Server gekraakt, maar hoe? - Linux en overige clients

dinsdag 14 februari 2012 12:00

Acties:

0 Henk 'm!

Topicstarter

Beste Tweakers,

Zaterdagnacht heb ik alles gebackupped en CentOS 6.2 geinstalleerd. Dit keer met SeLinux ingeschakeld en met port forwardings in de firewall.

Ik zag dus aan mijn vorige installatie(Centos 5.5) dat er ingebroken werd in mijn server, een account genaamd 'help' werd aangemaakt en vervolgens namens mijn local account 'gokhan' er mails werden verstuurd.
Dit betekent dus dat er ingebroken is in mijn server maar ik zit mij dus af te vragen hoe er ingebroken kan zijn.
Voorlopig heb ik postfixadmin en roundcubemail achter een wachtwoord staan dmv apache een wachtwoord op de dir te zetten.

Mijn oude wachtwoorden waren allemaal sterk, dan heb ik het over 6> tekens met random cijfers, letters en tekens, en toch is er ingebroken in mijn systeem.

Hoe zou er volgens jullie ingebroken kunnen zijn?

offtopic:
Zit slapeloos op mn werk nu

dinsdag 14 februari 2012 12:05

Acties:

0 Henk 'm!

CyBeR

💩

Zes tekens is per definitie niet sterk.

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 14 februari 2012 12:11

Acties:

0 Henk 'm!

com2,1ghz

Topicstarter

CyBeR schreef op dinsdag 14 februari 2012 @ 12:05:
Zes tekens is per definitie niet sterk.

Klopt, maar alleen mijn email was 6 tekens. Voor de rest waren mijn server login wachtwoorden over de 10 tekens.
Nu zijn ze over de 14 tekens. Mysql users hadden allemaal random wachtwoorden van 12 tekens.
Lokale users waren ook allemaal random. Zelfs terwijl ze geen shell hadden, stelde ik een wachtwoord bij ze in.

dinsdag 14 februari 2012 13:04

Acties:

0 Henk 'm!

Cidolfas

com2,1ghz schreef op dinsdag 14 februari 2012 @ 12:00:
Beste Tweakers,

Zaterdagnacht heb ik alles gebackupped en CentOS 6.2 geinstalleerd. Dit keer met SeLinux ingeschakeld en met port forwardings in de firewall.

Ik zag dus aan mijn vorige installatie(Centos 5.5) dat er ingebroken werd in mijn server, een account genaamd 'help' werd aangemaakt en vervolgens namens mijn local account 'gokhan' er mails werden verstuurd.
Dit betekent dus dat er ingebroken is in mijn server maar ik zit mij dus af te vragen hoe er ingebroken kan zijn.
Voorlopig heb ik postfixadmin en roundcubemail achter een wachtwoord staan dmv apache een wachtwoord op de dir te zetten.

Mijn oude wachtwoorden waren allemaal sterk, dan heb ik het over 6> tekens met random cijfers, letters en tekens, en toch is er ingebroken in mijn systeem.

Hoe zou er volgens jullie ingebroken kunnen zijn?

offtopic:
Zit slapeloos op mn werk nu

Dus je hebt geen logging meer van de gehackte server? Dan houd het een beetje op denk ik.

dinsdag 14 februari 2012 13:47

Acties:

0 Henk 'm!

com2,1ghz

Topicstarter

Cidolfas schreef op dinsdag 14 februari 2012 @ 13:04:
[...]

Dus je hebt geen logging meer van de gehackte server? Dan houd het een beetje op denk ik.

-Maillog werd volgespamd. Die werd zelfs 31gb groot.
-messages log was leeg, ten minste niet relevante gegevens.
-De user Help is als laatste aangemaakt en die zag ik niet eens in 'last' staan omdat je bij het creëren van een user kan aangeven of deze wordt gelogd of niet. Deze werd dus niet gelogd.
-De creatiedatum van de homedir van de user 'help' was ergens eind november. Precies toen het spammen begon.
-Root werd geweigerd met SSH(sinds de installatie al).

Ik heb mijn logs ook gebackupped. Behalve maillog.

Ik snap dat er dmv een lek in Wordpress, phpmyadmin of dergelijke php pakketten er code uitgevoerd kan worden maar nooit gedacht dat het systeem letterlijk overgenomen kan worden.(als dat mogelijk zou zijn)

Het enige wat ik kan bedenken is dat mijn user 'gokhan' is gebruteforced en dan zou het wel mogelijk zijn. Alhoewel ik dat wel raar vind.

dinsdag 14 februari 2012 14:31

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Meestal is zo'n hack een combinatie. Eerst zoeken ze een gat in een of andere website om hun voet tussen de deur te krijgen. Vervolgens gaan ze van daaruit verder op zoek naar een ander gat en nemen ze je hele machine over.

This post is warranted for the full amount you paid me for it.

dinsdag 14 februari 2012 14:41

Acties:

0 Henk 'm!

com2,1ghz

Topicstarter

CAPSLOCK2000 schreef op dinsdag 14 februari 2012 @ 14:31:
Meestal is zo'n hack een combinatie. Eerst zoeken ze een gat in een of andere website om hun voet tussen de deur te krijgen. Vervolgens gaan ze van daaruit verder op zoek naar een ander gat en nemen ze je hele machine over.

