Hallo, ich besitze einen gemieteten vServer (mit Debian 8). Dort ist für unsere "Community" (einfach Kumpel/Arbeitskollegen die zusammen zocken) unter anderem ein Teamspeak 3 Server, ein Garrys Mod Server und weitere Server/Dienste installiert.
Infos zum Teamspeak: Dort ist ein Musikbot (Sinusbot) und ein Bot (für z.B. AFKler moven) installiert (JTS3ServerMod). Außerdem eventuell wichtig: alle Dienste liefen auf eigenen Nicht-Root Accounts und waren auf dem neusten Stand. Ausgehende Ports gab es eigentlich nur bei Diensten wie SSH, FTP etc.
Zum Vorfall: Vor kurzem hat es ein Hacker geschafft, sich über den Server Query Bot Admin Rechte für den Teamspeak zu geben. In der Log sah das so aus: ""Mustermann" wurde von "mGC Bot from xxIPxx:xxPortxx" zur Server Gruppe "Server Admin" zugewiesen." Bei IP stand seine korrekte IP. Vorher konnte er auch noch den Musikbot verschieben (User haben dafür aber keine Rechte). Ich konnte mit ihm auch noch reden bzw. ihn zur Rede stellen, er sagte mir er wäre über einen offenen Port vom Musikbot raufgekommen. Danach startete er den Server mehrmals neu/lies ihn abstürzen.
Das Problem für mich war/ist: Er konnte sich auch auch in den Linuxbenutzer vom Teamspeakserver per SSH einloggen ohne das Passwort zu wissen (Log: Accepted publickey for teamspeak from xxIPxx port 16897), eigentlich steht da aber sonst Accepted password. In dem Benutzer befand sich danach das DirtyCow Exploit.
Was ich bis jetzt gemacht habe: Den Bot und den Musikbot abgeschaltet, alle Passwörter geändert, einen IP-Range Ban erteilt, die Publickeys (nutze ich eigentlich nicht) gelöscht und Anzeige erstattet (habe ja seine IP, er konnte auch schon ermittelt werden).
Meine Frage wäre letztendlich: Weiß jemand wie er das geschafft hat? Vielleicht nutzt jemand den Musikbot (Sinusbot) oder den Query Bot (JTS3ServerMod) und kann mir helfen.
DennisAk stellte diese Frage erneut