ich bin am Freitag zufällig über merkwürdige Einträge im /var/log/auth.log eines unserer Linux-Server (Debian 6 auf aktuellem Stand) gestoßen.
Dort haben wir mehrere Hunderttausend Einträge dieser Form:
Aug 10 14:15:33 hostname sshd[14056]: error: connect_to 65.54.188.72 port 25: failed.
Aug 10 14:15:34 hostname sshd[14056]: error: connect_to 65.54.188.110 port 25: failed.
Aug 10 14:15:34 hostname sshd[14056]: error: connect_to 143.196.124.4 port 25: failed.
Aug 10 14:15:36 hostname sshd[14056]: error: connect_to 65.54.188.110 port 25: failed.
Aug 10 14:15:36 hostname sshd[14056]: error: connect_to 65.54.188.72 port 25: failed.
Wir sind zwar keine Linux-Spezialisten, aber was will SSH auf Port 25 von irgendwelchen SMTP-Servern?
(Der wird bei uns allerdings von der Firewall blockiert)
Zusätzlich haben wir Logins dieses Musters von uns unbekannten Adressen aus, die regelmäßig alle 50, 70 oder 80 Minuten stattfinden:
Aug 10 11:24:49 hostname sshd[7441]: Accepted password for username from 88.214.194.114 port 58672 ssh2
Aug 10 11:24:49 hostname sshd[7441]: pam_unix(sshd:session): session opened for user username by (uid=0)
Aug 10 11:24:49 hostname sshd[7441]: pam_unix(sshd:session): session closed for user username
Aug 10 11:24:57 hostname sshd[7451]: Accepted password for username from 88.214.194.114 port 58688 ssh2
Aug 10 11:24:57 hostname sshd[7451]: pam_unix(sshd:session): session opened for user username by (uid=0)
[…]
Aug 10 11:43:50 hostname sshd[5896]: pam_unix(sshd:session): session closed for user username
(die wirklichen Namen habe ich durch hostname und username ersetzt)
für uns Halb-Laien sieht das so aus, als sei da was nicht in Ordnung.
will da jemand über uns Spam verschicken?
oder ist das irgendwas erklärbares und total harmloses?
ich habe zuerst mal das Passwort von „username“ geändert
was sollte ich denn sinnvollerweise als nächstes tun?
das sieht nach spam aus, ich frag mal so, ist der remote login vom root disabled? und läuft ein mail server auf dem rechner? und wieso ist die 25 in der firewall auf?
aus der Ferne und ohne Systemzugriff läßt sich natürlich nicht allzuviel sagen. Aber Logins von unbekannten Adressen sind nicht unbedingt normal.
Habt ihr denn mal einen Blick in die Logs geworfen, wann es zum ersten Mal solche Logins gab? Gab es vorher (gibt’s ja fast immer) entsprechende Einpruchsversuche (falsches Passwort)? Handelt es sich bei dem Nutzer um einen Standard-Nutzer wie z.B. ftp, webmin usw. oder um einen persönlichen Account?
Die entsprechenden Logfiles können distributionsabhängig unterschiedliche Bezeichnungen tragen usw.
Es gibt noch eine reihe weiterer Befehle mit netstat, last usw. mit denen ihr weitere Informationen sammeln könnt.
Es lohnt sich, das System mal eine zeitlang live zu beobachten, z.B. per
tail -f LOGDATEI
Hier eine interessanter Artikel zu der gesamten Thematik:
versucht vielleicht irgend ein Modul einen Bericht per E-Mail zu versenden? Mein NAS macht das, ich kriege jede größere Fehlermeldung in mein E-Mailpostfach.
Aber dann sollte eigentlich jedes mal die selbe IP angesprochen werden, nämlich die vom voreingestellten E-Mail Provider.
Habt ihr denn mal einen Blick in die Logs geworfen, wann es
zum ersten Mal solche Logins gab?
ja, diese Einträge gibt es schon länger als das Log (also länger als einen Monat)
Gab es vorher (gibt’s ja
fast immer) entsprechende Einpruchsversuche (falsches
Passwort)?
es gibt ein paar gescheiterte Versuche, sich als root einzuloggen, aber keine für diesen Account
Handelt es sich bei dem Nutzer um einen
Standard-Nutzer wie z.B. ftp, webmin usw. oder um einen
persönlichen Account?
nein, das ist ein persönlicher Account
Die entsprechenden Logfiles können distributionsabhängig
unterschiedliche Bezeichnungen tragen usw.
bei Debian ist es auth.log
das reicht aber nur 4 Wochen zurück
Es gibt noch eine reihe weiterer Befehle mit netstat, last
usw. mit denen ihr weitere Informationen sammeln könnt.
nachdem ich das betroffene Passwort geändert habe, haben die merkwürdigen Logins und der versuchte Spamversand (?) aufgehört, allerdings wird seitdem (wenn ich das richtig interpretiere) von mehreren IPs aus, die nicht zu den im DNS eingetragenen Hostnames passen vergeblich versucht, sich als root einzuloggen
Hier eine interessanter Artikel zu der gesamten Thematik:
können sie auch garnicht so einfach, weil Port 25 gesperrt ist
Ja, meine Idee ist, dass es versucht wird eine Mail zu verschicken. Und weil dies nicht klappt wird es wieder versucht. Und das ganze in einer Endlosschleife. Bei 2 3 IPs könnten es ja verschiedene Server des selben Providers sein, aber bei 100ten kann das nicht sein.
trotzdem haben wir Verbindungsversuche zu hunderten
verschiedenen SMTP-Servern
Schlechtes Zeichen.
