Ist es normal, dass ein nicht öffentlicher privater Testserver ohne wichtige Daten in <24 Stunden Ziel eines Ransomangriffs wird?
Ich hatte hier auf gf.net erst vor ein paar Tagen wegen eines Port-konfigurationsproblem gefragt, dann eine scheinbare Lösung gefunden und jetzt nach nicht einmal 24 Stunden Testbetrieb scheint es bereits einen ersten Hackingangriff gegeben zu haben...
Angriff = Mongo Datenbank wurde gelöscht und durch eine andere DB ersetzt, die eine Readme enthält, doch bitte 0,0065 BTC (ca. 400€) zu unbekannter Wallet zu überweisen, damit im Anschluss die DB von russischer Domain wieder freigegeben wird!
Oder könnte evtl. meine Problembeschreibung hier auf gf.net vor wenigen Tagen mit diesem Angriff in Zusammenhang stehen? Ich hatte (dummererweise?!) ein paar Port und Prozess ID's und den Namen des Benutzers aus einem Terminal Log geposted, aber keine reale IP Adresse oder Passwörter. Die IP/Domain des Servers ist normalerweise bislang nur mir bekannt und es befand sich noch keine fertige Webseite sondern nur ein paar unwichtige Testscripte & Test DB darauf. Irgendwelche Ideen oder Tipps, insbesondere was diese ach so coolen Hacker jetzt damit bezwecken? Und wie macht man nun am Besten weiter? Den Server ganz Platt machen und wieder von vorne anfangen? Den Hoster wechseln?
4 Antworten
Die IP/Domain des Servers ist normalerweise bislang nur mir bekannt
Also doch öffentlich. Es gibt nur 2^32 IPv4 Adressen, da kann man noch gut den gesamten Adressbereich scannen.
Lass doch mal einen Webserver laufen und sieh dir nach ein paar Stunden die Logs an. Du wirst einige Anfragen finden, die phpmyadmin oder sonst was suchen. Oder einen SSH Honeypot und sieh dir die Loginversuche an. Die Suche nach bekannten Schwachstellen ist komplett automatisiert.
Ich kann mir gut vorstellen, dass in solchen Fällen nicht nur die Suche, sondern sogar der gesamte Angriff automatisiert abläuft. Es interessiert die Angreifer nicht, ob sie auch unwichtige Ziele treffen. Irgendwann wird mal jemand dabei sein, der bezahlt. Der Rest ist egal.
Selbst wenn in diesem Fall kein Schaden entstanden ist, sollte man seine eigenen Server immer möglichst gut gegen Angriffe schützen. Statt Ransomware hätten die Angreifer deinen Server ja auch nutzen können, um andere Ziele anzugreifen, und es wäre dir erst aufgefallen, wenn dir der Hoster kündigt oder die Polizei vor der Tür steht.
Daher am besten lokal oder zumindest hinter einer Firewall testen.
Ist es normal, dass ein nicht öffentlicher privater Testserver ohne wichtige Daten in <24 Stunden Ziel eines Ransomangriffs wird?
Nein, normal wäre es nicht - allerdings bedeutet "privat", dass der NICHT mit dem Internet verbunden ist.
Ansonsten wäre er "öffentlich" - und dann wären Angriffe normal.
Schließlich dauert es keine 3 Stunden für Profis alle IP-Adressen des IPv4-Netzwerkes abzusuchen.
Ich hatte hier auf gf.net erst vor ein paar Tagen wegen eines Port-konfigurationsproblem gefragt,v
Also ist es kein privater sondern ein öffentlicher Server.
Herzlichen Glückwunsch
Du hattest einen ungesicherten Server online, der einem Angriff zum Opfer fiel
Das hat nix mit Deiner Anfrage hier zu tun
Die Jungs scannen das Internet nach solch offenen Servern und stürzen sich drauf, wie die Fliegen nachts aufs Licht
und die schauen nicht nach, welche Daten das sind, die haben die Daten, die Dir vielleicht wichtig sind und außerdem wollen sie ja auch nur 400€
Da hab ich ganz andere Summen schon real erlebt
je nach PW-Stärke und dahinter steckender Hardware geht das flott
Ich habe eigentlich recht starke Passwörter (+25 Zeichen, keine Wörter oder Wiederholungen, Zahlen, Buchstaben, versch. Sonderzeichen) . Sie müssen es entweder ohne geschafft haben oder Logindaten bereits gekannt haben...
ja kann auch sein, daß sie es ohne Paßwort geschafft haben, je nach verwendetem Betriebssystem sind hier ja immer irgendwelche Hintertürchen vorhanden und offen
There is no security in obscurity. Verstecken alleine hilft nicht.
Lösegelderpresser lassen ständig Scanner auf alle möglichen IP-Adressen laufen. Wenn Du eine Firewall hast und Dir die Denys auf die Konsole prompten lässt, ist entweder wenig bis gar nichts los (Dich hat noch keiner gefunden) oder es läuft schneller durch als der Nachspann nach einem Film.
Die IP-Adressenbereiche werden nachmöglichen, einfachen Angriffen (wie wohl bei Dir) oder nach interessanten Adresseignern (Krankenhausgesellschaften) aufgesetzt. Dann läuft ein "blöder" Scanner: Erst IPs durchlaufen lassen, dann direkt auf die Antwortadressen ein ganzes Bündel von bekannten Schwachstellen (TCP-/UDP-Ports mit möglicherweise kompromittierbaren Programmen) und anschließend noch einmal ein paar Hauptports für einen Angriff auch auf alle Adressen laufen lassen, die nicht geantwortet haben (bspw. nach Web-Servern suchen). Aus den Ergebnissen wird dann ausgewählt, was sich anzugreifen lohnt.
Tipp: Setz den Server vollständig neu auf und starte mal erst nur mit SSH mit Deinem hinterlegten Client-Key. Erst wenn Du Dich kundig gemacht hast, bitte weiter experimentieren. Denn:
Eine Bitte: Lass den Experimentalserver nicht am Netz. Er wird zur SPAM- und DDOS-Schleuder für alle anderen Netzbenutzer:innen. Alle Admins werden es Dir danken, wenn Du ihn möglichst umgehend Offline nimmst.
Und zu Deiner Frage mit dem GF-Zusammenhang: Braucht es nicht, die Black-Hats dürften sich nicht die Mühe machen, erst auf GF zu suchen. Auszuschließen, dass hier einer Dich aus dem Forum hochgenommen hat, ist es zwar nicht, aber das o. g. Szenario ist das bei weitem wahrscheinlichere.
Ich habe fast alles mit SSH gemacht und die DB war wirklich nur für wenige Stunden online. Aber vl. ist auch MongoDB das Problem? (Das Problem scheint im Zusammenhang mit der DB öfters aufzutreten...)
Hm. IMHO wird hier Ursache und Wirkung vertauscht:
Dir ist, soweit ich das sehe, nicht bekannt, wie die Angreifer auf Deinen Server gekommen sind. Was wir wissen ist nur, dass sie eine DB verschlüsselt und unbrauchbar gemacht haben.
Die DB war aber vermutlich nicht der Angriffsvektor, lediglich das einzige einigermaßen lohnende Ziel für ein Datenkidnapping.
Ich hoffe, Du hast den Server schon neu aufgesetzt?
Was ich mich frage ist wie im Himmels Namen die das so schnell geschafft haben können? Die Geschwindigkeit des Angriffs deutet ja recht klar daraufhin, dass sie keine PW's benötigt haben...