tfouabi
Goto Top

Server vermutlich gehackt, extremer ausgehender Traffic. Wie erkennen und blockieren?

Hallo liebe Community,
ich hab ein "kleines" Problem und zwar habe ich Proxmox auf einem Hetzner Server, mit dem ich Hobbymäßig aktuell alles rund um Debian und virtualisierung lerne.
Scheinbar wurde mein Server aber nun gehackt, da ich ganze Zeit so hohen ausgehenden Traffic habe das ich kaum Verbindung zum Server kriege.
Auch das root Passwort war anders was ich dank Rescuesystem wieder ändern konnte.
Leider bin ich noch nicht weit genug um zu wissen wie ich erkenne woher das ganze kommt und wie ich das ganze blockiere. Deswegen dachte ich mir euch Profis zu fragen. Hetzner bietet ja leider keine Hilfe dazu.
Ich hoffe ich habe mein Problem ausführlich genug geschildert. Vermutlich passierte das ganze durch veraltete Software.

Lieben Gruß und danke im Voraus für eure Tipps und Hilfen.

Content-ID: 621142

Url: https://administrator.de/forum/server-vermutlich-gehackt-extremer-ausgehender-traffic-wie-erkennen-und-blockieren-621142.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

certifiedit.net
certifiedit.net 10.11.2020 aktualisiert um 23:42:51 Uhr
Goto Top
Moin,

wenn das Ding sowieso nicht produktiv läuft. Abschalten, hol dir daheim einen kleinen Server und lerne, erst dann gehst du ins Internet...

Ich hoffe ich habe mein Problem ausführlich genug geschildert. Vermutlich passierte das ganze durch veraltete Software.

wie das? Updates ist so ziemlich das erste (neben hardening...ok...), was man mit neuen Systemen durchführt.

Grüße

PS: Sollte das Ding doch produktiv laufen: Such dir jemanden, der direkt am System prüft, was noch machbar ist. Und verständige ggf. die Datenschutzbehörde.
cykes
cykes 10.11.2020 um 23:41:38 Uhr
Goto Top
Guten Abend,

es tut mir leid, aber ich muss das mal so direkt aussprechen: Server SOFORT vom Netz nehmen! Da Du nicht sicher fesstellen kannst, was der genau dort macht, gilt das System als komprommittiert und muss sofort offline genommen werden. Jede Minute die es länger online ist, kann eine Minute zu viel sein und die wird auf Dich zurückfallen, je nachdem was dort gemacht wird. Analysieren wirst Du da nichts mehr können, aber rechtliche Schritte können ggf. auf Dich zukommen und das wird kein Spaß.

NIcht ordentlich konfigurierte Testsysteme zum Herumspielen und Lernen betreibt man lokal und nicht im Internet.

Gruß

cykes
StefanKittel
StefanKittel 10.11.2020 um 23:43:34 Uhr
Goto Top
Hallo,

zuerst abschalten, dann weiter überlegen was Du mit der Kiste machst.
Der Traffic könnte noch auf irgendeine Software/Modul zurückzuführen sein was man suchen kann.
Aber ein geändertes Root-Password ist ja schon eindeutig.

Jede Sekunde nutzt Jemand das um andere Server zu hacken, Leute zu bestehlen und Viren zu verteilen.
Und Du machst Dich strafbar oder zumindest mitschuldig. Die Spur führt ja nun zu Deinem Server und damit erstmal zu Dir.

Also sofort abschalten und danach weiter überlegen.

Stefan
Lochkartenstanzer
Lochkartenstanzer 11.11.2020 aktualisiert um 07:51:46 Uhr
Goto Top
Moin,

Als erstes fährst das System im Rescue-Modus hoch und machst ein Image des System.

Dieses sicherst Du weg und anschließend iStößt Du eine Neuinstallation mit einem aktuellen OS bei Hetzner an.

Das weggesicherte Image gibst Du dann einem Experten, der das mit forensichen Tools prüfen kann.

lks
142583
142583 11.11.2020 um 08:56:13 Uhr
Goto Top
In der Regel hat ein Linux eins dieser Tools dabei: https://www.tecmint.com/linux-network-bandwidth-monitoring-tools/

Oder versuche mal eines davon zu installieren...
Lochkartenstanzer
Lochkartenstanzer 11.11.2020 um 09:20:12 Uhr
Goto Top
Zitat von @142583:

In der Regel hat ein Linux eins dieser Tools dabei: https://www.tecmint.com/linux-network-bandwidth-monitoring-tools/


Nein, ein verseuchtes System betreibt man nicht einfach so weiter. Das isoliert man oder deaktiviert es.

lks
142583
142583 11.11.2020 um 09:34:51 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @142583:

In der Regel hat ein Linux eins dieser Tools dabei: https://www.tecmint.com/linux-network-bandwidth-monitoring-tools/


Nein, ein verseuchtes System betreibt man nicht einfach so weiter. Das isoliert man oder deaktiviert es.

lks

Es ist seine Hobbykiste und Hetzner ist es egal. Er möchte lernen und weiß schon wie man die Kiste runterfährt.

