Tools dabei: https://www.tecmint.com/linux-network-bandwidth-monitoring-tools/
In der Regel hat ein Linux eins dieser Tools dabei: https://www.tecmint.com/linux-network-bandwidth-monitoring-tools/
Nein, ein verseuchtes System betreibt man nicht einfach so weiter. Das isoliert man oder deaktiviert es.
lks
Es ist seine Hobbykiste und Hetzner ist es egal. Er möchte lernen und weiß schon wie man die Kiste runterfährt.
Was Du und ich machen würden, hat er nicht gefragt.
Wenn ich bei der Autowerkstatt sage "könnt ihr mir bitte die Reifen wechseln" und die Gummis sind runter, dann wird mich die Werkstatt zumindest darauf hinweisen, wenn nicht sogar sich weigern die Reifen drauf zu ziehen.
Also Bitte Kiste schnellstmöglich vom Netz nehmen
Zitat von @fisi-pjm:
Wenn ich bei der Autowerkstatt sage "könnt ihr mir bitte die Reifen wechseln" und die Gummis sind runter, dann wird mich die Werkstatt zumindest darauf hinweisen, wenn nicht sogar sich weigern die Reifen drauf zu ziehen.
Wenn ich bei der Autowerkstatt sage "könnt ihr mir bitte die Reifen wechseln" und die Gummis sind runter, dann wird mich die Werkstatt zumindest darauf hinweisen, wenn nicht sogar sich weigern die Reifen drauf zu ziehen.
Also wenn Du nur aus Hobby ein bischen in der Gegend rumfährst und das Auto nicht geschäftlich als Kurierfahrer nutzt, ist das doch o.k. mit abgefahrenen Reifen rumzufahren. duck und wech
lks
Zitat von @Lochkartenstanzer:
Also wenn Du nur aus Hobby ein bischen in der Gegend rumfährst und das Auto nicht geschäftlich als Kurierfahrer nutzt, ist das doch o.k. mit abgefahrenen Reifen rumzufahren. duck und wech
lks
hmmm, Dachte immer das sei anders herum. Stichwort Paketdienste alla Hermes und Konsorten.Zitat von @fisi-pjm:
Wenn ich bei der Autowerkstatt sage "könnt ihr mir bitte die Reifen wechseln" und die Gummis sind runter, dann wird mich die Werkstatt zumindest darauf hinweisen, wenn nicht sogar sich weigern die Reifen drauf zu ziehen.
Wenn ich bei der Autowerkstatt sage "könnt ihr mir bitte die Reifen wechseln" und die Gummis sind runter, dann wird mich die Werkstatt zumindest darauf hinweisen, wenn nicht sogar sich weigern die Reifen drauf zu ziehen.
Also wenn Du nur aus Hobby ein bischen in der Gegend rumfährst und das Auto nicht geschäftlich als Kurierfahrer nutzt, ist das doch o.k. mit abgefahrenen Reifen rumzufahren. duck und wech
lks
Zitat von @fisi-pjm:
Zitat von @Lochkartenstanzer:>
Also wenn Du nur aus Hobby ein bischen in der Gegend rumfährst und das Auto nicht geschäftlich als Kurierfahrer nutzt, ist das doch o.k. mit abgefahrenen Reifen rumzufahren. duck und wech
lks
hmmm, Dachte immer das sei anders herum. Stichwort Paketdienste alla Hermes und Konsorten.Also wenn Du nur aus Hobby ein bischen in der Gegend rumfährst und das Auto nicht geschäftlich als Kurierfahrer nutzt, ist das doch o.k. mit abgefahrenen Reifen rumzufahren. duck und wech
lks
Sowas nennt man "dezenter Hinweis".
lks
Anzeige erstatten... Server hacken ist Computerkriminalität. Das Image legt man sich zur Seite, und den Vorgang, wie genau man das Image rauskopiert hat sollte man dokumentieren.
