Hallo Zusammen,

ich hab etwas für mich beunruhigendes auf dem Server gefunden.

Ich hab einen haufen Zombies auf den user cyrus mit einem mir unbekannten Programm laufen ssh_scankbd_dt2 und dt_ssh6 (wober die zahlen z.T. durchnummeriert sind). Auch etwas nervös macht mich dieser Prozess:

"sh -c export PATH=/bin:/sbin:/usr/bin:/usr/local/bin:/usr/sbin;/tmp/ssh_scankbd_dt2 150 217.79.182.226 >/dev/null 2>/dev/null"

Hat da jemand eine Idee was das ist?

Gruß Mario

Du hast wohl ungebetene Gäste.

http://www.google.com/search?q=dt_ssh&hl=de&client=opera&rls=de&hs=CYL&filter=0

http://www.gehrignet.de/cms/ssh-brute-force

Danke für die schnelle Antwort.

Der ungebetene Gast kam wohl über den cyrus Login per SSH. Als erste Maßnahme hab ich diesen User gelöscht und die Prozesse gekillt. Zum Glück kam der User cyrus nicht an wichtige Daten und so wie es aussieht machen die zwei Programme ausser Brute-Force Attacken auch nicht viel.

Trotzdem sehr beunruhigend! Gibts noch weitere Tips die ich beachten sollte? Z.B. System neu aufsetzen oder sowas?

http://www.rootforum.de/faq/content/14/104/de/vorgehensweise-bei-gecracktem-server.html

Der ungebetene Gast kam wohl über den cyrus Login per SSH.

Was meinst du mit "den cyrus Login"?

Ich hatte einen User Namens cyrus wegen dem IMAP geraffel...

OMG

10zeichen

OMG

Versteh ich jetzt nicht....(ich weiss was OMG heisst ;-))

Du hast einem User, der nur für einen Serverdienst gedacht war, das anmelden per shell/ssh erlaubt...

Das passiert wenn man mal was "probieren" will. Sehr ärgerlich...zum Glück war der Account eingeschränkt.

Au weia, das war auf gut Deutsch eine maximal dämliche Idee einem Systemuser eine Loginshell zu geben.

Und daß dieser User dann auch noch ein scheinbar schlechtes Passwort (wieso ÜBERHAUPT ssh via Passwort?) hatte, macht es nicht gerade besser.

Sichere die Logs, mache die Kiste komplett platt und nimm sie erst wieder ans Netz, wenn Du ein grundlegendes Sicherheitskonzept hast.

Mit den Einstellungen ist das ein Schweizer Käse, fehlt eigentlich nur noch die passende Domain, so etwas wie: "www.come_and_get_me.de".

Und das mit dem "zum Glück war der Account" eingeschränkt ist kein Argument, Du kannst überhaupt nicht sagen, was der Einbrecher noch alles angestellt hat und vor Dir bisher verbergen konnte.

Ach ja, zum "Ausprobieren" hat man sein lokales Testsystem.

Hmm, das mit dem Account war sicherlich doof. Aber von einem Schweizer Käse ohne Sicherheitskonzept würde ich jetzt nicht reden. Sonst hätte der Rest nicht gegriffen und ich hätte das jetzt nicht entdeckt. SSH per Passwort passt mir auch nicht, ist aber nicht anders machbar.

SSH per Passwort passt mir auch nicht, ist aber nicht anders machbar.

Und wieso?



Aber von einem Schweizer Käse ohne Sicherheitskonzept würde ich jetzt nicht reden.

SSH mit _schlechtem_ Passwort _ist_ ein Schweizer Käse.




Sonst hätte der Rest nicht gegriffen

Woher weisst Du das, daß es gegriffen hat?



und ich hätte das jetzt nicht entdeckt.

Und woher weisst Du, daß Du alles entdeckt hast?

Frage: wäre es sinnvoll wenn er (nach Rücksprache mit Netzmeister) den Inhalt der Pass.txt hier veröffentlichen würde ? Das wäre ein schöner Link auf den man Leute verweisen könnte um ihnen das Konzept "sichere Passwörter .. warum und wozu" nahezubringen...

