Hallo Linux Spezis,
ich habe ein Problem. Und zwar habe ich bei uns in der Firma einen Linux Server stehen, der zum einen Router für unser internes Netz nach außen ist und zum anderen als Webserver fungiert.

Dieser Server hat 2 Netzwerkkarten (logisch, eine für's interne Netz und eine für das der externen Netz mit einer festen IP).
Auf dem Server ist nichts weiter installiert. Nur Apache und die Routing Dienste. Es wurde ein zusätzlicher User angelegt, der sich per SSH auf dem Server nicht anmelden darf! Ein FTP Server ist nicht installiert. Ein Portscan (20 & 21) hat nichts zurückgegeben.

Nun hatten wir zum 2x das Problem, dass von außen ein Verzeichnis im Homeverzeichnis des angelegten User erstellt worden ist. Dieses heisst ".us" und dient als Passwortklauer für z.B. PayPal oder eBay.

Wir können uns nicht erklären, wie jemand das gemacht haben könnte, da der User per SSH garnicht rauf darf und ein FTP Server nicht läuft.
Das root Passwort ist zu kompliziert um es zu knacken. Es besteht aus Zahlen / Buchstaben und Sonderzeichen und ist 12 Zeichen lang. Von daher ist es unwahrscheinlich, dass das root Passwort geknackt wurde.
Als System haben wir SUSE 10.0.

Um ehrlich zu sein, sind wir mit unseren Linuxwissen am Ende wie jemand sowas gemacht haben könnte.
Vielleicht könnt Ihr uns ja weiterhelfen.

Ich danke schoneinmal im Voraus.

DonL

Der Angreifer könnte über eine Lücke im FTP eingedrungen sein. Wichtig: Maschine sofort vom Netz nehmen! Maschine auf jeden Fall komplett neu installieren und bei der neuen Maschine darauf achten das Sicherheitspatches installiert werden. Gerade für solche Dinge wie Webserver, SSH und FTP Server.

Wie sieht denn die auth.log aus? Gibts was auffälliges?

Installier mal das Tool logcheck, damit bist du immer recht schnell up2date via mail, falls sich jemand an deinem Server versucht.

Wenn du keinen Serverdienste drauf laufen hast, und der Angreifer immer wieder auf die Maschiene kommt, wäre es auch möglich, dass dieser bereits ein Backdoor hinterlassen hat. Genaueres benötigt Beobachtungen, Logs und detailliertere Angaben ;)

... und macht von den Platten komplette Kopien für die forensische Analyse.

Ansonsten: Da es sich hier ja um ein Firmen-Server handelt solltet ihr evtl. mal drüber nachdenken, (a) vorerst mal eine externe Firma mit der Betreuung des Systems zu beauftragen und (b) umfangreiche Schulungsmassnamen in eurer IT-Abteilung durchzuführen...

Äh... und wenn ich das richtig gelesen habe, sollte man ssh für root auch verbieten. Als normaler User per ssh über pki einloggen und dann "su" ist sinnvoller.

Imo sollte SSH sowieso nur mit RSA-Schlüsseln funktionieren, aber in der Praxis ist das dann halt immer ziemlicher Aufwand den nicht versierten Kollegen soetwas zu erklären/einzurichten.

der zum einen Router für unser internes Netz nach außen ist und zum anderen als Webserver fungiert.
Ein paar Zusatzfragen:
Wie sehen die Rechte des /homeverzeichnisses des Users aus? Was für Software läuft auf dem Webserver (CMS, wiki, Forum, Eigenbau)?


da der User per SSH garnicht rauf darf
Das habt ihr wie genau gemacht?
Wie sehen die Rechte des erstellten .us-Verzeichnisses aus - nur weils in seinem /home angelegt worden ist, muss es noch lange nicht unter seinem Nutzeracount angelegt worden sein.
Wenn der sich eh' nicht anmelden darf, wozu habt ihr ihn denn überhaupt angelegt?

MiGo

Nun hatten wir zum 2x das Problem, dass von außen ein Verzeichnis im Homeverzeichnis des angelegten User erstellt worden ist. Dieses heisst ".us" und dient als Passwortklauer für z.B. PayPal oder eBay.

wie kommst du darauf? und wie kann ein verzeichnis als passwortklauer dienen??? und welche passwörter soll das verzeichnis klauen? auf dem server werden doch (deinen angaben zufolge) keine ebay etc passwörter eingegeben.

wie kommst du darauf? und wie kann ein verzeichnis als passwortklauer dienen??? und welche passwörter soll das verzeichnis klauen? auf dem server werden doch (deinen angaben zufolge) keine ebay etc passwörter eingegeben.
Ich bin sicher, er meint Phishing-Seiten, um die Zugangsdaten unbedarfter Benutzer abzugeifen.
Das spricht im übrigen auch dafür, dass der Angreifer über eine verwundbare Webapplikation eindringen konnte.

Ich würde eher auf eine Lücke im Apache tippen. Nutzen die Webseiten vielleicht PHP? Das kann es natürlich auch sein. Da kein ftp-Server läuft, glaube ich nicht, dass dies das Problem ist. Ich würde mal in die passenden Log-Files schauen (vielleicht wurden die mangels Rechten oder aus Dummheit nicht geändert). Vorallem in die Datei, welche Logins aufzeichnet und in die Apache-logs. Man könnte sich am Datum von ".us" orientieren. Vielleicht wurde das nicht verfälscht. Ist auf dem Server eigentlich die Firewall passend konfiguriert? Desweiteren kann man einen Angriff aus dem LAN nie ausschliessen. Es muss ja niemand mit Absicht gemacht haben. Sind vielleicht Schädlinge auf irgendwelchen Windowsrechnen? Diese könnten ja sogar Passwörter aufzeichnen, die Du evtl. dort eingegeben hast, um auf den Server zuzugreifen.