Solange einem aber selbst kein Schaden entstanden ist, malen die Mühlen der Staatsanwaltschaft langsam... und man ist auch nicht verpflichtet, selber eine forensische Analyse zu durchzuführen oder zu bezahlen. Das macht ggf. die Staatsanwaltschaft solange man keine offenkundigen illegalen Aktivitäten selber vorfindet wie z.B. kinderpornographisches Material.
Solange einem aber selbst kein Schaden entstanden ist, malen die Mühlen der Staatsanwaltschaft langsam... und man ist auch nicht verpflichtet, selber eine forensische Analyse zu durchzuführen oder zu bezahlen. Das macht ggf. die Staatsanwaltschaft solange man keine offenkundigen illegalen Aktivitäten selber vorfindet wie z.B. kinderpornographisches Material.
Ok - was ist denn was er bisher GLAUBT zu wissen?
Das ding macht ausgehend "viel" traffic? Das kann erst mal viel bedeuten - ggf. ist auch nur irgendwas auf dem "proxmox" am permanenten laden. Und wenn ich jedesmal meinen Server abschiessen würde weil nen script-kiddy meint es will lustig die 1000 Default-Seiten per script rumprobieren würde ich den gar nich mehr brauchen...
Dann kann das ganze ja auch andere Gründe haben (falsche DNS-Einstellungen - so das nen Lookup beim SSH-Login ggf. einfach mal schief läuft).
Damit ist dein Beispiel einfach unsinnig... Klar, wenn ich WEISS das die Kiste gehackt wurde dann kann man drüber reden, aktuell vermute ich das. Um bei deinem Auto zu bleiben - weils Licht nich geht verschrottest du also einfach mal das ganze Auto ohne zu gucken ob ggf. einfach nur die Glühlampe defekt ist? Kann man machen - is halt dann ein wenig "overkill".
Das ganze mit den Haftungsrisiken ist zwar in der theorie richtig - in der Praxis aber wohl eher selten relevant. Auch da gilt - wenn ich jeden anzeige dessen Server geknackt wurde und über den nen "Angriff" auf meinen Server läuft hätte ich lange tage und nix anderes zu tun... Ich denke auch da kann man erst mal schauen was überhaupt sache ist und DANN handeln... Einfach mal Kopflos die Kiste plattmachen hilft da eher wenig - zumal man dann auch nich weiss WAS passiert ist und das ganze 5 min später wieder auftritt. Da hilft auch kein Server zuhause dann -> weil da der eigene Router durch NAT ja das meiste wegfängt...
Das ding macht ausgehend "viel" traffic? Das kann erst mal viel bedeuten - ggf. ist auch nur irgendwas auf dem "proxmox" am permanenten laden. Und wenn ich jedesmal meinen Server abschiessen würde weil nen script-kiddy meint es will lustig die 1000 Default-Seiten per script rumprobieren würde ich den gar nich mehr brauchen...
Dann kann das ganze ja auch andere Gründe haben (falsche DNS-Einstellungen - so das nen Lookup beim SSH-Login ggf. einfach mal schief läuft).
Damit ist dein Beispiel einfach unsinnig... Klar, wenn ich WEISS das die Kiste gehackt wurde dann kann man drüber reden, aktuell vermute ich das. Um bei deinem Auto zu bleiben - weils Licht nich geht verschrottest du also einfach mal das ganze Auto ohne zu gucken ob ggf. einfach nur die Glühlampe defekt ist? Kann man machen - is halt dann ein wenig "overkill".
Das ganze mit den Haftungsrisiken ist zwar in der theorie richtig - in der Praxis aber wohl eher selten relevant. Auch da gilt - wenn ich jeden anzeige dessen Server geknackt wurde und über den nen "Angriff" auf meinen Server läuft hätte ich lange tage und nix anderes zu tun... Ich denke auch da kann man erst mal schauen was überhaupt sache ist und DANN handeln... Einfach mal Kopflos die Kiste plattmachen hilft da eher wenig - zumal man dann auch nich weiss WAS passiert ist und das ganze 5 min später wieder auftritt. Da hilft auch kein Server zuhause dann -> weil da der eigene Router durch NAT ja das meiste wegfängt...
