Wurde mein vServer durch einen offenen Port gehackt?

2 Antworten

Hallo

Ausgehende Ports gab es eigentlich nur bei Diensten wie SSH, FTP etc.

Was ja vollkommen ausreicht, auch für einen Angreifer.

Ich konnte mit ihm auch noch reden bzw. ihn zur Rede stellen, er sagte
mir er wäre über einen offenen Port vom Musikbot raufgekommen.

Es ist halt immer so eine Sache mit Automatismen, da können Lücken drin sein. Deswegen ist es auch so wichtig das man die Logfiles immer im Auge hat. Das er so nett ist und mit Dir chattet strahlt Selbstsicherheit aus.

Log: Accepted publickey for teamspeak from xxIPxx port 16897)

Wozu braucht Teamspeak ssh?

In dem Benutzer befand sich danach das DirtyCow Exploit.

Sicherheitsupdates sollte man immer einspielen, wer so eine Lücke hat und nichts dagegen tut ist selbst schuld.

Den Bot und den Musikbot abgeschaltet, alle Passwörter geändert, einen IP-Range Ban erteilt,

Ein kompromittiertes System muss man neu installieren, ich jedenfalls würde mich nicht darauf verlassen das der Angreifer nicht irgendwo eine Hintertür geöffnet hat.

Anzeige erstattet (habe ja seine IP, er konnte auch schon ermittelt werden).

Ob man damit weit kommt wenn er sonstwo auf der Welt sitzt oder es sogar ein öffentliches Netz ist über das er ins Internet geht...

Weiß jemand wie er das geschafft hat?

Es wäre aber schön etwas töricht die Vorgehensweise hier öffentlich zu machen.

Linuxhase

DirtyCow Exploit

Hu? Das ist doch schon seit über einem Jahr gefixt?

Danach startete er den Server mehrmals neu/lies ihn abstürzen.

Tatsächlich sauberer reboot oder crash?

Das ist extrem wichtig, weil wenn er den Server neu starten konnte, har er wahrscheinlich geschafft root Rechte zu bekommen. Das wäre ziemlicher Mist und in dem Fall wäre was du gemacht hast bei weitem nicht ausreichend.

die Publickeys (nutze ich eigentlich nicht) gelöscht

Publickeys sihd doch cool! Einfach sicherer, aber egal.

Wenn du sowieso keine Publickeys nutzt, wieso lässt du dann Login in erster Linie darüber zu?

Wieso lässt du überhaupt SSH-Login über z.B. dem Teamspeak-Nutzer zu?

habe ja seine IP, er konnte auch schon ermittelt werden

Na dann

* War er entweder nicht der Hellste

* Oder ihr habt z.B. irgendeinen Nutzer gefunden, desen PC/Laptop/Server z.B. gehackt wurde

Meine Frage wäre letztendlich: Weiß jemand wie er das geschafft hat? 

Ist schon durchaus pausibel, dass solche Bot-Skripte Lücken haben und man dadurch letztendlich eine Datei in den .ssh Ordner erstellen kann. Mehr war ja nicht nötig?

Erst einmal vielen Dank für deine Antwort!

Ich habe einmal nachgeschaut und er hat den Server nur crashen lassen.

Ich habe jetzt die Publickeys deaktiviert, ich habe mir vorher darüber keine Gedanken gemacht, da ich davon ausgegangen bin, dass ich solange ich keine generiert habe, man sich so auch nicht einloggen kann.

Und das solche Skripte so gravierende Lücken haben können, war mir vorher ehrlich gesagt nicht bewusst. Ich bin ein wenig naiv davon ausgegangen, dass diese sicher sind, da so viele (auch große) Teamspeak-Server diese Dienste nutzen.

Und mir ist es ein Rätsel, wie man es überhaupt auf einen nicht publiken "No-Name-Server" absehen kann.

Hast du eventuell noch Tipps wie man sich noch weiter absichern kann? Und welche Logs ich mir noch anschauen könnte, um noch mehr Infos darüber zu bekommen.

0
@Tommi23

Und mir ist es ein Rätsel, wie man es überhaupt auf einen nicht publiken "No-Name-Server" absehen kann.

War dann wohl offensichtlich Amateur und nicht Profi ;).

Hast du eventuell noch Tipps wie man sich noch weiter absichern kann? 

Na so bisschen allgemeins Zeug. Also z.B. fail2ban ist nie verkehrt.

Zum FTP-Server; also mir wäre das im Jahr 2017 zu viel Aufwand, noch einen FTP-Server zu administrieren. FTP ist einfach ziemlich anfällig.