Was Du und ich machen würden, hat er nicht gefragt.
Lochkartenstanzer
Lochkartenstanzer 11.11.2020 aktualisiert um 10:06:07 Uhr
Goto Top
Zitat von @142583:

Es ist seine Hobbykiste und Hetzner ist es egal. Er möchte lernen und weiß schon wie man die Kiste runterfährt.

Was Du und ich machen würden, hat er nicht gefragt.


Wenn er lernen will, fährt er die Kiste runter, zieht sich ein Image und macht die Kiste neu. Dann sucht er sich ein forensisches Tool und analysiert damit dann das Image oder klatscht das auf eine Kiste in einem abgesicherten Netz um es da zu analysieren.

Rätst doch auch keinem Autofahrer, einfach solange im normalen Straßenverkehr weiterzufahren, auch wenn er gemerkt hat, daß sein "selbstfahrendes Auto" (= teslo & Co.) manchmal verzögert bremst oder kleine Schlenker auf die Gegenfahrbahn macht.

Der weiterbetrieb des Systems ist, wenn schon so ein konkreter, begründeter Verdacht besteht, grob fahrlässig udn gefährdet andere im Netz enorm und ist für den "Eigentümer" Haftungsrisiken verbunden. Insbesondere dann, wenn er wider das Ding weiterbetreibt!

lks
fisi-pjm
fisi-pjm 11.11.2020 um 10:10:24 Uhr
Goto Top
Zitat von @142583:

Zitat von @Lochkartenstanzer:

Zitat von @142583:

In der Regel hat ein Linux eins dieser Tools dabei: https://www.tecmint.com/linux-network-bandwidth-monitoring-tools/


Nein, ein verseuchtes System betreibt man nicht einfach so weiter. Das isoliert man oder deaktiviert es.

lks

Es ist seine Hobbykiste und Hetzner ist es egal. Er möchte lernen und weiß schon wie man die Kiste runterfährt.

Was Du und ich machen würden, hat er nicht gefragt.
Uff, dieser Rat bei dem Namen....

Wenn ich bei der Autowerkstatt sage "könnt ihr mir bitte die Reifen wechseln" und die Gummis sind runter, dann wird mich die Werkstatt zumindest darauf hinweisen, wenn nicht sogar sich weigern die Reifen drauf zu ziehen.
Also Bitte Kiste schnellstmöglich vom Netz nehmen
Lochkartenstanzer
Lochkartenstanzer 11.11.2020 um 10:19:49 Uhr
Goto Top
Zitat von @fisi-pjm:

Wenn ich bei der Autowerkstatt sage "könnt ihr mir bitte die Reifen wechseln" und die Gummis sind runter, dann wird mich die Werkstatt zumindest darauf hinweisen, wenn nicht sogar sich weigern die Reifen drauf zu ziehen.

Also wenn Du nur aus Hobby ein bischen in der Gegend rumfährst und das Auto nicht geschäftlich als Kurierfahrer nutzt, ist das doch o.k. mit abgefahrenen Reifen rumzufahren. duck und wech

lks
fisi-pjm
fisi-pjm 11.11.2020 aktualisiert um 10:32:12 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @fisi-pjm:

Wenn ich bei der Autowerkstatt sage "könnt ihr mir bitte die Reifen wechseln" und die Gummis sind runter, dann wird mich die Werkstatt zumindest darauf hinweisen, wenn nicht sogar sich weigern die Reifen drauf zu ziehen.

Also wenn Du nur aus Hobby ein bischen in der Gegend rumfährst und das Auto nicht geschäftlich als Kurierfahrer nutzt, ist das doch o.k. mit abgefahrenen Reifen rumzufahren. duck und wech

lks
hmmm, Dachte immer das sei anders herum. Stichwort Paketdienste alla Hermes und Konsorten.
Lochkartenstanzer
Lochkartenstanzer 11.11.2020 aktualisiert um 10:35:04 Uhr
Goto Top
Zitat von @fisi-pjm:

Zitat von @Lochkartenstanzer:>

Also wenn Du nur aus Hobby ein bischen in der Gegend rumfährst und das Auto nicht geschäftlich als Kurierfahrer nutzt, ist das doch o.k. mit abgefahrenen Reifen rumzufahren. duck und wech

lks
hmmm, Dachte immer das sei anders herum. Stichwort Paketdienste alla Hermes und Konsorten.