Wenn das root-Paßwort geädert wurde, wie der TO schreibt, ist das ein eindeutiges Zeichen. Alleine das reicht schon, um die Kiste plattzumachen.
lks
Also. Das meiste wurde sowieso bereits gesagt. Auf die Gefahr hin, dass ich nochmal etwas wiederhole:
SSH hardening:
1. Server plattmachen war bereits fix.
2. Neu aufsetzen
3. Unprivileged User erstellen (Username nicht einfach zu erraten, sudo geben, testen
4. Root ssh Login deaktivieren
5. Zertifikate erstellen, und Login mit zwei usern testen, Zertifikate backuppen. Lernen wie man mit Zertifikaten umgeht
6. Password login unterbinden, Zertifikate only.
Optional:
7. Port vom SSH wechseln. (Nicht unbedingt 2222....
8. Fail2ban
9. SSH jailen auf Port 22. (Über nen SSH abuse vom SSH banner möglich)
Technotim hat dazu n cooles yt vid gehabt glaub.
Viel Erfolg und Spaß dabei, is ne spannende Kiste.
Proxmox? Kannst da vielleicht ne virtuelle Firewall drauf machen? Hab im homelab auf nem esxi auch ne opnsense laufen, die quasi alles Monitoren kann.... Nur so als Info.
Hetzner hat doch zudem bei Servern ne eigene fw davor. Dadurch hätte man den vServer vom Netz nehmen können und über die proxmox console ggf via chroot das System untersuchen können. Dann hätte man wenigstens Mal Ermittler spielen können, auch wenns hinterher vernichtet wird.
VG, K
SSH hardening:
1. Server plattmachen war bereits fix.
2. Neu aufsetzen
3. Unprivileged User erstellen (Username nicht einfach zu erraten, sudo geben, testen
4. Root ssh Login deaktivieren
5. Zertifikate erstellen, und Login mit zwei usern testen, Zertifikate backuppen. Lernen wie man mit Zertifikaten umgeht
6. Password login unterbinden, Zertifikate only.
Optional:
7. Port vom SSH wechseln. (Nicht unbedingt 2222....
8. Fail2ban
9. SSH jailen auf Port 22. (Über nen SSH abuse vom SSH banner möglich)
Technotim hat dazu n cooles yt vid gehabt glaub.
Viel Erfolg und Spaß dabei, is ne spannende Kiste.
Proxmox? Kannst da vielleicht ne virtuelle Firewall drauf machen? Hab im homelab auf nem esxi auch ne opnsense laufen, die quasi alles Monitoren kann.... Nur so als Info.
Hetzner hat doch zudem bei Servern ne eigene fw davor. Dadurch hätte man den vServer vom Netz nehmen können und über die proxmox console ggf via chroot das System untersuchen können. Dann hätte man wenigstens Mal Ermittler spielen können, auch wenns hinterher vernichtet wird.
VG, K
nicht weit genug um zu wissen wie ich erkenne woher das ganze kommt und wie ich das ganze blockiere.
Fail2ban ist hier dein bester Freund und sollte man zwingend installieren:https://www.thomas-krenn.com/de/wiki/SSH_Login_unter_Debian_mit_fail2ban ...
In den Fail2ban Logs unter /var/log kannst du dann auch genau sehen WER der pöhse Buhmann ist der deinem Server an den Kragen will und wo der herkommt (utrace.de)
Solche simplen Binsenweisheiten sollte man als Betreiber eines Servers im öffentlichen Internet aber schon kennen...?!
https://www.heise.de/ct/artikel/SSH-absichern-221597.html?seite=all
usw.
Zitat von @aqui:
nicht weit genug um zu wissen wie ich erkenne woher das ganze kommt und wie ich das ganze blockiere.
Fail2ban ist hier dein bester Freund und sollte man zwingend installieren:Wenn da massiv ausgehender Traffic ist und das Root-Passwort schon geändert wurde (und vermutlich noch einige Zertifikate für ssh & Co. hinterlegt wurden) ist es für fail2ban schon zu spät. Das reagiert ja nur bei fehlgeschlagenen Versuchen.
lks
Moin,
willkommen im Club habe ebenfalls bei Hetzner zwei Server.
