N
N57
Gast
Hallo,
nach dem es in der Vergangenheit immer wieder Beschwerden von meinen Kunden aus Frankreich gab, dass die Verbindung zu meinen deutschen Servern schlecht wäre, habe ich mir kurzerhand einen Root-Server in Frankreich gemietet, welcher gestern ausgeliefert wurde.
Direkt nach dem ich die Zugangsdaten erhalten hatte und mich erstmalig einloggte tauchte unter Lastlogin eine IP auf, die ich nicht zuordnen konnte und die nach einer whois Auflösung auf eine Firma in der Schweiz verwies. Ein Blick in den auth.log ergab, dass der Zugriff als User root erfolgreich gewesen war, allerdings bestand diese Verbindung nur für wenige Sekunden und wurde dann wieder geschlossen.
Da ich davon ausging, dass in dieser Zeit (der Server war ja kaum fünf Minuten online) kein weiterer Schaden entstanden sein konnte, fing ich damit an den Server zu updaten und grundlegende Sicherheitsprogramme zu installieren. Desweiteren wurde ein User für den SSH-Key Login erstellt, sowie der Port geändert und der Login als root sowie mit Passwort unterbunden.
Da passende IP-Tables immer etwas Zeit erfordern, sperrte ich fix per UFW sämtliche Ports, und sicherte den SSH-Zugang mit denyhosts und fail2ban. Da meine Firewall im Sekundentakt Portscans unterband, wurde kurzerhand noch psad installiert, um die Scanner erst einmal zu blocken.
In den Logdaten war dann ersichtlich, dass immer weiter erfolglose Zugriffe auf den Server stattfanden und psad meldete mir per Mail im Sekundentakt etwas von blockierten IPs. Ich scannte daraufhin das gesamte System mit Programmen wie chkrootkit und rkhunter und beobachtete weiterhin die Logs. Erstaunt musste ich feststellen, dass ein weiterer erfolgreicher Login als root stattgefunden hatte. Auch hier bestand die Verbindung nur für Sekunden, aber da in der SSH-Konfig ja der Login als root und der Zugang mit Passwort verboten war, machte mich diese Meldung schon stutzig.
Da sich zu diesem Zeitpunkt noch keinerlei Daten auf dem Server befanden, entschied ich mich für die Holzhammermethode und installierte per Kundeninterface das OS neu. Direkt nach dem erneuten Starten des Server verband ich mich mit diesem und entfernte als erstes den SSH-Key für den root, der per default vom Provider zu Wartungszwecken angelegt wird. Im weiteren Verlauf richtete ich den Server wie oben beschrieben ein und hatte dabei immer wieder ein Auge auf die Logs. Es wurden weitere Loginversuche von dem Server aus der Schweiz (der Betreiber ist mittlerweile informiert und geht der Sache nach) unternommen, die aber alle fehlschlugen.
Da der Provider einen eigenen Kernel installiert und damit gewisse Programme nicht kompatibel sind, entschied ich mich zu einer erneuten Neuinstallation, diesmal aber über das Rescue-Menü, um debian von scratch auf zu installieren.
Die Installation verlief erfolgreich und momentan arbeitet alles, wie es sollte. Allerdings werden ständig Angriffe auf die SSH-Schnittstelle gefahren und auch die ständigen Portscans hören nicht auf. Es handelt sich dabei auch nicht um das gewöhnliche "Netzrauschen" mit ein paar Paketen, denn es werden gezielt Ports mit hunderten Paketen gefüttert, sowie laufend Aktionen unternommen, um Daten über diese Ports auf den Server zu bringen. Momentan sind sämtliche Sicherheitsprogramme so konfiguriert, dass sie jegliche Aktionen bereits im Keim ersticken, aber dies kann auch keine Dauerlösung sein, wenn ich mit diesem Server Kunden bedienen möchte. Momentan erfolgen die meisten Scans aus China und da interessiert es mich auch nicht, wenn ich ganze Ranges sperren muss, aber sobald gespoofte IPs verwendet werden, sperre ich womöglich meine eigene Kundschaft aus.