Und wieso?
Nimm grafische SVN Clients in einem heterogenen Umfeld und probier mal selbst.


SSH mit _schlechtem_ Passwort _ist_ ein Schweizer Käse.
Ein Zugang mit einem _schlechtem_ Passwort _ist_ ein Löch im Käse.


Woher weisst Du das, daß es gegriffen hat
Weil dieser User Account mit Null-Rechte ausgestattet war?


Und woher weisst Du, daß Du alles entdeckt hast?
Das meinte ich nicht, ich meinte das ich diesen "invaliden" User mit seinen Prozessen entdeckt habe.


Frage: wäre es sinnvoll wenn er (nach Rücksprache mit Netzmeister) den Inhalt der Pass.txt hier veröffentlichen würde ? Das wäre ein schöner Link auf den man Leute verweisen könnte um ihnen das Konzept "sichere Passwörter .. warum und wozu" nahezubringen...
Bleibt mal alle auf dem Teppich :) Wie ich bereits gesagt habe war es ein versehen diesen User anzulegen bzw. ihn nicht gleich wieder zu löschen. Die restlichen Passwörter für eure Liste könnte ihr mit einem beliebigen Passwortgenerator selbst erstellen (ab 16 Zeichen, A-Z,a-z,0-9). Eine Pass.txt ist nicht auf meinem Server angelegt worden.

Ein Zugang mit einem _schlechtem_ Passwort _ist_ ein Löch im Käse.

Und was willst Du damit sagen?

Ein Loch reicht ja auch dicke aus und Du hast es sogar selbst gebohrt, wenn es noch mehr gibt, dann erhöht das nur die Chancen, daß es bald wieder daneben geht.



Nimm grafische SVN Clients in einem heterogenen Umfeld und probier mal selbst.

Also schlechte Client-Software die eine unsichere Konfiguration erzwingen, das wäre dann das nächste Loch.

Wenn Deine User genau den selben Mist bauen und den Namen von Papas Lieblingshamster als Passwort nehmen, dann viel Spaß.



Weil dieser User Account mit Null-Rechte ausgestattet war?

Eine Login Shell ist schon etwas mehr als "null Rechte" und vor allem die beste Möglichkeit sich "mehr als null Rechte" zu holen.

Ob der Rest der Kiste auch so unsicher konfiguriert war, weiß nur einer, namentlich der Admin (herzlichen Glückwunsch).



Bleibt mal alle auf dem Teppich :)

Klingt nach "berühmte letzte Worte", dann wünsch ich Dir mal viel Glück, Du wirst es brauchen.

Ich habe keinen Rootserver.. würde ich mir auch nicht zutrauen.. und auf meinem Desktop sind derartige Dienste einfach deaktiviert ( + Paketfilter + DSL Modem-Paketfilter) .. daher betrifft mich so etwas nicht.. daher kritisiere ich nicht die Maßnahmen die Rootserver-Betreiber ergreifen. Ein pass.txt wäre nur als Link-Ziel aus anderen Foren nützlich (gewesen) in denen ich ab und an versuche Laien davon zu überzeugen dass "Waldi" kein sicheres Passwort ist und dass auch ein Privatanwender auf ein Mindestmaß an Sicherheit achten sollte ....

Und was willst Du damit sagen?
Das Sicherheit ein Konzept ist. Versagt eine Instanz, greift eine andere.


Ein Loch reicht ja auch dicke aus und Du hast es sogar selbst gebohrt, wenn es noch mehr gibt, dann erhöht das nur die Chancen, daß es bald wieder daneben geht.
Die da wären?


Also schlechte Client-Software die eine unsichere Konfiguration erzwingen, das wäre dann das nächste Loch.
Wieso sollte Sie das? Nur weil sie kein SSH Login ohne Passwort unterstützt? Volliger blödsinn!


Also schlechte Client-Software die eine unsichere Konfiguration erzwingen, das wäre dann das nächste Loch.
Was ist an den von mir beschriebenen Passwörten falsch? Die Passwörter werden vergeben, siehe vorheriges Posting. Die User können diese nicht ändern!


Eine Login Shell ist schon etwas mehr als "null Rechte" und vor allem die beste Möglichkeit sich "mehr als null Rechte" zu holen.
Wieso vergibt man dann Rechte die der User innerhalb einer Login Shell hat?