Hetzner hat eine Firewall diese kann man Konfigurieren, ich für meinen Punkt schließe Sämtliche Administrative Schnittstellen.
Die Hetzner Firewall bietet auch die Möglichkeit den Zugriff auf eine IP Adresse die Zugreifen darf einzuschränken
Mfg
Yannick
willkommen im Club habe ebenfalls bei Hetzner zwei Server.
Hetzner hat eine Firewall diese kann man Konfigurieren, ich für meinen Punkt schließe Sämtliche Administrative Schnittstellen.
Die Hetzner Firewall bietet auch die Möglichkeit den Zugriff auf eine IP Adresse die Zugreifen darf einzuschränken
Mfg
Yannick
Sei doch bitte Mal so nett und poste die Zugangsdaten, dann knobeln wir aus, wer das Setup für dich macht.
Zitat von @Tfouabi:
Danke für dieses Kommentar. Genau das habe ich mir erhofft! Soviel Zeit hätte ich auch gerne.
Danke für dieses Kommentar. Genau das habe ich mir erhofft! Soviel Zeit hätte ich auch gerne.
Sollen wir jetzt links zu iptables posten, wie man damit arbeitet? Oder Bestpractices Firewalling?
Wir wissen nichts über die Konfig und das genaue Verhalten, außer dass es dir am Know How mangelt.
Sag mal - hast du zumindest mal GRUNDLEGEND gesucht was iptables macht?
Du hast prinzipiell 3 Chains:
Input / Output / Forward...
Input: Alles was in deinen Server reingeht (auf den Host!)
Output: Alles von deinem Server (vom Host) rausgeht
Forward: Alles was dein Server in irgendeine Richtung weiterleitet (z.B. eben auch auf interne VMs)
Was du jetzt damit machen musst? Dir überlegen was deine Firewall machen soll -> welche Ports sollen offen sein, welche nicht... Allerdings wird das eher nicht dein Problem lösen. Wenn dein Server gehackt wurde dann ja vermutlich über einen Dienst der auch da sein sollte (SSH, http,...) - du musst dir also auch überlegen warum das passiert ist und was du dagegen tust... wenn du z.B. root mit dem Passwort "rootpw" von aussen zulässt und in der FW der Port 22 erlaubt wird -> dann wird das auch wieder passieren...
Du hast prinzipiell 3 Chains:
Input / Output / Forward...
Input: Alles was in deinen Server reingeht (auf den Host!)
Output: Alles von deinem Server (vom Host) rausgeht
Forward: Alles was dein Server in irgendeine Richtung weiterleitet (z.B. eben auch auf interne VMs)
Was du jetzt damit machen musst? Dir überlegen was deine Firewall machen soll -> welche Ports sollen offen sein, welche nicht... Allerdings wird das eher nicht dein Problem lösen. Wenn dein Server gehackt wurde dann ja vermutlich über einen Dienst der auch da sein sollte (SSH, http,...) - du musst dir also auch überlegen warum das passiert ist und was du dagegen tust... wenn du z.B. root mit dem Passwort "rootpw" von aussen zulässt und in der FW der Port 22 erlaubt wird -> dann wird das auch wieder passieren...
Zitat von @Tfouabi:
Danke für dieses Kommentar. Genau das habe ich mir erhofft! Soviel Zeit hätte ich auch gerne.
Danke für dieses Kommentar. Genau das habe ich mir erhofft! Soviel Zeit hätte ich auch gerne.
Die meisten hier hätten auch gerne soviel Zeit um mit völliger unkenntnis Server ins Netz zu stellen um sich dann zu wundern wenn die Kisten nich mehr tun was die sollen... Am Ende kostet das nämlich mehr Zeit als sich das Wissen erst anzueignen... Aber naja, du musst wohl mehr als genug Zeit und Langeweile haben ...
