Server "indbrud"
Tja så skete det..
Natten til søndag var der nogen der brød ind i min server, overtog den og smed et par rootkits på den.
Jeg opdagede det søndag da jeg kom til live efter en bytur.. root password var ændret på min server..
Dette skræmte mig selvfølgelig lidt, da jeg syntes det burde være temmeligt svært at gætte - mange tegn og forskellige typer tegn. Men jeg genstartede og nulstillede root passwordet vha. init=/bin/bash i Grub.
Det viste sig så, at der var installeret 2 rootkits, SHV4 og SHV5 (fandt dem med rkhunter), mine logfiler var slettet og root passwordet ændret. Ellers var der ikke sket det vilde. Der havde været forskellige root logins fra f.eks. Belgien og Italien - de havde selvfølgelig brugt forskellige proxies.
Men jeg valgte hurtigt at gepartitionere og formatere hele system partitionen, da jeg kunne se en del filer i /bin/ var ændret (sikkert af de rootkits), og det ikke var værd at risikere de skulle gå amok.
Nu sidder jeg så tilbage og tænker på.. HVORDAN FAEN KOM DE IND?
Jeg havde apache2 (alm og ssl server), proftpd, bind (dns), dhcp3 og ssh kørende, som var tilgængeligt udefra. Systemet var et fuldt opdateret og patched Debian Lenny (testing) system.
De eneste par fejl jeg kan se var, at jeg havde et par porte for meget åbent. Min router kan kun natte et bestemt (lille) antal porte, så derfor var dhcp og dns vist også delte. Det var nok dumt, men ved ikke om de er kommet ind gennem den vej?
Ligeledes skulle jeg havde disabled root adgang via ssh - har jeg også i min nye install.
Nu har jeg så installeret hele systemet igen, denne gang Debian etch (stable). Men er systemet så mere sikkert denne gang? Eller kan jeg blot gå og vente på det sker igen? Har lagt mærke til i dag, at der har været en del forsøg på root login (som nu er disabled), men har ikke før lagt mærke til om det er meget normalt?
Nogen ideer til, hvordan de banditter kom ind?
Natten til søndag var der nogen der brød ind i min server, overtog den og smed et par rootkits på den.
Jeg opdagede det søndag da jeg kom til live efter en bytur.. root password var ændret på min server..
Dette skræmte mig selvfølgelig lidt, da jeg syntes det burde være temmeligt svært at gætte - mange tegn og forskellige typer tegn. Men jeg genstartede og nulstillede root passwordet vha. init=/bin/bash i Grub.
Det viste sig så, at der var installeret 2 rootkits, SHV4 og SHV5 (fandt dem med rkhunter), mine logfiler var slettet og root passwordet ændret. Ellers var der ikke sket det vilde. Der havde været forskellige root logins fra f.eks. Belgien og Italien - de havde selvfølgelig brugt forskellige proxies.
Men jeg valgte hurtigt at gepartitionere og formatere hele system partitionen, da jeg kunne se en del filer i /bin/ var ændret (sikkert af de rootkits), og det ikke var værd at risikere de skulle gå amok.
Nu sidder jeg så tilbage og tænker på.. HVORDAN FAEN KOM DE IND?
Jeg havde apache2 (alm og ssl server), proftpd, bind (dns), dhcp3 og ssh kørende, som var tilgængeligt udefra. Systemet var et fuldt opdateret og patched Debian Lenny (testing) system.
De eneste par fejl jeg kan se var, at jeg havde et par porte for meget åbent. Min router kan kun natte et bestemt (lille) antal porte, så derfor var dhcp og dns vist også delte. Det var nok dumt, men ved ikke om de er kommet ind gennem den vej?
Ligeledes skulle jeg havde disabled root adgang via ssh - har jeg også i min nye install.
Nu har jeg så installeret hele systemet igen, denne gang Debian etch (stable). Men er systemet så mere sikkert denne gang? Eller kan jeg blot gå og vente på det sker igen? Har lagt mærke til i dag, at der har været en del forsøg på root login (som nu er disabled), men har ikke før lagt mærke til om det er meget normalt?
Nogen ideer til, hvordan de banditter kom ind?
Kommentarer16
Re: Server "indbrud"
Re: Server "indbrud"
Vil bare gerne vide, hvordan de kan gøre det/kommer ind.. For da irriterende man ikke ved hvor ens sikkerhedshul er, eller om det er en fejl i en service?