Sowas nennt man "dezenter Hinweis". face-smile

lks
GrueneSosseMitSpeck
GrueneSosseMitSpeck 11.11.2020 um 10:58:43 Uhr
Goto Top
Anzeige erstatten... Server hacken ist Computerkriminalität. Das Image legt man sich zur Seite, und den Vorgang, wie genau man das Image rauskopiert hat sollte man dokumentieren.

Solange einem aber selbst kein Schaden entstanden ist, malen die Mühlen der Staatsanwaltschaft langsam... und man ist auch nicht verpflichtet, selber eine forensische Analyse zu durchzuführen oder zu bezahlen. Das macht ggf. die Staatsanwaltschaft solange man keine offenkundigen illegalen Aktivitäten selber vorfindet wie z.B. kinderpornographisches Material.
maretz
maretz 11.11.2020 um 11:31:10 Uhr
Goto Top
Ok - was ist denn was er bisher GLAUBT zu wissen?
Das ding macht ausgehend "viel" traffic? Das kann erst mal viel bedeuten - ggf. ist auch nur irgendwas auf dem "proxmox" am permanenten laden. Und wenn ich jedesmal meinen Server abschiessen würde weil nen script-kiddy meint es will lustig die 1000 Default-Seiten per script rumprobieren würde ich den gar nich mehr brauchen...

Dann kann das ganze ja auch andere Gründe haben (falsche DNS-Einstellungen - so das nen Lookup beim SSH-Login ggf. einfach mal schief läuft).

Damit ist dein Beispiel einfach unsinnig... Klar, wenn ich WEISS das die Kiste gehackt wurde dann kann man drüber reden, aktuell vermute ich das. Um bei deinem Auto zu bleiben - weils Licht nich geht verschrottest du also einfach mal das ganze Auto ohne zu gucken ob ggf. einfach nur die Glühlampe defekt ist? Kann man machen - is halt dann ein wenig "overkill".

Das ganze mit den Haftungsrisiken ist zwar in der theorie richtig - in der Praxis aber wohl eher selten relevant. Auch da gilt - wenn ich jeden anzeige dessen Server geknackt wurde und über den nen "Angriff" auf meinen Server läuft hätte ich lange tage und nix anderes zu tun... Ich denke auch da kann man erst mal schauen was überhaupt sache ist und DANN handeln... Einfach mal Kopflos die Kiste plattmachen hilft da eher wenig - zumal man dann auch nich weiss WAS passiert ist und das ganze 5 min später wieder auftritt. Da hilft auch kein Server zuhause dann -> weil da der eigene Router durch NAT ja das meiste wegfängt...
Lochkartenstanzer
Lochkartenstanzer 11.11.2020 um 11:38:01 Uhr
Goto Top
Zitat von @maretz:

Ok - was ist denn was er bisher GLAUBT zu wissen?

Wenn das root-Paßwort geädert wurde, wie der TO schreibt, ist das ein eindeutiges Zeichen. Alleine das reicht schon, um die Kiste plattzumachen.

lks
kurbach
kurbach 11.11.2020 um 15:20:50 Uhr
Goto Top
Also. Das meiste wurde sowieso bereits gesagt. Auf die Gefahr hin, dass ich nochmal etwas wiederhole:
SSH hardening:
1. Server plattmachen war bereits fix.

2. Neu aufsetzen
3. Unprivileged User erstellen (Username nicht einfach zu erraten, sudo geben, testen
4. Root ssh Login deaktivieren
5. Zertifikate erstellen, und Login mit zwei usern testen, Zertifikate backuppen. Lernen wie man mit Zertifikaten umgeht
6. Password login unterbinden, Zertifikate only.
Optional:
7. Port vom SSH wechseln. (Nicht unbedingt 2222.... face-smile
8. Fail2ban
9. SSH jailen auf Port 22. (Über nen SSH abuse vom SSH banner möglich)
Technotim hat dazu n cooles yt vid gehabt glaub.
Viel Erfolg und Spaß dabei, is ne spannende Kiste.