Nur mal für's Protokoll:
10.11. : Frage eingestellt und kurz darauf gleich zwei Antworten "Server offline nehmen" erhalten.
11./12.11.: Weitere mehr oder weniger gleichlautende Hinweise bekommen und erst mittags am 12. Rückmeldung vom TE, dass er erst analysieren möchte (Kiste läuft also immer noch)
Jetzt haben wir (Freitag) 13. - Kiste läuft immer noch, TE eiert immer noch rum, erstmal Firewalls lernen und nebenher von seinem Plex schön Filmchen schauen.
Das war bewusst überspitzt, aber Du solltest SCHNELLSTMÖGLICH handeln.
Prognose:
Je nachdem, was da läuft, ist vermutlich schon ein nettes Schreiben unterwegs oder ähnliches.
Im Zweifel laufen da noch weitere Dinge, die nicht so auffälligen Traffic oder Systemverhalten zeigen.
10.11. : Frage eingestellt und kurz darauf gleich zwei Antworten "Server offline nehmen" erhalten.
11./12.11.: Weitere mehr oder weniger gleichlautende Hinweise bekommen und erst mittags am 12. Rückmeldung vom TE, dass er erst analysieren möchte (Kiste läuft also immer noch)
Jetzt haben wir (Freitag) 13. - Kiste läuft immer noch, TE eiert immer noch rum, erstmal Firewalls lernen und nebenher von seinem Plex schön Filmchen schauen.
Das war bewusst überspitzt, aber Du solltest SCHNELLSTMÖGLICH handeln.
Prognose:
Je nachdem, was da läuft, ist vermutlich schon ein nettes Schreiben unterwegs oder ähnliches.
Im Zweifel laufen da noch weitere Dinge, die nicht so auffälligen Traffic oder Systemverhalten zeigen.
Zitat von @Tfouabi:
Wenn ich Regeln auf der Hostmaschine via iptables erstelle, sind die VMs davon ebenfalls betroffen? Haben nämlich eigene Ipv4 adressen
Wenn ich Regeln auf der Hostmaschine via iptables erstelle, sind die VMs davon ebenfalls betroffen? Haben nämlich eigene Ipv4 adressen
Kann es sein dass du uns verarschst?
Bist du überhaupt in der Lage damit zu arbeiten? Wenn ja.
1. Logging aktivieren
2. Regel für SSH anlegen und gucken ob sie greift.
3. any:any Regel machen, dass alles außer SSH verworfen wird.
4. Deine, dir bekannten, Ports öffnen. Ggf Source und Destination einschränken,wenn möglich.
5. Logs angucken
6. Logs angucken
7. Logs angucken
Und vorher das wissen und verstehen, was @maretz schreibt. Ohne das wissen über iptables wird es nichts. Grundlegendes TCP-UDP-Wissen und etwas DNS usw... ist ebenfalls nötig.
Zitat von @cykes:
Nur mal für's Protokoll:
10.11. : Frage eingestellt und kurz darauf gleich zwei Antworten "Server offline nehmen" erhalten.
11./12.11.: Weitere mehr oder weniger gleichlautende Hinweise bekommen und erst mittags am 12. Rückmeldung vom TE, dass er erst analysieren möchte (Kiste läuft also immer noch)
Nur mal für's Protokoll:
10.11. : Frage eingestellt und kurz darauf gleich zwei Antworten "Server offline nehmen" erhalten.
11./12.11.: Weitere mehr oder weniger gleichlautende Hinweise bekommen und erst mittags am 12. Rückmeldung vom TE, dass er erst analysieren möchte (Kiste läuft also immer noch)
Exakt das Gleiche habe ich mir auch vorhin gedacht, die Arschruhe bei einem gehacktem Server muss man erst mal weg haben.
Zitat von @Archeon:
Exakt das Gleiche habe ich mir auch vorhin gedacht, die Arschruhe bei einem gehacktem Server muss man erst mal weg haben.
Zitat von @cykes:
Nur mal für's Protokoll:
10.11. : Frage eingestellt und kurz darauf gleich zwei Antworten "Server offline nehmen" erhalten.
