Einbruchsversuche über SSH

Mickey_87f345 · 9. November 2019 um 12:03

Moin,

in einem anderen Artikel (http://www.wer-weiss-was.de/cgi-bin/forum/showarchiv…) schrieb ich schon über meine Sicherheitsprobleme bez. PHP Seiten, da sich seit gestern die PHP Files teilweise einfach runterladen lassen.
Nun habe ich ein bisschen in den Logfiles meines Root-Servers (1und1) gelesen, und im WARN-File stehen SEHR viele (ich würde schätzen einige gute tausend) Einträge, die so aussehen:

error: Could not get shadow information for NOUSER

und das in zweisekündlichem Abstand.
Ich ziehe in Erwägung, dass sich irgendwer auf den Server einhackt/eingehackt hat, und selbiges daran schuld ist, dass nun der webserver die PHP dateien „roh“ ausspuckt.

Hat jemand Ideen dazu? Ich muss zugeben ein ziemlicher UNIX/Linux Newbie zu sein, also würden mir Erklärungen „von Beginn an“ wirklich weiterhelfen.

Gruss
Michael

Nicos_ec7086 · 9. November 2019 um 12:03

Nun habe ich ein bisschen in den Logfiles meines Root-Servers
(1und1) gelesen, und im WARN-File stehen SEHR viele (ich würde
schätzen einige gute tausend) Einträge, die so aussehen:

error: Could not get shadow information for NOUSER

Das ist eher normal, es gibt wohl sehr viele Zombie-Rechner, die versuchen, per Brute-Force einzuloggen (meistens im asiatischen Raum, das „Koreanische Forschungsnetz“ hebt sich da bei mir besonders negativ ab). Dagegen kann man nicht viel machen, außer vielleicht ssh auf einen anderen Port zu verlegen. Ein wirkliches Problem ist das aber nicht, solange da nicht zufällig eine Benutzer/Passwort-Kombination richtig geraten wird.

und das in zweisekündlichem Abstand.
Ich ziehe in Erwägung, dass sich irgendwer auf den Server
einhackt/eingehackt hat, und selbiges daran schuld ist, dass
nun der webserver die PHP dateien „roh“ ausspuckt.

Das ist eher ein Problem in der Konfiguration, vielleicht durch ein Update. Ohne das System zu kennen kann man dazu wenig sagen.

Sebastian · 9. November 2019 um 12:04

Hallo,

Nun habe ich ein bisschen in den Logfiles meines Root-Servers
(1und1) gelesen, und im WARN-File stehen SEHR viele (ich würde
schätzen einige gute tausend) Einträge, die so aussehen:

error: Could not get shadow information for NOUSER

root@radioactive:/home/niehaus# grep NOUSER /var/log/auth.log | wc -l
892

und das in zweisekündlichem Abstand.
Ich ziehe in Erwägung, dass sich irgendwer auf den Server
einhackt/eingehackt hat,

Nein, das ist das Hintergrundrauschen des Internet. Und sollte Dich immer daran erinnern, daß Sicherheitsupdates und sichere Passwürter essentiell sind.

Achtest Du darauf?

Achh ja, und root-Login per SSH schalte ich auch gerne ab.

und selbiges daran schuld ist, dass
nun der webserver die PHP dateien „roh“ ausspuckt.

Nein, daran ist das nicht schuld. Was sonst das Problem ist? Keine Ahnung, das kann man so aus der ENtfernung nicht sagen. hast Du was geändert?

Hat jemand Ideen dazu? Ich muss zugeben ein ziemlicher
UNIX/Linux Newbie zu sein,

Dann ist es - vorsichtig ausgedrückt - ziemlich mutig, sich gleich an einem root-Server zu versuchen.

also würden mir Erklärungen „von
Beginn an“ wirklich weiterhelfen.

Kontrolliere die Konfiguration Deines Webservers ob er so konfiguriert ist, daß er für PHP-Dateien ein entsprechendes Modul nutzt.

Sebastian

Schorsch_de7743 · 9. November 2019 um 12:05

Nein, daran ist das nicht schuld. Was sonst das Problem ist?
Keine Ahnung, das kann man so aus der ENtfernung nicht sagen.
hast Du was geändert?

Ins Blaue hinein kann man immerhin auf zwei (von mehreren) gravierendere php-Sicherheitslücken hinweisen, die in den vergangenen Wochen einigen Admins das Leben schwer gemacht oder sie zum patching verführt haben: http://www.heise.de/security/news/meldung/74319 und http://www.heise.de/security/news/meldung/73837

Gruss
Schorsch