Proxmox? Kannst da vielleicht ne virtuelle Firewall drauf machen? Hab im homelab auf nem esxi auch ne opnsense laufen, die quasi alles Monitoren kann.... Nur so als Info.

Hetzner hat doch zudem bei Servern ne eigene fw davor. Dadurch hätte man den vServer vom Netz nehmen können und über die proxmox console ggf via chroot das System untersuchen können. Dann hätte man wenigstens Mal Ermittler spielen können, auch wenns hinterher vernichtet wird.

VG, K
aqui
aqui 12.11.2020 aktualisiert um 10:59:53 Uhr
Goto Top
nicht weit genug um zu wissen wie ich erkenne woher das ganze kommt und wie ich das ganze blockiere.
Fail2ban ist hier dein bester Freund und sollte man zwingend installieren:
https://www.thomas-krenn.com/de/wiki/SSH_Login_unter_Debian_mit_fail2ban ...
In den Fail2ban Logs unter /var/log kannst du dann auch genau sehen WER der pöhse Buhmann ist der deinem Server an den Kragen will und wo der herkommt (utrace.de) face-wink
Solche simplen Binsenweisheiten sollte man als Betreiber eines Servers im öffentlichen Internet aber schon kennen...?!
https://www.heise.de/ct/artikel/SSH-absichern-221597.html?seite=all
usw.
Lochkartenstanzer
Lochkartenstanzer 12.11.2020 aktualisiert um 11:03:50 Uhr
Goto Top
Zitat von @aqui:

nicht weit genug um zu wissen wie ich erkenne woher das ganze kommt und wie ich das ganze blockiere.
Fail2ban ist hier dein bester Freund und sollte man zwingend installieren:

Wenn da massiv ausgehender Traffic ist und das Root-Passwort schon geändert wurde (und vermutlich noch einige Zertifikate für ssh & Co. hinterlegt wurden) ist es für fail2ban schon zu spät. Das reagiert ja nur bei fehlgeschlagenen Versuchen.

lks
Tfouabi
Tfouabi 12.11.2020 um 11:31:49 Uhr
Goto Top
Danke erstmal für all eure Antworten und Tipps. Ich würde das Problem gerne temporär lösen um mir Backups zu ziehen, da einzelne Dinge wie Nextcloud und Plex produktiv liefen aber isoliert vom Hostsystem (da virtualisiert + verschlüsselt). Meine Idee wäre die Ports zu sperren die den Traffic verursachen oder auch die IP. Leider weiß ich bzgl. dem ganzen nur nicht wie. Dannach würde ich den Server sofort neu aufsetzen und nach den üblichen Sicherheitsmaßnahmen neu aufsetzen. Mit der Lösung bin ich ganz zufrieden bei Hetzner da ich den Server auch gut für mein Studium verwenden kann. Meine Faulheit hat mir nun aber gezeigt was passieren kann, aus Fehlern lernt man. Nochmal lasse ich es nicht soweit kommen. Das er gehackt wurde war aufgrund des Root Passworts auch nur eine Vermutung in der History konnte ich sonst nichts finden. User sind ebenfalls gleich geblieben.
aqui
aqui 12.11.2020 um 11:47:18 Uhr
Goto Top
Meine Idee wäre die Ports zu sperren die den Traffic verursachen oder auch die IP
iptables ist dein Freund ! face-wink
umount
umount 12.11.2020 um 16:03:17 Uhr
Goto Top
Moin,

willkommen im Club habe ebenfalls bei Hetzner zwei Server.
Hetzner hat eine Firewall diese kann man Konfigurieren, ich für meinen Punkt schließe Sämtliche Administrative Schnittstellen.
Die Hetzner Firewall bietet auch die Möglichkeit den Zugriff auf eine IP Adresse die Zugreifen darf einzuschränken

Mfg

Yannick
Tfouabi
Tfouabi 12.11.2020 um 20:26:31 Uhr
Goto Top
Nur wie erkenne ich was ich mit den iptables machen muss ist die Frage.
Tfouabi
Tfouabi 12.11.2020 um 20:27:12 Uhr
Goto Top
Die Firewall kann doch nur eingehenden Traffic laut Hetzner
142583
142583 12.11.2020 um 20:35:09 Uhr
Goto Top
Zitat von @Tfouabi:

Nur wie erkenne ich was ich mit den iptables machen muss ist die Frage.