11./12.11.: Weitere mehr oder weniger gleichlautende Hinweise bekommen und erst mittags am 12. Rückmeldung vom TE, dass er erst analysieren möchte (Kiste läuft also immer noch)
Nur mal für's Protokoll:
10.11. : Frage eingestellt und kurz darauf gleich zwei Antworten "Server offline nehmen" erhalten.
11./12.11.: Weitere mehr oder weniger gleichlautende Hinweise bekommen und erst mittags am 12. Rückmeldung vom TE, dass er erst analysieren möchte (Kiste läuft also immer noch)
Exakt das Gleiche habe ich mir auch vorhin gedacht, die Arschruhe bei einem gehacktem Server muss man erst mal weg haben.
Insbesodnere wo der doch produktiv genutzt wird. Da werden sich die Kudne aber freuen, daß Hinz udn Kunz Ihre Daten haben.
lks
PS: iirc kosten DVGSO-Verstöße bei denen Daten abhanden kommen mindestens 250k€, wenn man diese nicht meldet mindestens das Doppelte. Da sollte man als (kleine) Firma ganz schnell mit abschalten und zurechtbiegen sein, wenn man nicht pleite gehen will.
PPS: Lieber TO hast Du diesen Vorfall schon den Behörden gemeldet? Anonsten droht Dir auch Unbill von denen!
Moin,
Es wäre schon, wenn Du zumindest kurz ein Hinweis oder ein Zitat angeben würdest, auf was sich Deien Antworten beziehen. Oder Du faßt alle Antworten in eine zusammen, damit man nicht 5 verschiedene hat, ejweils mit einem Hinweis, auf wen Du die Antwort beziehst-.
Naja, die Informationen die Du geliefert hast haben die Leute nur zum Spekulieren gebracht. Und glaube mir, ich habe genug "wildgewordene" Server von "naiven" Sysadmins bändigen müssen, um zu wissen, daß man da schnell handeln muß, bevor die Schandensersatzklagen eintrudeln.
Und daß Du nicht alles einzeln vorgekaut bekommst, sollte in einem Admin-Forum auch klar sein. Spätestens wenn Du "iptables" gesagt bekommst, wäre es Deine Aufgabe ein Howto Dir reimzuziehen und dann bei Detailsfragen nachzufragen.
lks
Es wäre schon, wenn Du zumindest kurz ein Hinweis oder ein Zitat angeben würdest, auf was sich Deien Antworten beziehen. Oder Du faßt alle Antworten in eine zusammen, damit man nicht 5 verschiedene hat, ejweils mit einem Hinweis, auf wen Du die Antwort beziehst-.
Zitat von @Tfouabi:
PS: Problem ist gelöst, danke das ihr mir gezeigt habt in Zukunft keine Fragen hier stellen zu müssen da es hier scheinbar wenige Leute gibt die einem wirklich helfen wollen und die meisten das ganze hier scheinbar nur nutzen um ihre Komplexe auszuleben. Weil ja auch jeder sofort alles zu 100% in richtiger Reihenfolge weiß.
PS: Problem ist gelöst, danke das ihr mir gezeigt habt in Zukunft keine Fragen hier stellen zu müssen da es hier scheinbar wenige Leute gibt die einem wirklich helfen wollen und die meisten das ganze hier scheinbar nur nutzen um ihre Komplexe auszuleben. Weil ja auch jeder sofort alles zu 100% in richtiger Reihenfolge weiß.
Naja, die Informationen die Du geliefert hast haben die Leute nur zum Spekulieren gebracht. Und glaube mir, ich habe genug "wildgewordene" Server von "naiven" Sysadmins bändigen müssen, um zu wissen, daß man da schnell handeln muß, bevor die Schandensersatzklagen eintrudeln.
