Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Server weer gehack of poging tot.  (gelezen 885 keer)

Offline jobvdnoort

  • Lid
    • Jobvandenoort.nl
  • Steunpunt: Nee
Server weer gehack of poging tot.
« Gepost op: 2012/11/30, 17:12:00 »
Hallo,
ik heb een best dringende vraag. Ik heb een dedicated server overgenomen van een vriend nadat deze gehackt was en gebruikt was om te ddossen. Er stond toen winserver op. Self prefereer ik ubunut server dus heb ik dat erop geinstalleerd.
Na de installatie van webmin en het instellen van verschillende users kreeg ik dit bericht:

Bonjour,

Er is een abnormale activiteit geconstateerd op uw server ks2014648.kimsufi.com.

We adviseren u om contact op te nemen met onze Support, zodat de situatie
niet kritiek wordt.

U kunt de loggegevens van ons systeem welke tot deze waarschuwing hebben
geleid, hieronder terugvinden.

- BEGIN VAN DE AANVULLENDE INFORMATIE -
30/11/2012  06:03:17    sshd    PID 3284: Invalid user darcy from 91.121.121.189.

30/11/2012  06:03:16    sshd    PID 1888: Received disconnect from 91.121.121.189: 11: Bye Bye.

30/11/2012  06:03:16    sshd    PID 1888: input_userauth_request: invalid user daphne.

30/11/2012  06:03:16    sshd    PID 3288: Invalid user daphne from 91.121.121.189.

30/11/2012  06:03:15    sshd    PID 1692: Received disconnect from 91.121.121.189: 11: Bye Bye.

30/11/2012  06:03:15    sshd    PID 1692: input_userauth_request: invalid user david.

30/11/2012  06:03:15    sshd    PID 324: Invalid user david from 91.121.121.189.

30/11/2012  06:03:15    sshd    PID 3308: Received disconnect from 91.121.121.189: 11: Bye Bye.

30/11/2012  06:03:15    sshd    PID 3308: input_userauth_request: invalid user danny.

30/11/2012  06:03:15    sshd    PID 708: Invalid user danny from 91.121.121.189.

30/11/2012  06:03:14    sshd    PID 3712: Received disconnect from 91.121.121.189: 11: Bye Bye.

30/11/2012  06:03:14    sshd    PID 3712: input_userauth_request: invalid user daniela.

30/11/2012  06:03:14    sshd    PID 332: Invalid user daniela from 91.121.121.189.

30/11/2012  06:03:13    sshd    PID 3896: Received disconnect from 91.121.121.189: 11: Bye Bye.

30/11/2012  06:03:13    sshd    PID 3896: input_userauth_request: invalid user daniele.

30/11/2012  06:03:13    sshd    PID 3680: Invalid user daniele from 91.121.121.189.

30/11/2012  06:03:12    sshd    PID 3076: Received disconnect from 91.121.121.189: 11: Bye Bye.

30/11/2012  06:03:12    sshd    PID 3076: input_userauth_request: invalid user daniel.

30/11/2012  06:03:12    sshd    PID 1300: Invalid user daniel from 91.121.121.189.

30/11/2012  06:03:12    sshd    PID 1100: Received disconnect from 91.121.121.189: 11: Bye Bye.

30/11/2012  06:03:12    sshd    PID 1100: input_userauth_request: invalid user dana.

30/11/2012  06:03:12    sshd    PID 944: Invalid user dana from 91.121.121.189.

30/11/2012  06:03:11    sshd    PID 3200: Received disconnect from 91.121.121.189: 11: Bye Bye.

30/11/2012  06:03:11    sshd    PID 3200: input_userauth_request: invalid user dan.

30/11/2012  06:03:11    sshd    PID 2512: Invalid user dan from 91.121.121.189.

Dit lijkt mij een bruteforce via ssh, het enige probleem is dat het ip-adress wat gebruikt is om te connecten het zelfde ip is als dat van de server. Dat zou dan betekenen dat mijn localhost een ssh bruteforce uitgevoerd heeft?!?
Op dit moment staat de server uit totdat ik een oplossing weet.
Weet iemand toevallig hoe je na 3 verkeerde users/pass een 10minute wait op de connectie kan zetten en miss zelfs na de 2e keer 30min wait.

alvast bedankt,
Gr,
Job
Van Ubuntu 6.10 naar Ubuntu 12.10 met een rare amazon bug.


Offline jobvdnoort

  • Lid
    • Jobvandenoort.nl
  • Steunpunt: Nee
Re: Server weer gehack of poging tot.
« Reactie #2 Gepost op: 2012/11/30, 17:34:01 »
Super bedankt ik ga het meteen installeren
Van Ubuntu 6.10 naar Ubuntu 12.10 met een rare amazon bug.