Sei doch bitte Mal so nett und poste die Zugangsdaten, dann knobeln wir aus, wer das Setup für dich macht.
Tfouabi
Tfouabi 12.11.2020 um 20:40:23 Uhr
Goto Top
Danke für dieses Kommentar. Genau das habe ich mir erhofft! Soviel Zeit hätte ich auch gerne.
142583
142583 12.11.2020 um 20:44:37 Uhr
Goto Top
Zitat von @Tfouabi:

Danke für dieses Kommentar. Genau das habe ich mir erhofft! Soviel Zeit hätte ich auch gerne.

Sollen wir jetzt links zu iptables posten, wie man damit arbeitet? Oder Bestpractices Firewalling?

Wir wissen nichts über die Konfig und das genaue Verhalten, außer dass es dir am Know How mangelt.
HanTrio
HanTrio 12.11.2020 um 20:46:44 Uhr
Goto Top
Die übliche Herangehensweise wäre eine restrictive Firewall, sprich: Du erlaubst explizit nur und ausschließlich das, was laufen soll, ALLES Andere wird dicht gemacht.

Remote Zugriff per SSH? Port 22 auf (und ggf. noch auf spezielle IPs beschränken)
Webserver? Port 80 + 443 auf.
etc.
Tfouabi
Tfouabi 12.11.2020 um 21:06:57 Uhr
Goto Top
Wenn ich Regeln auf der Hostmaschine via iptables erstelle, sind die VMs davon ebenfalls betroffen? Haben nämlich eigene Ipv4 adressen
maretz
maretz 13.11.2020 um 07:20:07 Uhr
Goto Top
Sag mal - hast du zumindest mal GRUNDLEGEND gesucht was iptables macht?

Du hast prinzipiell 3 Chains:
Input / Output / Forward...
Input: Alles was in deinen Server reingeht (auf den Host!)
Output: Alles von deinem Server (vom Host) rausgeht
Forward: Alles was dein Server in irgendeine Richtung weiterleitet (z.B. eben auch auf interne VMs)

Was du jetzt damit machen musst? Dir überlegen was deine Firewall machen soll -> welche Ports sollen offen sein, welche nicht... Allerdings wird das eher nicht dein Problem lösen. Wenn dein Server gehackt wurde dann ja vermutlich über einen Dienst der auch da sein sollte (SSH, http,...) - du musst dir also auch überlegen warum das passiert ist und was du dagegen tust... wenn du z.B. root mit dem Passwort "rootpw" von aussen zulässt und in der FW der Port 22 erlaubt wird -> dann wird das auch wieder passieren...
maretz
maretz 13.11.2020 um 07:22:09 Uhr
Goto Top
Zitat von @Tfouabi:

Danke für dieses Kommentar. Genau das habe ich mir erhofft! Soviel Zeit hätte ich auch gerne.

Die meisten hier hätten auch gerne soviel Zeit um mit völliger unkenntnis Server ins Netz zu stellen um sich dann zu wundern wenn die Kisten nich mehr tun was die sollen... Am Ende kostet das nämlich mehr Zeit als sich das Wissen erst anzueignen... Aber naja, du musst wohl mehr als genug Zeit und Langeweile haben ...
cykes
cykes 13.11.2020 um 07:54:31 Uhr
Goto Top
Nur mal für's Protokoll:

10.11. : Frage eingestellt und kurz darauf gleich zwei Antworten "Server offline nehmen" erhalten.
11./12.11.: Weitere mehr oder weniger gleichlautende Hinweise bekommen und erst mittags am 12. Rückmeldung vom TE, dass er erst analysieren möchte (Kiste läuft also immer noch)
Jetzt haben wir (Freitag) 13. face-wink - Kiste läuft immer noch, TE eiert immer noch rum, erstmal Firewalls lernen und nebenher von seinem Plex schön Filmchen schauen.
Das war bewusst überspitzt, aber Du solltest SCHNELLSTMÖGLICH handeln.

Prognose:
Je nachdem, was da läuft, ist vermutlich schon ein nettes Schreiben unterwegs oder ähnliches.

Im Zweifel laufen da noch weitere Dinge, die nicht so auffälligen Traffic oder Systemverhalten zeigen.
142583
142583 13.11.2020 um 08:07:30 Uhr
Goto Top
Zitat von @Tfouabi:

Wenn ich Regeln auf der Hostmaschine via iptables erstelle, sind die VMs davon ebenfalls betroffen? Haben nämlich eigene Ipv4 adressen

Kann es sein dass du uns verarschst?

Bist du überhaupt in der Lage damit zu arbeiten? Wenn ja.