Klingt nach "berühmte letzte Worte", dann wünsch ich Dir mal viel Glück, Du wirst es brauchen.
Für was?

Hm.

Anstatt eine unnötig-defensive Position gegenüber denen einzunehmen, die versuchen dir zu helfen, solltest du vielleicht versuchen, so viel wie möglich mitzunehmen.

Nur ein gutgemeinter Rat :)

Das Sicherheit ein Konzept ist. Versagt eine Instanz, greift eine andere.

Welche weitere Instanz war das?

Zumindest konnte der Angreifer sein Binary hochladen und den Code auch ausführen (in /tmp allerdings auch kein Wunder).

Vielleicht war der Angreifer auch nur zu dumm, es mit bekannten lokalen Exploits gegen die installierte Software zu versuchen, vielleicht war er es auch nicht und Du hast davon nichts mitbekommen.

Würdest Du Deinem System jetzt wirklich noch vertrauen?

Sei ehrlich...



Wieso vergibt man dann Rechte die der User innerhalb einer Login Shell hat?

Siehe oben, so extrem können diese Einschränkungen für den User über den der Angreifer reinkam nicht gewesen sein.

Ach ja, SVN (oder andere Dienste) per SSH tunneln und den Login mit Keys beherrscht AFAIK auch Putty.

Das nur als Anregung.

//Nachtrag:

Hast Du den Artikel, den ich verlinkt hatte, gelesen?

Nur falls Du in nächster Zeit Nachrichten der Marke "Ihre Kiste wurde für Brute-Force Attacken auf meinen Server missbraucht" bekommen solltest.

http://de.wikipedia.org/wiki/Technische_Kompromittierung
Einfach lesen, kurz nachdenken und handeln!

Mehr sollte hier nicht diskutiert werden.


Greeez Oli

Ich möchte mich für die Hinweise am Anfang nochmals bedanken. Der Rest ist kontraproduktiv, vor allem von Rain_maker.

Frage: wäre es sinnvoll wenn er (nach Rücksprache mit Netzmeister) den Inhalt der Pass.txt hier veröffentlichen würde ? Das wäre ein schöner Link auf den man Leute verweisen könnte um ihnen das Konzept "sichere Passwörter .. warum und wozu" nahezubringen...

mmhhh .... ich würd da einfach mal auf die wordlists bei packetstormsecurity hinweisen.

http://www.packetstormsecurity.org/Crackers/wordlists/

Danke ! So etwas in der Art meinte ich... wer sieht dass seine Passwörter denen auf den Listen ähnelt kann sich dann etwas anderes ausdenken damit zumindest eine Wörterbuchattacke fehlschlägt....

Vielleicht sollte man hier auch mal pwgen zur Passwortwahl verweisen!

pwgen generates random, meaningless but pronounceable and thus easy to
remember passwords. The also contained makepasswd gives even more
options which are more aimed at security.



Greeez Oli

Vielleicht sollte man hier auch mal pwgen zur Passwortwahl verweisen!



Greeez Oli

oder einfach wegsehn und mal auf der tastatur rumhämmern ;) das macht meine passwörter immer ;)

Sowas wie "tri0k5Rzl"? Da ist doch ein Passwort-Generator besser, der solche Kombinationen erstellt, die man sich merken kann, weil sie irgendwie "klingen". (Yeknowwhattamean?)

.. beim "blinden hacken" besteht außerdem die Gefahr dass Kombinationen entstehen die auf der Tastatur nahe beieinander liegen.. oder aufgrund der Ergonomie "ergonomisch nahe" beieinander sind ...

...was bei einem 16 Zeichen Passwort natürlich unglaublich dafür sorgt... *g*

Nein, völlig richtig.
Bei meinen tagelangen Versuchen auch mit verschiedenen Körperteilen stellte ich fest, dass fast immer zwei "getippte" Zeichen direkt nebeneinander liegen.

Heureka !

Ich habe es !

Statt zu tippen schlägst du in Zukunft einfach mehrmals mit dem Kopf auf die Tastatur... was da rauskommt ist tatsächlich zufällig *gg*