Virus bzw. Angriff? - music-set.net
- Ersteller NichTec
- Erstellt am
Ok, vielen Dank. Überzeugt! Ich kann den Server nicht mehr retten und muss mich nach einer Alternative umsehen.
Wir haben vom Verein aus eine Domain mit Subdomains, bei denen ich die Cloud einrichten könnte, dass sie beim Provider liegt. Hier habe ich jedoch nur beschränkten Speicherplatz. Gibt es eine sichere Möglichkeit, Dateien auf meinem Server so freizugeben (über unbelegten Port, etc.), dass die Cloud die Daten per z.B. sftp einbinden kann? Wenn ja, welches Protokoll würdet ihr empfehlen?
Wir haben vom Verein aus eine Domain mit Subdomains, bei denen ich die Cloud einrichten könnte, dass sie beim Provider liegt. Hier habe ich jedoch nur beschränkten Speicherplatz. Gibt es eine sichere Möglichkeit, Dateien auf meinem Server so freizugeben (über unbelegten Port, etc.), dass die Cloud die Daten per z.B. sftp einbinden kann? Wenn ja, welches Protokoll würdet ihr empfehlen?
Kenneth Coldy
Banned
- Registriert
- Dez. 2011
- Beiträge
- 4.476
p4n0 schrieb:
Er hat aber nicht gefragt wo man sich einnisten kann sondern woran Du erkennst das ein Infektionsversuch erfolgreich war.
Diese Frage hast Du bisher nicht beantwortet.
Die Antwort würde mich auch interessieren, das einzige was ich bisher gelesen habe war die Behauptung deinerseits und von anderer Seite die Interpretation das ein Bot einen Angriff gestartet hat. Ein Angriff ist aber etwas anderes als eine Infektion. Angegriffen werden alle Server früher oder später, Sites wie Heise vermutlich eher im Stundentakt.
Also es wäre nett wenn Du mal etwas ausführlicher erläutern würdest wo im Log Du Zeichen für einen Erfolg des Angriffs siehst.
Die 3 von mir genannten Beispiele sind Werkzeuge welche man dafuer verwenden kann um zu pruefen ob der besagte Rechner infiziert ist oder nicht.
Falls ne reverse Shell erfolgreich geoeffnet wurde bedarf es auch keine logins mehr, denn der Angreifer kann sich einfach sein Zeug auf den Rechner installieren das er benoetigt um die Kontrolle zu wahren.
Meist werden auch logfiles manipuliert bzw. geloescht oder einzelne (verraeterische) Eintraege geloescht, damit man seine Spuren verwischt - alles schon gesehen.
Es ist einfach schwierig nachzuvollziehen wie der Angreifer vorgegangen ist und wo er sich eingenistet hat.
Darum bleib ich dabei: Neu Aufsetzen und Backup einspielen
Grueße
Falls ne reverse Shell erfolgreich geoeffnet wurde bedarf es auch keine logins mehr, denn der Angreifer kann sich einfach sein Zeug auf den Rechner installieren das er benoetigt um die Kontrolle zu wahren.
Meist werden auch logfiles manipuliert bzw. geloescht oder einzelne (verraeterische) Eintraege geloescht, damit man seine Spuren verwischt - alles schon gesehen.
Es ist einfach schwierig nachzuvollziehen wie der Angreifer vorgegangen ist und wo er sich eingenistet hat.
Darum bleib ich dabei: Neu Aufsetzen und Backup einspielen
Grueße
Und das nächste Mal, wenn so etwas in den Logs auftaucht? Wieder neu aufsetzen?
VERSUCHTE Angriffe tauchen auf jedem Server kistenweise auf. Als z.B. Shellshock neu war, hatte ich auf jeder unserer Maschinen locker 5 Angriffsversuche pro Sekunde. Blöd nur, dass die Maschinen immun gegen Shellshock waren.
217.14.88.226 - - [05/Jun/2015:21:50:14 +0200] "GET HTTP/1.1 HTTP/1.1" 400 473 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type:
Das ist Shellshock, und es löste einen 400 - Bad Request aus.
Mein erster Schritt wäre hier: Gucken, ob die Kiste überhaupt für Shellshock verwundbar ist, z.B. durch Eingabe von:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Steht da "vulnerable this is a test" als Ergebnis, dann hat man definitiv ein großes Problem. Dann ist Abreißen - Neu bauen angesagt
Danach sollte man sich fragen: Ist mein OS, nebst allen Anwendungen/Diensten, aktuell? Innerhalb des letzten halben Jahres aktualisierte Long Term - Distributionen sind im Zweifel immun gegen Shellshock.
VERSUCHTE Angriffe tauchen auf jedem Server kistenweise auf. Als z.B. Shellshock neu war, hatte ich auf jeder unserer Maschinen locker 5 Angriffsversuche pro Sekunde. Blöd nur, dass die Maschinen immun gegen Shellshock waren.
217.14.88.226 - - [05/Jun/2015:21:50:14 +0200] "GET HTTP/1.1 HTTP/1.1" 400 473 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type:
Das ist Shellshock, und es löste einen 400 - Bad Request aus.
Mein erster Schritt wäre hier: Gucken, ob die Kiste überhaupt für Shellshock verwundbar ist, z.B. durch Eingabe von:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Steht da "vulnerable this is a test" als Ergebnis, dann hat man definitiv ein großes Problem. Dann ist Abreißen - Neu bauen angesagt
Danach sollte man sich fragen: Ist mein OS, nebst allen Anwendungen/Diensten, aktuell? Innerhalb des letzten halben Jahres aktualisierte Long Term - Distributionen sind im Zweifel immun gegen Shellshock.
Kenneth Coldy
Banned
- Registriert
- Dez. 2011
- Beiträge
- 4.476
p4n0 schrieb:
Gut zu wissen. Und nun bitte beantworte mal endlich die Frage. Du hast in #19 behauptet der Server sei wahrscheinlich infiziert. Bitte erläutere uns, anhand welcher Gedankengänge Du zu dieser Einschätzung gekommen bist.
Also ich habe mal die Logdateien einem bekannten geschickt, der sich gut mit Linux auskennt und selber mehrere Server hostet. Er meinte, die gesamten Einträge mit 404 seien unkritisch. Da wurden einfach Anfragen gestartet, die jedoch zum Glück zu keinem Ergebnis geführt haben. Das einzige was ihm sorgen machte, war eine Zeile mit 200. Hier scheint eine ca. 400 Byte-Datei hochgeladen worden sein. Ich soll überprüfen, ob die entsprechende Datei genau die gleiche Größe hat und mit Hilfe der Einträge in Wikipedia überprüfen, um zu überprüfen ob die Bash Version aktuell ist und ob dementsprechend alle Lücken gepatched wurden (schließlich handelt es sich um einen Shellshock Vulnerability). Das werde ich nun möglichst bald ausprobieren und wenn ihr wollt, das Ergebnis hier dann posten.
Bis dann...
Bis dann...
xammu
Commander
- Registriert
- Dez. 2008
- Beiträge
- 3.024
Die 200 im http://domainname/ is auch unkritisch, da dieser Aufruf normalerweise immer funktioniert. Da sucht sich der Webserver selber die richtige Datei. Meistens eine Index.html / Index.php / index.xyz.
Bei den 404 wird direkt eine Datei angefordert die nicht existiert.
Bei den 404 wird direkt eine Datei angefordert die nicht existiert.