Schon mal überlegt, auf SFTP umzusteigen? Das ist FTP-Implementierung über ssh - heißt kannst damit genauso arbeiten wie mit ftp ohne irgendeinen weiteren offenen Port und ohne weitere Berechtigungen einstellen zu müssen, da du ja einfach die gleichen Rechte hast, wie du über ssh auch.

Ganz paranoid: Vor allem bei einem Server, wo sowieso nur eine Hand voll ausgewählter Personen Zugang haben, ist Verwendung von VPN ziemlich gute Holzhammer-Methode.

Also einfach alle Ports außer VPN-Port oder Rechter im VPN blocken - dann hat ein möglicher Angreifer praktisch keine Angriffsfläche. Zumindest bei Wartungs-Services wie ssh halte ich VPN für grundsätzlich sinnvollen "2. Schutzwall".

Und bisschen Sandboxing ist auch nicht schlecht. Also bitte nicht ein normales "chroot" - wie man das häufiger ließt. Denn chroot ist kein vernünftiges Sandboxing, wurde weder als Sicherheitsfeature konzipiert noch wurde es (im Linux-Umfeld) je als solches bezeichnet.

Gibt verschiedene Lösungen, ich finde Docker ziemlich "nice" - nicht nur wegen dem Sandboxing, sondern auch weil es Administrativ ziemlich praktisch ist.

Sandboxing ohne dem ganzen Zeug, was Docker so mit sich bringt, gibts natürlich auch - z.B. LXC.

0

Keine Netzwerkverbindung unter Kali-Linux?

Hallo liebe Community, Ich habe mir neben Windows 10 noch Kali-Linux installiert und habe das Problem, dass ich keine Verbindung zum Internet herstellen kann. Das Netzwerkkabel wird erkannt usw. Aber wenn ich die Verbindung herstellen möchte steht dauerhaft da "Verbindung wird hergestellt". Auf Windows 10 funktioniert alles super also muss es ja Softwareseitig sein.

Danke schon mal für die Antworten

...zur Frage

TeamSpeak Musikbot Hilfe?

Ich habe einen Musikbot bei TeamSpeak (SinusBot) aber wenn ich Musik abspiele ist die Quali nicht gut.

...zur Frage

CentOS 7 Ip adresse finden und per SSH "Putty" connecten?

Hey zusammen, habe ein Problem.. Ich habe mir grade auf meinem Windows Server einen Vserver erstellt (CentOS 7) nun will ich mich mit Putty verbinden da VirtualBox als Konsole echt ka cke ist... Nur ich finde meine Ip nicht (bzw doch) kann mich aber nicht mit der Ip mit ssh verbinden Ich hoffe jemand kann mir Helfen. Danke

Oder weis jemand wie man in VirtualBox Copy paste machen kann :D

...zur Frage

Sinusbot joint nicht auf server?

Hallo Leute ich habe für meinen ts3 server, der über meinen pc läuft sinusbot runtergeladen nun kommt allerdings das Problem bereits. Er möchte zu meiner serverip nen port haben Das Problem... mein server läuft mit no ip somit steht hinter der ip auch kein port könnte mir bitte jemand helfen wie ich den bot auf Ts3 bekomme ? danke im vorraus

...zur Frage

Teamspeak 3 Bot Probleme

Hi Leute, ich wollte für meinen TS3 Server einen Bot erstellen (lassen). Bin auf diese Seite gestoßen www.webshell.de. Habe aber leider Probleme, die geforderten Daten einzutragen, die Seite verlangt server ip, server port, query port, query benutzername und das query passwort. Ich dachte, dass ich alles richtig eingetragen hätte, allerdings findet er den Server nicht. Hat schon jemand Erfarungen mit dieser Seite oder sogar diesen Bot erstellt? Danke für die Hilfe.

MfG ComanderVylak

PS: Weiß nebenbei jemand wie man eine Fernbedienung für einen Soundbot auf Teamspeak tut?

...zur Frage

MCHost24 Vserver sinusbot login?

Hallo! Ich habe auf meinem vServer von MCHost24 den sinusbot installiert, dieser läuft auch ohne probleme! ( https://youtu.be/kFHrlVbz_so) ich soll nun über meine Server ip und den port 8087 auf den bot zugreifen sollen, aber dies ist das problem! In jedem beowser wird die seite nicht gefunden. Was ist falsch? Mfg Bitte01

...zur Frage

Was möchtest Du wissen?