1. Logging aktivieren
2. Regel für SSH anlegen und gucken ob sie greift.
3. any:any Regel machen, dass alles außer SSH verworfen wird.
4. Deine, dir bekannten, Ports öffnen. Ggf Source und Destination einschränken,wenn möglich.
5. Logs angucken
6. Logs angucken
7. Logs angucken

Und vorher das wissen und verstehen, was @maretz schreibt. Ohne das wissen über iptables wird es nichts. Grundlegendes TCP-UDP-Wissen und etwas DNS usw... ist ebenfalls nötig.
Archeon
Archeon 13.11.2020 um 10:47:16 Uhr
Goto Top
Zitat von @cykes:

Nur mal für's Protokoll:

10.11. : Frage eingestellt und kurz darauf gleich zwei Antworten "Server offline nehmen" erhalten.
11./12.11.: Weitere mehr oder weniger gleichlautende Hinweise bekommen und erst mittags am 12. Rückmeldung vom TE, dass er erst analysieren möchte (Kiste läuft also immer noch)

Exakt das Gleiche habe ich mir auch vorhin gedacht, die Arschruhe bei einem gehacktem Server muss man erst mal weg haben.
Lochkartenstanzer
Lochkartenstanzer 13.11.2020 um 10:52:29 Uhr
Goto Top
Zitat von @Archeon:

Zitat von @cykes:

Nur mal für's Protokoll:

10.11. : Frage eingestellt und kurz darauf gleich zwei Antworten "Server offline nehmen" erhalten.
11./12.11.: Weitere mehr oder weniger gleichlautende Hinweise bekommen und erst mittags am 12. Rückmeldung vom TE, dass er erst analysieren möchte (Kiste läuft also immer noch)

Exakt das Gleiche habe ich mir auch vorhin gedacht, die Arschruhe bei einem gehacktem Server muss man erst mal weg haben.


Insbesodnere wo der doch produktiv genutzt wird. Da werden sich die Kudne aber freuen, daß Hinz udn Kunz Ihre Daten haben.


lks

PS: iirc kosten DVGSO-Verstöße bei denen Daten abhanden kommen mindestens 250k€, wenn man diese nicht meldet mindestens das Doppelte. Da sollte man als (kleine) Firma ganz schnell mit abschalten und zurechtbiegen sein, wenn man nicht pleite gehen will.

PPS: Lieber TO hast Du diesen Vorfall schon den Behörden gemeldet? Anonsten droht Dir auch Unbill von denen!
Tfouabi
Tfouabi 13.11.2020 um 19:28:19 Uhr
Goto Top
Studium wie gesagt. Und ich denke keiner ist perfekt und übersieht Dinge auch mal oder?
Tfouabi
Tfouabi 13.11.2020 um 19:30:02 Uhr
Goto Top
Wie kommst du da drauf das die Kiste immernoch läuft?
Die Kiste war schon offline bevor ich überhaupt den Thread hier erstellt habe.

Warum sparst du dir deine Zeit einfach nicht wenn du sowieso nichts produktives zu dem ganzen Beitragen möchtest?
Tfouabi
Tfouabi 13.11.2020 um 19:30:30 Uhr
Goto Top
Warum sollte ich in Panik verfallen wenn das Problem schnell erkannt wurde und der Server vom Netz genommen?
Tfouabi
Tfouabi 13.11.2020 um 19:31:13 Uhr
Goto Top
Kann es sein das du meinen Beitrag nicht gelesen hast?
Tfouabi
Tfouabi 13.11.2020 aktualisiert um 19:34:38 Uhr
Goto Top
PS: Problem ist gelöst, danke das ihr mir gezeigt habt in Zukunft keine Fragen hier stellen zu müssen da es hier scheinbar wenige Leute gibt die einem wirklich helfen wollen und die meisten das ganze hier scheinbar nur nutzen um ihre Komplexe auszuleben. Weil ja auch jeder sofort alles zu 100% in richtiger Reihenfolge weiß.

Und ein großes danke an alle die konstruktive Dinge geäußert haben.
Lochkartenstanzer
Lochkartenstanzer 13.11.2020 um 20:27:38 Uhr
Goto Top
Moin,

Es wäre schon, wenn Du zumindest kurz ein Hinweis oder ein Zitat angeben würdest, auf was sich Deien Antworten beziehen. Oder Du faßt alle Antworten in eine zusammen, damit man nicht 5 verschiedene hat, ejweils mit einem Hinweis, auf wen Du die Antwort beziehst-.


