brute-force from your network / domain

[petrolman]

Hallo,

ich habe die Tage einen neuen Server (Debian 10.13) eingerichtet. Heute bekam ich eine Beschwerde vom Host-Anbieter, dass der Server per SSH "brute-force from your network / domain"-Attacken durchgeführt haben soll. So etwas hatte ich noch nie. In der Mail werden 5 Ziel-IPs aufgeführt. Aber wenn ich nach diesen IPs suche grep -nri "ip-adresse" /var/log/*, wird nichts angezeigt. Ich bin jetzt etwas ratlos. Das root-Paßwort habe ich geändert (20 Zeichen) und mit rkhunter habe ich den Server überprüfen lassen.
Bisher wird nur bei /usr/bin/which /usr/bin/fgrep /usr/bin/egrep eine Warnung angezeigt. Alles andere ist Grün (OK, not found, none found, not allowed)

Was kann ich denn jetzt noch tun? Als Info wurden mir u.a. noch folgende Log-Einträge mitgesendet.

Tue Oct 18 18:24:39 2022: user: root service: ssh target: target-ip source: source-ip
Tue Oct 18 18:23:49 2022: user: ovs service: ssh target: target-ip source: source-ip
Tue Oct 18 18:22:49 2022: user: anonymous service: ssh target: target-ip source: source-ip
Tue Oct 18 18:21:49 2022: user: nifi service: ssh target: target-ip source: source-ip
Tue Oct 18 18:20:59 2022: user: csr service: ssh target: target-ip source: source-ip
Tue Oct 18 18:20:09 2022: user: test6 service: ssh target: target-ip source: source-ip
Tue Oct 18 18:19:09 2022: user: jumper service: ssh target: target-ip source: source-ip
Tue Oct 18 18:18:16 2022: user: user service: ssh target: target-ip source: source-ip
Tue Oct 18 18:17:19 2022: user: joomla service: ssh target: target-ip source: source-ip
Tue Oct 18 18:14:19 2022: user: julia service: ssh target: target-ip source: source-ip

[debilian]

laufen da Webservices drauf?

[petrolman]

Nein , habe ich nicht aktiviert. Hier die aktiven Ports. Obwohl ich ssh und sshd neu gestartet habe, bleiben diese fremden IP-Adressen erhalten.

Code: Alles auswählen

# netstat -tanp | grep [Port]
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN      19702/mysqld        
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      26820/sshd          
tcp        0      0 server-ip:34360     fremde IP-Adresse 4:80         ESTABLISHED 31123/./kswapd0     
tcp        0      0 server-ip:22        fremde IP-Adresse 1:61675     ESTABLISHED 26814/sshd: [accept 
tcp        0      1 server-ip:22        fremde IP-Adresse 1:43540     FIN_WAIT1   -                   
tcp        0      1 server-ip:58142     fremde IP-Adresse 3:443         SYN_SENT    19951/rsync         
tcp        0      0 server-ip:35880     fremde IP-Adresse 2:7019        ESTABLISHED 7992/tsm            
tcp        0     36 server-ip:22        meine IP-Adresse:1599        ESTABLISHED 26703/sshd: master  
tcp        0      1 server-ip:22        fremde IP-Adresse 1:13168     FIN_WAIT1   -                   
tcp        0      0 server-ip:22        fremde IP-Adresse 1:47809     ESTABLISHED 26800/sshd: [accept 
tcp        0      0 server-ip:22        fremde IP-Adresse 1:37226     ESTABLISHED 26803/sshd: [accept 
tcp6       0      0 :::22                   :::*                    LISTEN      26820/sshd

[Tintom]

Nunja, alle ssh-Verbindungen, die du dir nicht erklären kannst, sind erstmal verdächtig. Nimm' den Server vom Netz, untersuche ihn. Die Datei /var/log/auth.log könnte noch weitere Hinweise liefern. Auf Programme wie rkhunter würde ich jetzt nicht mehr vertrauen, zumindest nicht, wenn du sie von dieser Maschine ausführst.

[DeletedUserReAsG]

Üblicherweise rebootet man das Ding sofort in ein Livesystem (jeder ernstzunehmende Anbieter von Servern bietet das an, ob’s nun Rescuesystem, Network-Boot, Livesystem oder wie auch immer genannt wird, ist unerheblich), um den Angreifer, bzw. das Script erstmal auszusperren, und den momentanen Zustand festzunageln. Dann erst guckt man weiter – und bevor die Ursache nicht gefunden ist, nimmt man die Kiste auch nicht mehr regulär ans Netz.

OT: wenn du die Ausgaben zwischen [‍code] und [/code] stellst, sehen sie sogar lesbar aus. Und weil ich nicht widerstehen kann: das Schlangenöl aus einem deiner letzten Threads hat wohl seine Wirkung nicht recht entfaltet?

[petrolman]

Hi, ich habe eine Neuinstallation mit neuem langem Paßwort gestartet und nach der Installation direkt ssh auf meine Adressen beschränkt. Die accepted Verbindungen sind nämlich auf über 2600 angestiegen. Was mir bitter aufstößt, ist der rsync Prozess. Aber wirklich gesendet wurde ja hier nichts, es war dann nur ein Versuch. Mit der Beschränkung dürften die "Hacker" dann ja wohl den Server bald in Ruhe lassen.

Code: Alles auswählen

tcp        0      1 server-ip:58142     fremde IP-Adresse 3:443         SYN_SENT    19951/rsync

[DeletedUserReAsG]

Es gibt Gründe, warum man keine Passwörter über SSH benutzen sollte, und für Root schon gar nicht. Ist hier aber vermutlich grad nicht relevant (und wenn, dann hätte dein ganzes Rumgedoktore eh keinen Zweck). Aber wenn auf meiner Kiste ein rsync-Prozess laufen würde, den ich nicht initiiert habe, dann wüsste ich: ich hab’s schon wieder vergeigt. Abreißen, neubauen – und diesmal dann richtig.

Leider schreibst du nichts dazu, was denn auf der Maschine läuft. Ein weltweit erreichbares mysql/mariadb ist oben zu sehen (was man auch nur genau dann machen sollte, wenn man weiß, was man tut – und Default ist das auch nicht), und natürlich der sshd. Ein wenig scheint da noch zu fehlen?

[petrolman]

In der Regel nehme ich auch meinen public key (ssh-copy-id -i ~/.ssh/id_rsa.pub user@host) Und die Zugriffe auf die MySQL-DB regel ich über ufw (ufw allow from <ip-address> to any port 3306). Es ist nur ein temporärer Server, auf dem ein Slave-MySQL läuft, der während eines Server-Umzugs zum Master wird. Hätte nicht gedacht, dass ich schon nach kurzer Zeit dafür "bestraft" werde, weil ssh nicht beschränkt war.

[DeletedUserReAsG]

Hätte nicht gedacht, dass ich schon nach kurzer Zeit dafür "bestraft" werde, weil ssh nicht beschränkt war.

Wie gesagt, das ist hier irrelevant. Wenn jemand auf deinem System ist, dann kam der mit einiger Wahrscheinlichkeit nicht darüber rein – der sshd ist dahingehend ausgelegt, dass er eben nicht ’zigtausend Versuche in der Sekunde, das Passwort zu erraten, ermöglicht. Und selbst wenn es möglich wäre – dann wär’s bei 20 Zeichen unwahrscheinlich, dass es in endlicher Zeit gelänge.

Eine interessante Frage wäre nun, wie du das Ding denn aufsetzt, und was dabei alles installiert wird.