Es würde mich nun interessieren, was ihr zu dem Zugriff als root sagt. Mir ist dieser Vorgang schleierhaft, da der Server ja kaum online war und in dieser Zeit kaum jemand ein Backdoor geöffnet haben kann.
Weiterhin würde ich gerne wissen, wie ich weiter verfahren soll. Ich gehe zum momentanen Zeitpunkt davon aus, dass der Server mit dieser IP wohl früher schon am Netz war und daher bekannt ist. Wie ich erfahren habe, war oder ist der Hoster leider in der Warez Szene recht beliebt und von dieser Seite aus wundert es mich nicht, dass man hier eher mit solchen Problemen zu kämpfen hat. Mit meinen anderen Servern, die seit Jahren am Netz sind, gibt es in dieser Hinsicht keinerlei Probleme. Sicherlich wird auch hier ab und an ein Angriff gestartet, aber dabei handelt es sich nur um Zombies, die mal anklopfen und schauen ob die Tür offen ist. Gezielte Angriffe wie hier habe ich bisher noch nicht erlebt.
Auch wenn der Server momentan sicher ist, würde ich diesen am liebsten zurückgeben, aber leider habe ich bereits für ein Jahr gezahlt und ein Widerruf ist natürlich nach der Auslieferung nicht mehr möglich.
Was meint ihr, gibt es Hoffnung, dass die Angriffe sich wieder beruhigen, wenn alles abgeschmettert wird oder wird so ein Server immer und immer wieder attackiert, wenn er mal in irgendeiner dubiosen Liste aufgeführt worden ist. Ich hätte noch Zeit ihn ein paar Wochen komplett abgeschottet laufen zu lassen, aber dann müsste ich schon richtig ans Netz und die Sicherheit etwas "lockern".
Vielen Dank fürs durchlesen, wer noch Fragen hat, kann mich gerne löchern. Ich freue mich auf eure Antworten.
Gruß
N57
nach dem es in der Vergangenheit immer wieder Beschwerden von meinen Kunden aus Frankreich gab, dass die Verbindung zu meinen deutschen Servern schlecht wäre, habe ich mir kurzerhand einen Root-Server in Frankreich gemietet, welcher gestern ausgeliefert wurde.
Direkt nach dem ich die Zugangsdaten erhalten hatte und mich erstmalig einloggte tauchte unter Lastlogin eine IP auf, die ich nicht zuordnen konnte und die nach einer whois Auflösung auf eine Firma in der Schweiz verwies. Ein Blick in den auth.log ergab, dass der Zugriff als User root erfolgreich gewesen war, allerdings bestand diese Verbindung nur für wenige Sekunden und wurde dann wieder geschlossen.
Da ich davon ausging, dass in dieser Zeit (der Server war ja kaum fünf Minuten online) kein weiterer Schaden entstanden sein konnte, fing ich damit an den Server zu updaten und grundlegende Sicherheitsprogramme zu installieren. Desweiteren wurde ein User für den SSH-Key Login erstellt, sowie der Port geändert und der Login als root sowie mit Passwort unterbunden.
Da passende IP-Tables immer etwas Zeit erfordern, sperrte ich fix per UFW sämtliche Ports, und sicherte den SSH-Zugang mit denyhosts und fail2ban. Da meine Firewall im Sekundentakt Portscans unterband, wurde kurzerhand noch psad installiert, um die Scanner erst einmal zu blocken.
In den Logdaten war dann ersichtlich, dass immer weiter erfolglose Zugriffe auf den Server stattfanden und psad meldete mir per Mail im Sekundentakt etwas von blockierten IPs. Ich scannte daraufhin das gesamte System mit Programmen wie chkrootkit und rkhunter und beobachtete weiterhin die Logs. Erstaunt musste ich feststellen, dass ein weiterer erfolgreicher Login als root stattgefunden hatte. Auch hier bestand die Verbindung nur für Sekunden, aber da in der SSH-Konfig ja der Login als root und der Zugang mit Passwort verboten war, machte mich diese Meldung schon stutzig.