Ik zag wel in mn http errorlog(nog steeds trouwens) dat er veel van die spam sites mijn blog proberen te benaderen:

grep blog /var/log/httpd/error

[Tue Feb 14 07:41:21 2012] [error] [client 180.245.252.208] File does not exist: /var/www/html/blog, referer: http://www.timberlandschoenennederland.com/
[Tue Feb 14 07:43:53 2012] [error] [client 74.221.215.231] File does not exist: /var/www/html/blog, referer: http://3ww3.com
[Tue Feb 14 08:28:42 2012] [error] [client 116.212.112.241] File does not exist: /var/www/html/blog, referer: http://www.louisvuittonbelgie.eu
[Tue Feb 14 08:47:36 2012] [error] [client 180.245.252.208] File does not exist: /var/www/html/blog, referer: http://www.goedkopeuggsonlinekopen.com
[Tue Feb 14 09:34:52 2012] [error] [client 116.212.112.241] File does not exist: /var/www/html/blog, referer: http://www.goedkopeuggsonlinekopen.com
[Tue Feb 14 09:54:18 2012] [error] [client 180.245.252.208] File does not exist: /var/www/html/blog, referer: http://www.louisvuittonnederland.eu
[Tue Feb 14 10:42:23 2012] [error] [client 116.212.112.241] File does not exist: /var/www/html/blog, referer: http://www.goedkopeuggsonlinekopen.com
[Tue Feb 14 11:00:47 2012] [error] [client 180.245.252.208] File does not exist: /var/www/html/blog, referer: http://www.timberlandschoenennederland.com/
[Tue Feb 14 11:14:51 2012] [error] [client 78.129.252.174] File does not exist: /var/www/html/blog, referer: http://www.investoffshore.com/index.php

En dit herhaalt zich de hele tijd. Ik heb er nog geen wordpress op staan maar zoals je ziet zijn het steeds dezelfde soort websites die mijn blog willen benaderen.

[ Voor 3% gewijzigd door com2,1ghz op 14-02-2012 14:42 ]

dinsdag 14 februari 2012 14:47

Acties:

0 Henk 'm!

Cidolfas

Als de logfiles zich op de gehackte machine stonden zijn ze sowieso niet te vertrouwen, daar heb je eigenlijk ook weinig meer aan.

En pas op met het terug zetten van backups op je nieuwe server, de data op de backups is wellicht ook niet te vertrouwen

dinsdag 14 februari 2012 14:52

Acties:

0 Henk 'm!

com2,1ghz

Topicstarter

Cidolfas schreef op dinsdag 14 februari 2012 @ 14:47:
Als de logfiles zich op de gehackte machine stonden zijn ze sowieso niet te vertrouwen, daar heb je eigenlijk ook weinig meer aan.

En pas op met het terug zetten van backups op je nieuwe server, de data op de backups is wellicht ook niet te vertrouwen

Ik heb niets teruggezet behalve 1 website van een klant. Er zouden er nog 2 op moeten komen maar dat ga ik nog doen. De website die nu live staat heeft alleen een php gastenboek en een nieuws systeempje die alleen records uit zijn eigen db haalt.

Voor de rest is alles van 0 geconfigureerd en heb ik alleen mn oude configbestanden als klad gebruikt. In ieder geval, dit keer zit SELinux wel ingeschakeld en doe ik dit keer dingen waar ik wel over nadenk

Ik twijfel alleen om Wordpress. Ik zou hem graag erop willen zetten maar ben bang dat het weer mis gaat. Ik keek laatst nog en had ongeveer 550 comments die nog moderated moeten worden. Die bots die hebben mn hele server verkracht.

edit:
Zit zo te kijken in mn /var/log/secure en ik zie een brute force attack.

edit 2:

# DenyHosts: Tue Feb 14 15:26:31 2012 | sshd: 200.174.176.34
sshd: 200.174.176.34
# DenyHosts: Tue Feb 14 15:26:31 2012 | sshd: 182.18.184.219
sshd: 182.18.184.219
# DenyHosts: Tue Feb 14 15:26:31 2012 | sshd: 202.96.199.150
sshd: 202.96.199.150
# DenyHosts: Tue Feb 14 15:26:31 2012 | sshd: 77.248.201.36
sshd: 77.248.201.36
# DenyHosts: Tue Feb 14 15:26:31 2012 | sshd: 66.11.115.138
sshd: 66.11.115.138

[ Voor 32% gewijzigd door com2,1ghz op 14-02-2012 15:36 ]

dinsdag 14 februari 2012 16:23

Acties:

0 Henk 'm!

Boudewijn

omdat het kan

Mja die brute force ssh attacks zijn vrij standaard, daar heb ik er soms 100 van in een uur

. Geen zorgen over maken als je denyhosts draait.... mafketels.

i3 + moederbord + geheugen kopen?

dinsdag 14 februari 2012 16:31

Acties:

0 Henk 'm!

--MeAngry--

aka Qonstrukt

CentOS 5.5 zeg je. Ik weet niet of je dan regelmatig een yum update hebt gedraaid, of dit automatisch doet? Want 5.5 is al een tijd niet meer de laatste versie in 5.x branch, dat is 5.7. Belangrijk is het om in ieder geval altijd alle security updates in ieder geval geïnstalleerd te hebben.

Daarnaast zeg je websites van anderen te draaien op je server, dus zou ik eens kijken of die wel correct gesandboxed zijn. Niet dat je Apache als root user draait oid. Ik ga er niet vanuit, omdat dit niet standaard het geval is onder CentOS, maar je weet nooit.

Tesla Model Y RWD (2024)

woensdag 15 februari 2012 10:15

Acties:

0 Henk 'm!

Elijan9

Gebruikte je Horde Groupware? In dat geval zou dit kunnen komen door een backdoor die ingebouwd was sinds november. Zie: http://www.h-online.com/s...ins-backdoor-1433972.html
(Vooral omdat het uitgerekend vanaf november speelt)

War is when the young and stupid are tricked by the old and bitter into killing each other. - Niko Bellic