Server für mining missbraucht?

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
mmax
Beiträge: 63
Registriert: 02.04.2008 08:06:46

Server für mining missbraucht?

Beitrag von mmax » 17.11.2017 15:52:08

Ich hatte gestern eine spannende Entdeckung auf meinem Server gemacht, nachdem mich ein Kunde angerufen und gemeint hat, der Server so langsam geht.

Als erstes mal einen Blick in die Auslastung, brachte folgende verdächtigte Prozesse hervor:

Code: Alles auswählen

23142 ftpuser   20   0 1569176  98512   1232 S 190,1  1,2   3:11.00 md
16339 ftpuser   20   0   26368   4160   1104 R   3,9  0,0  26:18.62 [sync_supers]
26214 ftpuser   20   0   26368   4160   1108 R   3,6  0,0  85:52.18 [sync_supers]
26218 ftpuser   20   0   26548   4364   1308 S   1,3  0,1  83:06.46 [sync_supers]
16283 ftpuser   20   0   26548   4380   1316 S   0,3  0,1   5:12.81 [sync_supers]
Offensichtlich wurde der Server via FTP kompromittiert. Das Program "md" wurde via cronjob gestartet

Code: Alles auswählen

> crontab -l -u ftpuser
* * * * * /var/tmp/.z/upd >/dev/null 2>&1

Code: Alles auswählen

> cat /var/tmp/.z/upd
#!/bin/sh
if test -r /var/tmp/.z/bash.pid; then
pid=$(cat /var/tmp/.z/bash.pid)
if $(kill -CHLD $pid >/dev/null 2>&1)
then
sleep 1
else
cd /var/tmp/.z
./run &>/dev/null
exit 0
fi
fi
Am Server gabs dann zwei Verzeichnisse "/tmp/.d" und "/tmp.z" in denen sich Scripte und Binaries befanden, die offensichtlich verwendet wurden um bitcoins zu minen. Leider musste ich vor kurzem vorübergehend FTP aktivieren und habs vergessen wieder abzudrehen. Mittlerweile hab ich proftp deinstalliert, den user ftpuser und dessen cronejobs entfernt ... jetzt scheint wieder alles sauber zu laufen.

Wenn jemand Interesse für den Inhalt der beiden Verzeichnisse hat, kann ich gerne Sicherungen bereitstellen!
Was sollte man nach so einem Angriff noch kontrollieren um sicher zu gehen dass der Server wieder sauber ist?

Benutzeravatar
heisenberg
Beiträge: 1184
Registriert: 04.06.2015 01:17:27

Re: Server für mining missbraucht?

Beitrag von heisenberg » 17.11.2017 15:54:45

Der Server ist kompromittiert und sollte komplett neu installiert werden.

Ansonsten wird es spannend welche Hintertürchen der Angreifer sich sonst noch so eingebaut hat und wie gut er diese verschleiert hat.

r4pt0r
Beiträge: 1166
Registriert: 30.04.2007 13:32:44
Lizenz eigener Beiträge: MIT Lizenz

Re: Server für mining missbraucht?

Beitrag von r4pt0r » 17.11.2017 15:59:41

heisenberg hat geschrieben: ↑ zum Beitrag ↑
17.11.2017 15:54:45
Der Server ist kompromittiert und sollte komplett neu installiert werden.
+1

Und dann ohne FTP!

Benutzeravatar
heisenberg
Beiträge: 1184
Registriert: 04.06.2015 01:17:27

Re: Server für mining missbraucht?

Beitrag von heisenberg » 17.11.2017 16:07:34

Von meiner Seite aus spricht bei FTP mit sicherer Konfiguration und sicheren, d. h. ausreichend langen und komplexen Passwörtern nichts dagegen.

Also FTP-Server würde ich vsftpd empfehlen. Problem bei ProFTPD ist, dass er sehr viele Zusatzmodule per Default aktiviert hat, die in der Vergangenheit eben auch schon Sicherheitslücken aufwiesen.

Antworten