Da sich zu diesem Zeitpunkt noch keinerlei Daten auf dem Server befanden, entschied ich mich für die Holzhammermethode und installierte per Kundeninterface das OS neu. Direkt nach dem erneuten Starten des Server verband ich mich mit diesem und entfernte als erstes den SSH-Key für den root, der per default vom Provider zu Wartungszwecken angelegt wird. Im weiteren Verlauf richtete ich den Server wie oben beschrieben ein und hatte dabei immer wieder ein Auge auf die Logs. Es wurden weitere Loginversuche von dem Server aus der Schweiz (der Betreiber ist mittlerweile informiert und geht der Sache nach) unternommen, die aber alle fehlschlugen.
Da der Provider einen eigenen Kernel installiert und damit gewisse Programme nicht kompatibel sind, entschied ich mich zu einer erneuten Neuinstallation, diesmal aber über das Rescue-Menü, um debian von scratch auf zu installieren.
Die Installation verlief erfolgreich und momentan arbeitet alles, wie es sollte. Allerdings werden ständig Angriffe auf die SSH-Schnittstelle gefahren und auch die ständigen Portscans hören nicht auf. Es handelt sich dabei auch nicht um das gewöhnliche "Netzrauschen" mit ein paar Paketen, denn es werden gezielt Ports mit hunderten Paketen gefüttert, sowie laufend Aktionen unternommen, um Daten über diese Ports auf den Server zu bringen. Momentan sind sämtliche Sicherheitsprogramme so konfiguriert, dass sie jegliche Aktionen bereits im Keim ersticken, aber dies kann auch keine Dauerlösung sein, wenn ich mit diesem Server Kunden bedienen möchte. Momentan erfolgen die meisten Scans aus China und da interessiert es mich auch nicht, wenn ich ganze Ranges sperren muss, aber sobald gespoofte IPs verwendet werden, sperre ich womöglich meine eigene Kundschaft aus.
Es würde mich nun interessieren, was ihr zu dem Zugriff als root sagt. Mir ist dieser Vorgang schleierhaft, da der Server ja kaum online war und in dieser Zeit kaum jemand ein Backdoor geöffnet haben kann.
Weiterhin würde ich gerne wissen, wie ich weiter verfahren soll. Ich gehe zum momentanen Zeitpunkt davon aus, dass der Server mit dieser IP wohl früher schon am Netz war und daher bekannt ist. Wie ich erfahren habe, war oder ist der Hoster leider in der Warez Szene recht beliebt und von dieser Seite aus wundert es mich nicht, dass man hier eher mit solchen Problemen zu kämpfen hat. Mit meinen anderen Servern, die seit Jahren am Netz sind, gibt es in dieser Hinsicht keinerlei Probleme. Sicherlich wird auch hier ab und an ein Angriff gestartet, aber dabei handelt es sich nur um Zombies, die mal anklopfen und schauen ob die Tür offen ist. Gezielte Angriffe wie hier habe ich bisher noch nicht erlebt.
Auch wenn der Server momentan sicher ist, würde ich diesen am liebsten zurückgeben, aber leider habe ich bereits für ein Jahr gezahlt und ein Widerruf ist natürlich nach der Auslieferung nicht mehr möglich.
Was meint ihr, gibt es Hoffnung, dass die Angriffe sich wieder beruhigen, wenn alles abgeschmettert wird oder wird so ein Server immer und immer wieder attackiert, wenn er mal in irgendeiner dubiosen Liste aufgeführt worden ist. Ich hätte noch Zeit ihn ein paar Wochen komplett abgeschottet laufen zu lassen, aber dann müsste ich schon richtig ans Netz und die Sicherheit etwas "lockern".
Vielen Dank fürs durchlesen, wer noch Fragen hat, kann mich gerne löchern. Ich freue mich auf eure Antworten.
Gruß
N57
