Linux-Server kompromittiert?

Hallo Experten,

ich bin am Freitag zufällig über merkwürdige Einträge im /var/log/auth.log eines unserer Linux-Server (Debian 6 auf aktuellem Stand) gestoßen.

Dort haben wir mehrere Hunderttausend Einträge dieser Form:

Aug 10 14:15:33 hostname sshd[14056]: error: connect_to 65.54.188.72 port 25: failed.
Aug 10 14:15:34 hostname sshd[14056]: error: connect_to 65.54.188.110 port 25: failed.
Aug 10 14:15:34 hostname sshd[14056]: error: connect_to 143.196.124.4 port 25: failed.
Aug 10 14:15:36 hostname sshd[14056]: error: connect_to 65.54.188.110 port 25: failed.
Aug 10 14:15:36 hostname sshd[14056]: error: connect_to 65.54.188.72 port 25: failed.

Wir sind zwar keine Linux-Spezialisten, aber was will SSH auf Port 25 von irgendwelchen SMTP-Servern?

(Der wird bei uns allerdings von der Firewall blockiert)

Zusätzlich haben wir Logins dieses Musters von uns unbekannten Adressen aus, die regelmäßig alle 50, 70 oder 80 Minuten stattfinden:

Aug 10 11:24:49 hostname sshd[7441]: Accepted password for username from 88.214.194.114 port 58672 ssh2
Aug 10 11:24:49 hostname sshd[7441]: pam_unix(sshd:session): session opened for user username by (uid=0)
Aug 10 11:24:49 hostname sshd[7441]: pam_unix(sshd:session): session closed for user username
Aug 10 11:24:57 hostname sshd[7451]: Accepted password for username from 88.214.194.114 port 58688 ssh2
Aug 10 11:24:57 hostname sshd[7451]: pam_unix(sshd:session): session opened for user username by (uid=0)
[…]
Aug 10 11:43:50 hostname sshd[5896]: pam_unix(sshd:session): session closed for user username

(die wirklichen Namen habe ich durch hostname und username ersetzt)

für uns Halb-Laien sieht das so aus, als sei da was nicht in Ordnung.

will da jemand über uns Spam verschicken?

oder ist das irgendwas erklärbares und total harmloses?

ich habe zuerst mal das Passwort von „username“ geändert

was sollte ich denn sinnvollerweise als nächstes tun?

vielen Dank

Martin

moin,

das sieht nach spam aus, ich frag mal so, ist der remote login vom root disabled? und läuft ein mail server auf dem rechner? und wieso ist die 25 in der firewall auf?

hth

Hallo,

das sieht nach spam aus, ich frag mal so, ist der remote login
vom root disabled?

bisher nicht, aber mit relativ sicherem Passwort

wir sehen auch keine root-Logins in den Logs

trotzdem deaktivieren?

und läuft ein mail server auf dem rechner?

nein, ist nur ein Fileserver mit NFS und SMB

und wieso ist die 25 in der firewall auf?

die 25 ist in der Firewall zu, deshalb funktionieren ja die ganzen ausgehenden Verbindungen zu Port 25 nicht

in der Firewall ist nur ein Portforwarding: von einem hohen Port auf den 22 des Servers

Gruß

Martin

Hallo,

aus der Ferne und ohne Systemzugriff läßt sich natürlich nicht allzuviel sagen. Aber Logins von unbekannten Adressen sind nicht unbedingt normal.

Habt ihr denn mal einen Blick in die Logs geworfen, wann es zum ersten Mal solche Logins gab? Gab es vorher (gibt’s ja fast immer) entsprechende Einpruchsversuche (falsches Passwort)? Handelt es sich bei dem Nutzer um einen Standard-Nutzer wie z.B. ftp, webmin usw. oder um einen persönlichen Account?

Die entsprechenden Logfiles können distributionsabhängig unterschiedliche Bezeichnungen tragen usw.

Es gibt noch eine reihe weiterer Befehle mit netstat, last usw. mit denen ihr weitere Informationen sammeln könnt.

Es lohnt sich, das System mal eine zeitlang live zu beobachten, z.B. per

tail -f LOGDATEI

Hier eine interessanter Artikel zu der gesamten Thematik:

http://www.tecchannel.de/server/linux/2024733/linux_…

Grüße

godam

P.S.: Ansonsten gilt natürlich das bereits gesagte: Remote login für root IN JEDEM Fall „disablen“.

Hi,

versucht vielleicht irgend ein Modul einen Bericht per E-Mail zu versenden? Mein NAS macht das, ich kriege jede größere Fehlermeldung in mein E-Mailpostfach.
Aber dann sollte eigentlich jedes mal die selbe IP angesprochen werden, nämlich die vom voreingestellten E-Mail Provider.

