vServer wurde für Bruteforce missbraucht

[lasthope1995]

Hallo zusammen, ich hoffe ich bin im richtigen Unterforum, wenn nicht gerne verschieben.

Ich bin realtiv neu in dem Gebiet und hoffe ihr könnt mir weiterhelfen:
ich habe einen Linux-vServer bei einem Onlinehoster gemietet, den ich nutze, um im Freundeskreis privat ein paar Dienste bereitzustellen, primär ein TS3-Server mit einem Musikbot drauf.

Nun wurde ich heute morgne von meinem Hoster kontaktiert, dass mein Server gesperrt werden musste, da Bruteforceattacken an Dritte von der IP ausgingen. Ich konnte via Support den Server nun wieder freigeben und möchte nun gern herausfinden, wo/wie das ganze passieren konnte. Einwahldaten für Server und Interfaces wurden natürlich geändert, waren nie auf default.

Da ich mit Linux nicht so erfahren bin (Basics in Linux allg. und Docker, mehr nicht), hoffe ich, ihr könnt mir helfen. Gibt es irgendwelche Logs etc. die man prüfen kann?
Vielen Dank und Grüße

 

[Weby]

Ich würde in jedem Fall den aktuellen Server exportieren, damit man diesen offline forensisch analysieren kann. Dann kannst du deinen Server erstmal komplett neu aufsetzen und mittels Basis-Absicherung und deinem TS3-Server bereitstellen. Vor allem zukünftig auch das patchen/updaten der Anwendungen nicht vergessen, die du ins Internet veröffentlicht hast

Beispielsweise:

SSH Port ändern
root Zugriff verweigern und über sudo dann erteilen
Zertifikat/Schlüssel Paar für SSH benötigt (Generiert beispielsweise mit puttygen)
Nur die Firewall-Ports (eingehend) öffnen, die auch benötigt werden!
Später noch die ausgehenden Verbindungen limitieren, wobei ein erfolgreicher Angreifer sich das wieder einrichten kann für C&C "nach Hause telefonieren" Verkehr.

Gibt dazu unzählige Artikel/Blogs im Internet :-)

 

[_anonymous0815_]

https://www.ionos.de/digitalguide/s...absichern-linux-und-co-richtig-konfigurieren/

Der geht recht gut drauf ein.

Ansonsten mal nach "Linux Hardening" suchen.

 

[NJay]

Wurde der Server regelmaessig geupdated? War SSH fuer root gesperrt/nur mit SSH key erlaubt?

 

[wakko0815]

Da ich mit Linux nicht so erfahren bin (Basics in Linux allg. und Docker, mehr nicht), hoffe ich, ihr könnt mir helfen. Gibt es irgendwelche Logs etc. die man prüfen kann?

Wie wäre es mit einem gemanagten Server? Wenn Du nicht mal weißt wo die Logs wohnen, halte ich es für ziemlich fahrlässig, einen öffentlich erreichbaren Server zu betreiben.
Und benutzt Du zufällig Docker innerhalb Deines vServers? Wenn ja: Ist da vielleicht das Image nicht mehr ganz frisch? Und welche Teamspeak Version und Plugins hattest Du laufen? Vielleicht schaust Du mal, ob die noch aktuell sind.

Man braucht übrigens keinen SSH Zugang zu Deinem Server, um darüber SSH Bruteforce Attacken zu fahren. Das geht auch per verwundbarem Webinterface (Wordpress, Teamspeak, etc.).

 

[SirKhan]

SSH nur mittels Key erlauben ist schonmal wichtig. Geht auch problemlos mit Windows-Boardmitteln inzwischen ssh-keygen -t ed25519 zum Erzeugen und ssh user@server und dann nach ~/.ssh/authorized_keys eintragen (ggf. anlegen). Ausloggen und Einloggen zum Testen (sollte kein PW fragen). Danach dann den Zugang mittels Passwort sperren.

Je nach Linux ist auch als Firewall UFW vorinstalliert. Die kann man direkt aktivieren. Für SSH sollte bereits eine Regel vorhanden sein. Für TS3, etc. muss man dann noch welche anlegen.

Ggf. sowas wie fail2ban einrichten.

Regelmäßig updaten (und ggf. neustarten).

 

[lasthope1995]

Hallo,
erstmal vielen Dank für die vielen und konstruktiven Antworten.
Habe jetzt mal in ersten Instanz den Server neu aufgesetzt, SSH nur mit Key eingerichtet und alle Ports per default gesperrt, werde nur die benötigten freigeben.
Alle anderen Hinweise werde ich jetzt nach und nach abarbeiten.

 

[Mercator]

Ich betreibe einige Webseiten, die in letzter Zeit u.A. auch von einem vServer attackiert wurden. Kannst Du sagen bei welchem Hoster Du den Server betreibst?

 

[Raijin]

ich habe einen Linux-vServer bei einem Onlinehoster gemietet, den ich nutze, um im Freundeskreis privat ein paar Dienste bereitzustellen, primär ein TS3-Server mit einem Musikbot drauf.
[..]
Da ich mit Linux nicht so erfahren bin

Was sind das denn für "ein paar Dienste"? Es ist wirklich keine sonderlich gute Idee, einen Server zu hosten, der zudem noch mehrere Dienste anbietet, die allesamt die Angriffsfläche erhöhen können. Beispiel DNS-Server wie pihole oder Adguard. Docker-Container sind easy installiert und von jetzt auf gleich hat man einen open dns resolver, über den mit DNS Amplification Attacks andere Server lahmgelegt werden. Dabei wollte man doch nur unterwegs Werbung blocken...

Ohne fundierte Kenntnisse im Servermanagement - dabei ist das Betriebssystem nahezu egal, weil Firewalls weitestgehend Firewalls bleiben - sollte man wirklich keinen Server hosten auch wenn das bei Miethostern nur wenige Euro pro Monat kostet.
Insbesondere wenn es primär um TeamSpeak, o.ä. geht, sollte man dann eher einen fertigen TS3-Server mit ausreichend Slots mieten. Die kosten teilweise nur ein paar Cent pro Slot und man muss sich nicht um die IT-Sicherheit kümmern.