"bashd" Prozess mit über 100% CPU

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
Benutzeravatar
Dogge
Beiträge: 1895
Registriert: 13.09.2010 11:07:33
Lizenz eigener Beiträge: MIT Lizenz

Re: "bashd" Prozess mit über 100% CPU

Beitrag von Dogge » 29.08.2017 18:29:57

Yannici hat geschrieben: ↑ zum Beitrag ↑
29.08.2017 16:13:43
Werde also als erste Maßnahme den Login abschalten und nur noch per Schlüssel authentifizieren lassen.
Wenn du sicher weißt, dass jemand Zugang hatte würde ich erst mal neu aufsetzen. Woher willst du nicht wissen welche Hintertüren der Angreifer schon alle geöffnet hat um wieder vorbeizukommen?
Debian Testing + Gnome | Linux-Anfänger seit 04/2003
http://files.mdosch.de/2014-07/0xE13D657D.asc

Benutzeravatar
Tintom
Moderator
Beiträge: 3029
Registriert: 14.04.2006 20:55:15
Wohnort: Göttingen

Re: "bashd" Prozess mit über 100% CPU

Beitrag von Tintom » 29.08.2017 18:34:45

Yannici hat geschrieben: ↑ zum Beitrag ↑
29.08.2017 15:12:47
Tintom hat geschrieben: ↑ zum Beitrag ↑
29.08.2017 15:02:58
Warum erst nach 3-4 Tagen? Du hast doch gesehen, dass dein System erfolgreich übernommen wurde und du keine Ahnung hast warum. So etwas ist grob fahrlässig!
Wenn das Problem wirklich Wordpress oder andere PHP-Software ist, dann macht es doch wenig Sinn den Server neu aufzusetzen und mit denselben Dingen
neu zu installieren oder? Da wäre doch der Zugriff dann doch wieder genauso möglich ...
Natürlich wäre ein Neuaufsetzen am Besten, aber es kostet Zeit und bedeutet Aufwand.
Die Frage ist: Kannst du alles exakt nachvollziehen was der Angreifer gemacht hat? Die Antwort ist nein. Somit kannst du nicht sicher sein, ob der Angreifer dir noch andere Schadsoftware untergeschoben hat, die du (noch) nicht entdeckt hast. Ich nehme an, dass du die AGB gelesen hast, bevor du den Server bestellt hast?
Strato AGB hat geschrieben:6.6 Der Kunde ist verpflichtet, seine Systeme und Programme so einzurichten, dass weder die Sicherheit, die Integrität, noch die Verfügbarkeit von Systemen, Netzen und Daten von STRATO oder Dritten beeinträchtigt werden.
[...]
6.11 Die Nutzung der STRATO Dienste zur Verbreitung von Schadprogrammen oder missbräuchlich agierenden Botnetzen, zur Versendung von Spam-Nachrichten oder für Phishing, für Marken- und Urheberrechtsverletzungen, bzw. -piraterie, betrügerische oder irreführende Praktiken, Produktfälschung oder sonstige Verhaltensweisen, die gegen anwendbares Recht verstoßen, ist untersagt.
Allein diese beiden Punkte kannst du mit einem kompromittierten System nicht mehr sicherstellen und haftest gegenüber dem Hoster und Dritten für daraus entstandenem Schaden.

Die einzig sinnvolle Reihenfolge ist das System vom Netz nehmen, ein Image für weitere Analysen ziehen (kannst du dir in diesem Fall sparen weil du die Lösung ja schon gefunden hast) und das System neu aufsetzen. Letzteres im im Zweifel immer günstiger als Haftungsansprüche Dritter durch eine SPAM/Porno/sonstwas-Schleuder!

Yannici
Beiträge: 8
Registriert: 28.08.2017 19:23:01

Re: "bashd" Prozess mit über 100% CPU

Beitrag von Yannici » 29.08.2017 23:33:11

Ich werde den Server definitiv neu aufsetzen. Das mit den AGBs ist natürlich korrekt und ich will ja auch sicher gehen, dass mein Server wieder von fremden Zugriffen frei ist.
Wie ich sehe versucht der Angreifer auch jetzt noch mein neues Root Passwort zu "bruteforcen". Nachdem ich neu aufgesetzt habe kann ich das ja wiederrum verhindern indem
ich nur noch Logins per Schlüssel erlaube, korrekt?

Dann mach ich mich morgen da dran ...

owl102

Re: "bashd" Prozess mit über 100% CPU

Beitrag von owl102 » 30.08.2017 05:08:50

Yannici hat geschrieben: ↑ zum Beitrag ↑
29.08.2017 16:13:43
Das ist vom Provider so standardmäßig eingestellt (Strato).
Natürlich ist es so voreingestellt. Wie hättest du ansonsten zur Ersteinrichtung auf den Server kommen sollen?

Yannici
Beiträge: 8
Registriert: 28.08.2017 19:23:01

Re: "bashd" Prozess mit über 100% CPU

Beitrag von Yannici » 30.08.2017 06:47:01

owl102 hat geschrieben: ↑ zum Beitrag ↑
30.08.2017 05:08:50
Natürlich ist es so voreingestellt. Wie hättest du ansonsten zur Ersteinrichtung auf den Server kommen sollen?
Damals wie gesagt als blutiger Anfänger überhaupt keine Gedanken darüber gemacht.

Benutzeravatar
Tintom
Moderator
Beiträge: 3029
Registriert: 14.04.2006 20:55:15
Wohnort: Göttingen

Re: "bashd" Prozess mit über 100% CPU

Beitrag von Tintom » 30.08.2017 12:22:51

Yannici hat geschrieben: ↑ zum Beitrag ↑
29.08.2017 23:33:11
Wie ich sehe versucht der Angreifer auch jetzt noch mein neues Root Passwort zu "bruteforcen". Nachdem ich neu aufgesetzt habe kann ich das ja wiederrum verhindern indem
ich nur noch Logins per Schlüssel erlaube, korrekt?
Mal ganz simpel gefragt: Warum muss root sich überhaupt per ssh einloggen können? Gibt es dafür einen zwingenden Grund? Wenn nein, Root-Login per ssh deaktivieren.

Antworten