MFG

Hallo,

Habt ihr denn mal einen Blick in die Logs geworfen, wann es
zum ersten Mal solche Logins gab?

ja, diese Einträge gibt es schon länger als das Log (also länger als einen Monat)

Gab es vorher (gibt’s ja
fast immer) entsprechende Einpruchsversuche (falsches
Passwort)?

es gibt ein paar gescheiterte Versuche, sich als root einzuloggen, aber keine für diesen Account

Handelt es sich bei dem Nutzer um einen
Standard-Nutzer wie z.B. ftp, webmin usw. oder um einen
persönlichen Account?

nein, das ist ein persönlicher Account

Die entsprechenden Logfiles können distributionsabhängig
unterschiedliche Bezeichnungen tragen usw.

bei Debian ist es auth.log

das reicht aber nur 4 Wochen zurück

Es gibt noch eine reihe weiterer Befehle mit netstat, last
usw. mit denen ihr weitere Informationen sammeln könnt.

nachdem ich das betroffene Passwort geändert habe, haben die merkwürdigen Logins und der versuchte Spamversand (?) aufgehört, allerdings wird seitdem (wenn ich das richtig interpretiere) von mehreren IPs aus, die nicht zu den im DNS eingetragenen Hostnames passen vergeblich versucht, sich als root einzuloggen

Hier eine interessanter Artikel zu der gesamten Thematik:

http://www.tecchannel.de/server/linux/2024733/linux_…

schaue ich mir gleich mal an

Danke

Martin

nicht dass ich wüsste

von dort aus sollen keine Mails verschickt werden

können sie auch garnicht so einfach, weil Port 25 gesperrt ist

trotzdem haben wir Verbindungsversuche zu hunderten verschiedenen SMTP-Servern

Gruß

Martin

können sie auch garnicht so einfach, weil Port 25 gesperrt ist

Ja, meine Idee ist, dass es versucht wird eine Mail zu verschicken. Und weil dies nicht klappt wird es wieder versucht. Und das ganze in einer Endlosschleife. Bei 2 3 IPs könnten es ja verschiedene Server des selben Providers sein, aber bei 100ten kann das nicht sein.

trotzdem haben wir Verbindungsversuche zu hunderten
verschiedenen SMTP-Servern

Schlechtes Zeichen.

Welche Prozesse/Dienste laufen denn auf dem Server?
und welche sollen laufen?
Irgendwas muss den Versand ja anstoßen. Kannst Du das zurück verfolgen?

Das Passwort von username wurde ja schon geändert.
Die IP von username gehört einer „Hosting Solutions Ltd.“ in England. Besteht da irgend ein Kontakt hin?

Notfalls wirklich das System neu aufsetzen wenn der Verdacht besteht, dass das System kompromittiert wurde.

können sie auch garnicht so einfach, weil Port 25 gesperrt ist

Ja, meine Idee ist, dass es versucht wird eine Mail zu
verschicken. Und weil dies nicht klappt wird es wieder
versucht. Und das ganze in einer Endlosschleife. Bei 2 3 IPs
könnten es ja verschiedene Server des selben Providers sein,
aber bei 100ten kann das nicht sein.

das stimmt natürlich

sie sind aber über viele Anbieter verteilt und einige US-Behörden habe ich darunter auch entdeckt - da wird das schon unwahrscheinlich

Welche Prozesse/Dienste laufen denn auf dem Server?
und welche sollen laufen?
Irgendwas muss den Versand ja anstoßen. Kannst Du das zurück
verfolgen?

das übersteigt meine Fähigkeiten

es sollte gar kein Mailserver darauf sein

ich habe exim4 darauf gefunden (evtl. standardmäßig bei der Installation dabei?) und deaktiviert, aber die Mailqueue war eh leer

Das Passwort von username wurde ja schon geändert.
Die IP von username gehört einer „Hosting Solutions Ltd.“ in
England. Besteht da irgend ein Kontakt hin?

nein, schon gecheckt

vielleicht ist das ja auch nicht der Urheber sondern wird nur als Proxy benutzt

Notfalls wirklich das System neu aufsetzen wenn der Verdacht
besteht, dass das System kompromittiert wurde.

habe ich schon in die Wege geleitet

die Daten werden kopiert, der Rest wird neu gemacht - besser und sicherer

Vielen Dank für deine Hilfe

Martin

Moin

Hallo,

das sieht nach spam aus, ich frag mal so, ist der remote login
vom root disabled?