Welche Prozesse/Dienste laufen denn auf dem Server?
und welche sollen laufen?
Irgendwas muss den Versand ja anstoßen. Kannst Du das zurück verfolgen?
Das Passwort von username wurde ja schon geändert.
Die IP von username gehört einer „Hosting Solutions Ltd.“ in England. Besteht da irgend ein Kontakt hin?
Notfalls wirklich das System neu aufsetzen wenn der Verdacht besteht, dass das System kompromittiert wurde.
können sie auch garnicht so einfach, weil Port 25 gesperrt ist
Ja, meine Idee ist, dass es versucht wird eine Mail zu
verschicken. Und weil dies nicht klappt wird es wieder
versucht. Und das ganze in einer Endlosschleife. Bei 2 3 IPs
könnten es ja verschiedene Server des selben Providers sein,
aber bei 100ten kann das nicht sein.
das stimmt natürlich
sie sind aber über viele Anbieter verteilt und einige US-Behörden habe ich darunter auch entdeckt - da wird das schon unwahrscheinlich
Welche Prozesse/Dienste laufen denn auf dem Server?
und welche sollen laufen?
Irgendwas muss den Versand ja anstoßen. Kannst Du das zurück
verfolgen?
das übersteigt meine Fähigkeiten
es sollte gar kein Mailserver darauf sein
ich habe exim4 darauf gefunden (evtl. standardmäßig bei der Installation dabei?) und deaktiviert, aber die Mailqueue war eh leer
Das Passwort von username wurde ja schon geändert.
Die IP von username gehört einer „Hosting Solutions Ltd.“ in
England. Besteht da irgend ein Kontakt hin?
nein, schon gecheckt
vielleicht ist das ja auch nicht der Urheber sondern wird nur als Proxy benutzt
Notfalls wirklich das System neu aufsetzen wenn der Verdacht
besteht, dass das System kompromittiert wurde.
habe ich schon in die Wege geleitet
die Daten werden kopiert, der Rest wird neu gemacht - besser und sicherer
das sieht nach spam aus, ich frag mal so, ist der remote login
vom root disabled?
bisher nicht, aber mit relativ sicherem Passwort
das ist immer das erste was man macht, root darf nie auf sein. relativ sicher reicht nicht, im zweifel würde ich auch den 22 auf einen andern hohen port umbliegen ( wenn er wirklich von aussen erreichbar sein muss, den würde ich jetzt ändern ), nach 5 loginfehler blocken usw, da gibts gute dokus zu
wir sehen auch keine root-Logins in den Logs
trotzdem deaktivieren?
und läuft ein mail server auf dem rechner?
nein, ist nur ein Fileserver mit NFS und SMB
ehrlich? wenn ihr keinen experten habt, platt machen, neue einrichten und das sicherheitskonzept umstellen!
ganz ehrlicher Rat von mir …
Besorgt Euch einen Sys-Admin, der vom Thema Linux eine Ahnung hat. Bei Durchlesen sind mir einige wirklich große Sicherheitslücken aufgefallen …
Es scheint kein HIDS installiert zu sein.
Der Mailserver scheint nicht konfiguriert zu sein.
Root-Login bei SSH ist enabled.
Basistools wie strace und ngrep sind Euch fremd.
In Eurem Interesse und im Interesse der Firma bzw. der Daten solltet Ihr Euch einen Sys-Admin holen, der davon eine Ahnung hat. Die gibt es oft schon für unter 100 € pro Monat.
naja, wenn man einen Admin nur 1 1/2 Stunden im Monat braucht
naja, wenn! Aber wenn man ihn schon für unter 100€ im Monat engagiert, kommt man vielleicht auf die Idee, ihn doch länger als 1 1/2 Stunden zu beschäftigen. So ein Schnäppchen muss man doch ausnutzen
Nicht jeder hat genug Geld für
eine Vollzeitstelle übrig.
Da hast Du auch wieder recht. Vielleicht gibt es ja solche Verträge. Aber die sollten dann tatsächlich so abgefasst sein, daß aus den 1 1/2 Stunden nicht plötzlich 1 1/2 Wochen werden können.
Gut, das ist jetzt wirklich sehr offTopic, belassen wir es bei dem kleinen Meinungsaustausch.
ich dachte an eine professionelle Firma, welche den Server ins Monitoring nimmt, die Logs automatisch auswerten lässt, Updates nach festen Intervallen einspielt und eben die kritischen Logs auswertet. Das ist definitiv für 100 € / Monat machbar. Und alles was darüber hinausgeht, wird mit dem normalen Stundenlohn verrechnet.
Unter uns: die 100 Eur sind da schon relativ hoch gegriffen.
alles was darüber hinausgeht, wird mit dem
normalen Stundenlohn verrechnet.
Sowas hatte mir gefehlt. Ich hatte die 100 € im Monat fehlinterpretiert und mir schon Sorgen um den armen SysAdmin gemacht. Aber nun ist ja alles geklärt.
), nach 5 loginfehler blocken usw, da gibts gute dokus zu