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Server weer gehack of poging tot.
« Reactie #3 Gepost op: 2012/11/30, 20:26:18 »
Fail2ban gaat niet veel helpen als je eigen server gekraakt is en zelf die aanvallen uitvoert. Fail2ban is alleen om je als "slachtoffer" van de aanvallen te verdedigen.

Ik zou de hele server leeghalen en helemaal vanaf 0 beginnen, want er is niets meer te vertrouwen. Let daarbij ook op websites die op die server draaien, als daar een groot lek in zit ben je zo weer de pineut.

Overigens zou je ook nog eens naar een andere host kunnen kijken. Hier op het forum zijn zo'n beetje alle adressen van kimsufi.com geblokkeerd vanwege het grote aantal hack- en spampogingen dat daar vandaan komt. Hetzelfde geldt voor de website en prikbord.

Offline Bloom

  • Lid
  • Steunpunt: Ja
Re: Server weer gehack of poging tot.
« Reactie #4 Gepost op: 2012/11/30, 21:30:59 »
Iemand die al binnen is probeert uiteraard geen ssh-inlogs meer uit. Ik denk dat de server zelf nog veilig is, maar dat iemand probeert in te breken en "address spoofing" gebruikt om zijn eigen ip-adres te verbergen in in plaats daarvan het serveradres zelf invult.

Offline jobvdnoort

  • Lid
    • Jobvandenoort.nl
  • Steunpunt: Nee
Re: Server weer gehack of poging tot.
« Reactie #5 Gepost op: 2012/12/01, 00:34:29 »
Iemand die al binnen is probeert uiteraard geen ssh-inlogs meer uit. Ik denk dat de server zelf nog veilig is, maar dat iemand probeert in te breken en "address spoofing" gebruikt om zijn eigen ip-adres te verbergen in in plaats daarvan het serveradres zelf invult.

Is dan Fail2ban wel een optie of niet? op dit moment heb ik ubuntu server 12.04 helemaal clean geinstalleerd en heb ik alleen nog een root account voor mezelf.
Van Ubuntu 6.10 naar Ubuntu 12.10 met een rare amazon bug.

Offline Buzzin

  • Lid
  • Steunpunt: Nee
Re: Server weer gehack of poging tot.
« Reactie #6 Gepost op: 2012/12/01, 02:44:19 »
Je kunt om de risico's te verkleinen een paar dingen doen, maar belangrijk is denk ik wel dat je eerst SSH toegang voor Root uitzet.
Dit vind je in /etc/ssh/sshd_config (PermitRootLogin no)
Wel zorgen dat je met sudo su - nog bij het root account kan natuurlijk  :P

Je kunt eventueel het poortnummer veranderen waarop ssh luisterd. Dit maakt het niet veiliger, maar geautomatiseerde scripts zijn niet allemaal even slim en zullen mogelijk afhaken.....het kan geen kwaad en misschien heeft het voordelen.

Een goede firewall is handig en hoeft niet moeilijk in te stellen te zijn.

Maar zorg ook dat de websites die je draait veilig zijn, en up-to-date.
Football: A battle between two teams of mindless thugs over scraps of coloured cloth. Usually accompanied by the spectacle of 22 overpaid primadonnas kicking a ball on a field.
DebianDevuan, KDE & OperaVivaldi addict, RedHat Engineer

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Server weer gehack of poging tot.
« Reactie #7 Gepost op: 2012/12/01, 07:55:31 »
Iemand die al binnen is probeert uiteraard geen ssh-inlogs meer uit. Ik denk dat de server zelf nog veilig is, maar dat iemand probeert in te breken en "address spoofing" gebruikt om zijn eigen ip-adres te verbergen in in plaats daarvan het serveradres zelf invult.
Nou ja, de klacht van de hoster is dat zijn server op ks2014648.kimsufi.com een aanval uitvoert.
En dat IP adres uit de logs verwijst naar zijn server. Ik neem dus aan dat andere mensen bij zijn hoster geklaagd hebben over de aanvallen die zijn server uitvoert tegen anderen.
Tenminste, dat begrijp ik ervan.

Dat zou dan betekenen dat zijn server gehackt is, of dat er een kwaadaardig script op zijn server gezet is via een lekke website die op de server draait bijv.

Voor de 2 opties:
Is iemand steeds bezig om jouw server aan te vallen zoals in de logs staat: dan stel je fail2ban in, en evt. wat andere instellingen in SSH.

De tweede optie: iemand heeft jouw server gehackt en is nu met jouw server bezig om anderen lastig te vallen: veeg je server schoon en begin opnieuw. En stel alles dan wel meteen veilig in ;)