Zitat von @Tfouabi:

PS: Problem ist gelöst, danke das ihr mir gezeigt habt in Zukunft keine Fragen hier stellen zu müssen da es hier scheinbar wenige Leute gibt die einem wirklich helfen wollen und die meisten das ganze hier scheinbar nur nutzen um ihre Komplexe auszuleben. Weil ja auch jeder sofort alles zu 100% in richtiger Reihenfolge weiß.

Naja, die Informationen die Du geliefert hast haben die Leute nur zum Spekulieren gebracht. Und glaube mir, ich habe genug "wildgewordene" Server von "naiven" Sysadmins bändigen müssen, um zu wissen, daß man da schnell handeln muß, bevor die Schandensersatzklagen eintrudeln.

Und daß Du nicht alles einzeln vorgekaut bekommst, sollte in einem Admin-Forum auch klar sein. Spätestens wenn Du "iptables" gesagt bekommst, wäre es Deine Aufgabe ein Howto Dir reimzuziehen und dann bei Detailsfragen nachzufragen.

lks
cykes
cykes 13.11.2020 um 21:36:31 Uhr
Goto Top
Ich weiß auch nicht genau, ob sich das folgende auf mich bezieht, aber dennoch:
Zitat von @Tfouabi:
Wie kommst du da drauf das die Kiste immernoch läuft?
Die Kiste war schon offline bevor ich überhaupt den Thread hier erstellt habe.
Hier bist Du aber nicht ganz ehrlich, oder?
Am 12.11. hast Du um die Mittagszeit geantwortet:
Danke erstmal für all eure Antworten und Tipps. Ich würde das Problem gerne temporär lösen um mir Backups zu ziehen, da einzelne Dinge wie Nextcloud und Plex produktiv liefen aber isoliert vom Hostsystem (da virtualisiert + verschlüsselt).
Das ist einerseits ein Trugschluss, dass man vom Hostsystem nicht auch in die virtualisierten Systeme einbrechen kann und andererseits klingt das doch stark nach "Server läuft noch" oder etwa nicht? Und "das Problem" ist eher "eins der Probleme", die ggf. weiteren Probleme hast Du nur noch nicht entdeckt. Man kann halt nicht davon ausgehen, dass der Hacker nur das gemacht hat, was Du bereits entdeckt hast.
Erschreckend war in der Folge dann auch:
Meine Idee wäre die Ports zu sperren die den Traffic verursachen oder auch die IP. Leider weiß ich bzgl. dem ganzen nur nicht wie.
Glaub mir, ich habe schon viele amoklaufende Systeme unter den Fingern gehabt, früher (tm) waren es eher falsch konfigurierte Mailserver oder halbherzig aufgesetzte FTP-Server, später dann zusammengestückelte Hypervisor usw.
Im Endeffekt hast Du jetzt nur ein besonders auffälliges Symptom behoben (oder vielleicht mit dem geänderten root-Passwort eher 1,5), aber Du weisst noch nicht, ob nicht noch weitere backdoors, Dienste oder auch Scripte laufen.
Es hörte sich zu keiner Zeit so an, als wären Dir die Gefahr und die Konsequenzen bewusst.
Vgl. auch
Warum sollte ich in Panik verfallen wenn das Problem schnell erkannt wurde und der Server vom Netz genommen?
Panik ist sicher nie gut, aber eine gesunde Besonnenheit sollte schon vorhanden sein, wenn man einen Server ins Internet hängt.

Gruß

cykes
Tfouabi
Tfouabi 14.11.2020 um 06:34:34 Uhr
Goto Top
Deswegen habe ich auch "lief" geschrieben und nicht "läuft". Vielleicht sollte ich mich nächstes mal klarer ausdrücken. Definitiv lief der Server vor der Erstellung schon nicht mehr da ich keine Lösung parat hatte, auch keine temporäre. Was sich aber nun erledigt hatte.
Die VMs waren wie gesagt noch zusätzlich verschlüsselt.
Tfouabi
Tfouabi 14.11.2020 um 06:35:29 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Moin,

Es wäre schon, wenn Du zumindest kurz ein Hinweis oder ein Zitat angeben würdest, auf was sich Deien Antworten beziehen. Oder Du faßt alle Antworten in eine zusammen, damit man nicht 5 verschiedene hat, ejweils mit einem Hinweis, auf wen Du die Antwort beziehst-.


Zitat von @Tfouabi:

PS: Problem ist gelöst, danke das ihr mir gezeigt habt in Zukunft keine Fragen hier stellen zu müssen da es hier scheinbar wenige Leute gibt die einem wirklich helfen wollen und die meisten das ganze hier scheinbar nur nutzen um ihre Komplexe auszuleben. Weil ja auch jeder sofort alles zu 100% in richtiger Reihenfolge weiß.