Und daß Du nicht alles einzeln vorgekaut bekommst, sollte in einem Admin-Forum auch klar sein. Spätestens wenn Du "iptables" gesagt bekommst, wäre es Deine Aufgabe ein Howto Dir reimzuziehen und dann bei Detailsfragen nachzufragen.
lks
Ich weiß auch nicht genau, ob sich das folgende auf mich bezieht, aber dennoch:
Am 12.11. hast Du um die Mittagszeit geantwortet:
Erschreckend war in der Folge dann auch:
Im Endeffekt hast Du jetzt nur ein besonders auffälliges Symptom behoben (oder vielleicht mit dem geänderten root-Passwort eher 1,5), aber Du weisst noch nicht, ob nicht noch weitere backdoors, Dienste oder auch Scripte laufen.
Es hörte sich zu keiner Zeit so an, als wären Dir die Gefahr und die Konsequenzen bewusst.
Vgl. auch
Gruß
cykes
Zitat von @Tfouabi:
Wie kommst du da drauf das die Kiste immernoch läuft?
Die Kiste war schon offline bevor ich überhaupt den Thread hier erstellt habe.
Hier bist Du aber nicht ganz ehrlich, oder?Wie kommst du da drauf das die Kiste immernoch läuft?
Die Kiste war schon offline bevor ich überhaupt den Thread hier erstellt habe.
Am 12.11. hast Du um die Mittagszeit geantwortet:
Danke erstmal für all eure Antworten und Tipps. Ich würde das Problem gerne temporär lösen um mir Backups zu ziehen, da einzelne Dinge wie Nextcloud und Plex produktiv liefen aber isoliert vom Hostsystem (da virtualisiert + verschlüsselt).
Das ist einerseits ein Trugschluss, dass man vom Hostsystem nicht auch in die virtualisierten Systeme einbrechen kann und andererseits klingt das doch stark nach "Server läuft noch" oder etwa nicht? Und "das Problem" ist eher "eins der Probleme", die ggf. weiteren Probleme hast Du nur noch nicht entdeckt. Man kann halt nicht davon ausgehen, dass der Hacker nur das gemacht hat, was Du bereits entdeckt hast.Erschreckend war in der Folge dann auch:
Meine Idee wäre die Ports zu sperren die den Traffic verursachen oder auch die IP. Leider weiß ich bzgl. dem ganzen nur nicht wie.
Glaub mir, ich habe schon viele amoklaufende Systeme unter den Fingern gehabt, früher (tm) waren es eher falsch konfigurierte Mailserver oder halbherzig aufgesetzte FTP-Server, später dann zusammengestückelte Hypervisor usw.Im Endeffekt hast Du jetzt nur ein besonders auffälliges Symptom behoben (oder vielleicht mit dem geänderten root-Passwort eher 1,5), aber Du weisst noch nicht, ob nicht noch weitere backdoors, Dienste oder auch Scripte laufen.
Es hörte sich zu keiner Zeit so an, als wären Dir die Gefahr und die Konsequenzen bewusst.
Vgl. auch
Warum sollte ich in Panik verfallen wenn das Problem schnell erkannt wurde und der Server vom Netz genommen?
Panik ist sicher nie gut, aber eine gesunde Besonnenheit sollte schon vorhanden sein, wenn man einen Server ins Internet hängt.Gruß
cykes
Zitat von @Tfouabi:
IPTables sind mir bekannt, ich dachte nur das es dort was spezielles gäbe was mir nicht bekannt wäre. Mit IPTables kann ich ja nicht die Quelle des Traffics finden.
Zitat von @Lochkartenstanzer:
Moin,
Es wäre schon, wenn Du zumindest kurz ein Hinweis oder ein Zitat angeben würdest, auf was sich Deien Antworten beziehen. Oder Du faßt alle Antworten in eine zusammen, damit man nicht 5 verschiedene hat, ejweils mit einem Hinweis, auf wen Du die Antwort beziehst-.
Naja, die Informationen die Du geliefert hast haben die Leute nur zum Spekulieren gebracht. Und glaube mir, ich habe genug "wildgewordene" Server von "naiven" Sysadmins bändigen müssen, um zu wissen, daß man da schnell handeln muß, bevor die Schandensersatzklagen eintrudeln.