bisher nicht, aber mit relativ sicherem Passwort

das ist immer das erste was man macht, root darf nie auf sein. relativ sicher reicht nicht, im zweifel würde ich auch den 22 auf einen andern hohen port umbliegen ( wenn er wirklich von aussen erreichbar sein muss, den würde ich jetzt ändern ), nach 5 loginfehler blocken usw, da gibts gute dokus zu

wir sehen auch keine root-Logins in den Logs

trotzdem deaktivieren?

und läuft ein mail server auf dem rechner?

nein, ist nur ein Fileserver mit NFS und SMB

ehrlich? wenn ihr keinen experten habt, platt machen, neue einrichten und das sicherheitskonzept umstellen!

hth

Hallo,

ehrlich? wenn ihr keinen experten habt, platt machen, neue
einrichten und das sicherheitskonzept umstellen!

machen wir:

Zugriff von aussen nur noch von bestimmten IP-Adressen aus

wir ziehen den Server ausserdem in eine DMZ um

Root-Zugang von aussen wird unterbunden

die Passwörter müssen ab dem Umzug bestimmten Mindestkriterien entsprechen

vielen Dank für deine Hilfe

Gruß

Martin

Hallo,

ganz ehrlicher Rat von mir …
Besorgt Euch einen Sys-Admin, der vom Thema Linux eine Ahnung hat. Bei Durchlesen sind mir einige wirklich große Sicherheitslücken aufgefallen …

• Es scheint kein HIDS installiert zu sein.
• Der Mailserver scheint nicht konfiguriert zu sein.
• Root-Login bei SSH ist enabled.
• Basistools wie strace und ngrep sind Euch fremd.

In Eurem Interesse und im Interesse der Firma bzw. der Daten solltet Ihr Euch einen Sys-Admin holen, der davon eine Ahnung hat. Die gibt es oft schon für unter 100 € pro Monat.

Viel Erfolg!!

Alexander

OT: Hungerlohn
Hallo Alexander,

solltet Ihr Euch einen Sys-Admin holen, der davon eine Ahnung
hat. Die gibt es oft schon für unter 100 € pro Monat.

Systemadmin für unter 100 € pro Monat? Ist es schon soweit gekommen…
Aber mit dem Rest stimme ich dir voll zu.

Viele Grüße
Marvin

Hi,

naja, wenn man einen Admin nur 1 1/2 Stunden im Monat braucht ist das doch ein fairer Preis. Nicht jeder hat genug Geld für eine Vollzeitstelle übrig.

MFG

Hallo Safrael,

naja, wenn man einen Admin nur 1 1/2 Stunden im Monat braucht

naja, wenn! Aber wenn man ihn schon für unter 100€ im Monat engagiert, kommt man vielleicht auf die Idee, ihn doch länger als 1 1/2 Stunden zu beschäftigen. So ein Schnäppchen muss man doch ausnutzen

Nicht jeder hat genug Geld für
eine Vollzeitstelle übrig.

Da hast Du auch wieder recht. Vielleicht gibt es ja solche Verträge. Aber die sollten dann tatsächlich so abgefasst sein, daß aus den 1 1/2 Stunden nicht plötzlich 1 1/2 Wochen werden können.
Gut, das ist jetzt wirklich sehr offTopic, belassen wir es bei dem kleinen Meinungsaustausch.

Viele Grüße
Marvin

Hallo,

ich dachte an eine professionelle Firma, welche den Server ins Monitoring nimmt, die Logs automatisch auswerten lässt, Updates nach festen Intervallen einspielt und eben die kritischen Logs auswertet. Das ist definitiv für 100 € / Monat machbar. Und alles was darüber hinausgeht, wird mit dem normalen Stundenlohn verrechnet.

Unter uns: die 100 Eur sind da schon relativ hoch gegriffen.

Schönen Feierabend

Alexander

Hallo Alexander,

alles was darüber hinausgeht, wird mit dem
normalen Stundenlohn verrechnet.

Sowas hatte mir gefehlt. Ich hatte die 100 € im Monat fehlinterpretiert und mir schon Sorgen um den armen SysAdmin gemacht. Aber nun ist ja alles geklärt.

Viele Grüße
Marvin

für uns Halb-Laien sieht das so aus, als sei da was nicht in
Ordnung.

Definitiv!

will da jemand über uns Spam verschicken?

Sehr wahrscheinlich.

oder ist das irgendwas erklärbares und total harmloses?

• Es ist mindestens ein Account kompromittiert

• Es wird vermutlich versucht, per SSH-Forwarding eine Verbindung zu verschiedenen Mail-Servern aufzubauen.

Der Ratschlag mit „besorge Dir jemanden, der sich damit auskennt“ ist absolut zielführend.

Sebastian