Naja, die Informationen die Du geliefert hast haben die Leute nur zum Spekulieren gebracht. Und glaube mir, ich habe genug "wildgewordene" Server von "naiven" Sysadmins bändigen müssen, um zu wissen, daß man da schnell handeln muß, bevor die Schandensersatzklagen eintrudeln.

Und daß Du nicht alles einzeln vorgekaut bekommst, sollte in einem Admin-Forum auch klar sein. Spätestens wenn Du "iptables" gesagt bekommst, wäre es Deine Aufgabe ein Howto Dir reimzuziehen und dann bei Detailsfragen nachzufragen.

lks

IPTables sind mir bekannt, ich dachte nur das es dort was spezielles gäbe was mir nicht bekannt wäre. Mit IPTables kann ich ja nicht die Quelle des Traffics finden.
maretz
maretz 14.11.2020 um 07:29:08 Uhr
Goto Top
Zitat von @Tfouabi:

Zitat von @Lochkartenstanzer:

Moin,

Es wäre schon, wenn Du zumindest kurz ein Hinweis oder ein Zitat angeben würdest, auf was sich Deien Antworten beziehen. Oder Du faßt alle Antworten in eine zusammen, damit man nicht 5 verschiedene hat, ejweils mit einem Hinweis, auf wen Du die Antwort beziehst-.


Zitat von @Tfouabi:

PS: Problem ist gelöst, danke das ihr mir gezeigt habt in Zukunft keine Fragen hier stellen zu müssen da es hier scheinbar wenige Leute gibt die einem wirklich helfen wollen und die meisten das ganze hier scheinbar nur nutzen um ihre Komplexe auszuleben. Weil ja auch jeder sofort alles zu 100% in richtiger Reihenfolge weiß.

Naja, die Informationen die Du geliefert hast haben die Leute nur zum Spekulieren gebracht. Und glaube mir, ich habe genug "wildgewordene" Server von "naiven" Sysadmins bändigen müssen, um zu wissen, daß man da schnell handeln muß, bevor die Schandensersatzklagen eintrudeln.

Und daß Du nicht alles einzeln vorgekaut bekommst, sollte in einem Admin-Forum auch klar sein. Spätestens wenn Du "iptables" gesagt bekommst, wäre es Deine Aufgabe ein Howto Dir reimzuziehen und dann bei Detailsfragen nachzufragen.

lks

IPTables sind mir bekannt, ich dachte nur das es dort was spezielles gäbe was mir nicht bekannt wäre. Mit IPTables kann ich ja nicht die Quelle des Traffics finden.

Das kommt jetzt drauf an WAS du einstellst... denn erst mal ist es nicht die Funktion von IPTables die Quellen zu zeigen. Es gibt aber ja auch das --log -> damit würdest du dann alle Treffer der Regel/Chain in ne Log-File schreiben. Und da sieht man dann natürlich sehr schön Quelle, Ziel, Port, Protokoll,....
cykes
cykes 14.11.2020 um 07:53:13 Uhr
Goto Top
Zitat von @Tfouabi:
Deswegen habe ich auch "lief" geschrieben und nicht "läuft". Vielleicht sollte ich mich nächstes mal klarer ausdrücken.
Das wäre sicher hilfreich gewesen. Ich wollte nur klarstellen, das man entgegen aller Zweifel, erstmal vom Schlimmsten ausgehen und die passende Maßnahme ergreifen sollte. Das ist auch die bessere Methode bei späterer beruflicher Kommunikation mit Kunden - das sensibilisiert den Kunden eher und man macht nicht erstmal einen (temporären) Flicken auf eins der Probleme und lässt den Kunden auf die Idee kommen "warum haben Sie den Server nicht vom Netz genommen und dann erst analysiert?".
Die VMs waren wie gesagt noch zusätzlich verschlüsselt.
Ist bei einem kompromittierten Hostsystem irrelevant -> vom Schlimmsten ausgehen.
Es spricht sicher einiges dafür, dass das kein Profi-Hacker war, dieser verhält sich unauffälliger (bspw. Passwort ändern), schafft sich eher alternative Zugangsmöglichkeiten, um weiter in das System eindringen zu können. Aber es kann auch durchaus sein, dass einer nur die Vorabit leistet und seine Zugänge dann weiterverkauft/-verbreitet.