Re: Server "indbrud"
hold systemet opdateret
så er der hvist ikke det vilde du kan gøre uden at hacke det store :)
- ellers gør som du gør nu, og hold et åbent øje med det
evt krypter vigtige filer til en bestemt bruger
Re: Server "indbrud"
Desuden kan du også altid sørge for at rettighederne på dine mapper er sat fornuftige, men alt dette ved du nok allerede. Det virker, som om du har gjort det, som langt de fleste dødelige kan gøre for at beskydte sig mod angreb udefra.
Hmm, har du skiftende udaf gående IP? Eller hvordan ligger det med det?, For det var jo da også en mulighed for at beskydte sig lidt.
Men som de andre antyder, har du nok blot været udheldig, og så må man jo tænke over at selv sider som newz.dk m.fl. er blevet cracket i den seneste tid :S
Håber du får dit system til at køre optimalt igen og at du undgår sådanne angreb i fremtiden :)
Re: Server "indbrud"
Re: Server "indbrud"
Anyway, så tror jeg også din fejl var root adgang via ssh. Hvis man kender brugernavnet (root i dette tilfælde), er et brute force angreb en overkommelig opgave. Kan man ikke logge ind som root, men kun som alm. bruger, er det ulige sværere. Forsimplet sagt, kræver det X tidsenheder at knække en ID eller et password. Med root adgang skal man kun knække passwordet, altså bruge X tidsenheder. Uden root-adgang skal man ca. bruge X*(X+1), hvilket er temmelig meget mere. Det holder så ikke helt i praksis, for de fleste ID'er er korte og nemme... Men alligevel.
Kan man i Linux egentlig lave det trick med at udelukke en bestemt ID eller IP et vist tidsrum efter fx 3 forgæves login-forsøg?
Tak for flere gode svar..
#4
#4 Du skriver Altså her tænkes på at man ikke kan logge på med root brugeren direkte via sshd, det samme gælder for apache.
Hvad mener du helt præcist med
#5 Ye tror også jeg vil overveje en ofte backup af logfiler.. Problemet er bare, at det er for sent med daglig backup, hvis en først er brudt ind og har slettet lortet, førend den daglige backup eksekveres..
#6 Kunne godt ske jeg skulle overveje noget andet.. Bare nogle brugere der bruger min server som backup via. ftp. Skod protokol, men den er simpel og hurtig for klienter at bruge. Og siden det kun er klienter, og ikke root der kan logge på vha. ftp, så burde det ikke være problemet, med mindre der er exploits i proftpd?
Og jo, jeg bruger faktisk programmet fail2ban, som brugere bliver IP banned vha. iptables, hvis de forgæves forsøger at logge ind mere end 4 gange. Så rent bruteforce kan det ikke have været..
Re: Server "indbrud"
Re: Server "indbrud"
Hvis du ikke er hacket med brute force, vil jeg for alvor være bekymret.
Re: Server "indbrud"
Re: Server "indbrud"
Jeg er også rimelig sikker på at OpenSSH understøtter et 1 min ban hvis man slår forkert 3 gange. Jeg har ihvertfald engang sat det til hvis jeg ikke husker forkert :)
Re: Server "indbrud"
Hvis en hacker både skal gætte brugernavn og password besværlig gør det hans "job".
#6 Ja væk med FTP, SSH klarer opgaven udemærket. Der findes masser af brugervenlige klienter, der understøtter scp/sftp.
Re: Server "indbrud"
Re: Server "indbrud"
#12 Ahh ja selvfølgelig :) Har sat op i sshd_config vha. AllowUsers direktivet, at det kun er de brugere jeg ønsker, der kan logge ind via. ssh.. Havde jeg ikke før, men der havde apache brugeren * i /etc/shadow, altså det burde ikke være muligt for brugeren at logge sig ind.
#13 Vil lige læse lidt mere om RSA/DSA.. Tak for tippet :)
Re: Server "indbrud"
#15
Apaches shell i Debian
Apaches shell i Debian er faktisk (/etc/passwd)
www-data:x:33:33:www-data:/var/www:/bin/sh
Men i /etc/shadow er den så sat til
www-data:*:13926:0:99999:7:::
Hvor * så betyder, at brugeren ikke kan/må logge ind i en shell..
Så det betyder vel ikke noget, at apaches shell er /bin/sh?