Und daß Du nicht alles einzeln vorgekaut bekommst, sollte in einem Admin-Forum auch klar sein. Spätestens wenn Du "iptables" gesagt bekommst, wäre es Deine Aufgabe ein Howto Dir reimzuziehen und dann bei Detailsfragen nachzufragen.
lks
Moin,
Es wäre schon, wenn Du zumindest kurz ein Hinweis oder ein Zitat angeben würdest, auf was sich Deien Antworten beziehen. Oder Du faßt alle Antworten in eine zusammen, damit man nicht 5 verschiedene hat, ejweils mit einem Hinweis, auf wen Du die Antwort beziehst-.
Zitat von @Tfouabi:
PS: Problem ist gelöst, danke das ihr mir gezeigt habt in Zukunft keine Fragen hier stellen zu müssen da es hier scheinbar wenige Leute gibt die einem wirklich helfen wollen und die meisten das ganze hier scheinbar nur nutzen um ihre Komplexe auszuleben. Weil ja auch jeder sofort alles zu 100% in richtiger Reihenfolge weiß.
PS: Problem ist gelöst, danke das ihr mir gezeigt habt in Zukunft keine Fragen hier stellen zu müssen da es hier scheinbar wenige Leute gibt die einem wirklich helfen wollen und die meisten das ganze hier scheinbar nur nutzen um ihre Komplexe auszuleben. Weil ja auch jeder sofort alles zu 100% in richtiger Reihenfolge weiß.
Naja, die Informationen die Du geliefert hast haben die Leute nur zum Spekulieren gebracht. Und glaube mir, ich habe genug "wildgewordene" Server von "naiven" Sysadmins bändigen müssen, um zu wissen, daß man da schnell handeln muß, bevor die Schandensersatzklagen eintrudeln.
Und daß Du nicht alles einzeln vorgekaut bekommst, sollte in einem Admin-Forum auch klar sein. Spätestens wenn Du "iptables" gesagt bekommst, wäre es Deine Aufgabe ein Howto Dir reimzuziehen und dann bei Detailsfragen nachzufragen.
lks
IPTables sind mir bekannt, ich dachte nur das es dort was spezielles gäbe was mir nicht bekannt wäre. Mit IPTables kann ich ja nicht die Quelle des Traffics finden.
Das kommt jetzt drauf an WAS du einstellst... denn erst mal ist es nicht die Funktion von IPTables die Quellen zu zeigen. Es gibt aber ja auch das --log -> damit würdest du dann alle Treffer der Regel/Chain in ne Log-File schreiben. Und da sieht man dann natürlich sehr schön Quelle, Ziel, Port, Protokoll,....
Zitat von @Tfouabi:
Deswegen habe ich auch "lief" geschrieben und nicht "läuft". Vielleicht sollte ich mich nächstes mal klarer ausdrücken.
Das wäre sicher hilfreich gewesen. Ich wollte nur klarstellen, das man entgegen aller Zweifel, erstmal vom Schlimmsten ausgehen und die passende Maßnahme ergreifen sollte. Das ist auch die bessere Methode bei späterer beruflicher Kommunikation mit Kunden - das sensibilisiert den Kunden eher und man macht nicht erstmal einen (temporären) Flicken auf eins der Probleme und lässt den Kunden auf die Idee kommen "warum haben Sie den Server nicht vom Netz genommen und dann erst analysiert?".Deswegen habe ich auch "lief" geschrieben und nicht "läuft". Vielleicht sollte ich mich nächstes mal klarer ausdrücken.
Die VMs waren wie gesagt noch zusätzlich verschlüsselt.
Ist bei einem kompromittierten Hostsystem irrelevant -> vom Schlimmsten ausgehen.Es spricht sicher einiges dafür, dass das kein Profi-Hacker war, dieser verhält sich unauffälliger (bspw. Passwort ändern), schafft sich eher alternative Zugangsmöglichkeiten, um weiter in das System eindringen zu können. Aber es kann auch durchaus sein, dass einer nur die Vorabit leistet und seine Zugänge dann weiterverkauft/-verbreitet.