Server Dedicato NetDirekt in balia di Hacker

[irongloves]

Aiuto ragazzi!

Sono ormai 4 giorni che il mio dedicato (preso da Netdirekt) e' a quanto pare in balia degli hacker.

Ogni giorno mi arrivano email dall' Abuse Team di Netdirekt che mi forwardano le email che ricevono da altri che affermano che il mio IP viene fermato o bannato perche' c'e' alla base una attivita' di hacker.

L'ultimo alert che mi e' arrivato (via Abuse Team di Netdirekt) e' da parte di un'altro sito tedesco che chiaramente chiede

"Hi

Please Stop this FTP-Scan

Thx
Sascha Detje"

E mi invia una email (Per motivi di privacy ho sostituito l'indirizzo IP del mio server con MIO.INDIRIZZO.IP.DEDICATO):

Codice:

>>>-----Ursprüngliche Nachricht-----
>>>Von: root [mailto:root@ks354603.kimsufi.com]
>>>Gesendet: Montag, 23. März 2009 16:24 Uhr
>>>An: root@basicsounds.de
>>>Betreff: [Fail2Ban] proftpd: banned MIO.INDIRIZZO.IP.DEDICATO
>>>
>>>Hi,
>>>
>>>The IP MIO.INDIRIZZO.IP.DEDICATO has just been banned by Fail2Ban after
>>>2 attempts against proftpd.
>>>

>>>
>>>Lines containing IP:MIO.INDIRIZZO.IP.DEDICATO in /var/log/proftpd.log
>>>
>>>Mar 23 16:22:15 ks354603.kimsufi.com proftpd[6937] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session opened.
>>>Mar 23 16:22:21 ks354603.kimsufi.com proftpd[6937] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): no such user fakeuser
>>>Mar 23 16:22:21 ks354603.kimsufi.com proftpd[6937] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): USER fakeuser: no such user found from
>>>MIO.INDIRIZZO.IP.DEDICATO [MIO.INDIRIZZO.IP.DEDICATO] to 91.121.107.101:21
>>>Mar 23 16:22:21 ks354603.kimsufi.com proftpd[6937] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session closed.
>>>Mar 23 16:22:21 ks354603.kimsufi.com proftpd[6947] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session opened.
>>>Mar 23 16:22:27 ks354603.kimsufi.com proftpd[6947] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): SECURITY VIOLATION: root login attempted.
>>>Mar 23 16:22:27 ks354603.kimsufi.com proftpd[6947] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session closed.
>>>Mar 23 16:22:27 ks354603.kimsufi.com proftpd[6948] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session opened.
>>>Mar 23 16:22:35 ks354603.kimsufi.com proftpd[6948] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): PAM(nobody): Authentication failure.
>>>Mar 23 16:22:35 ks354603.kimsufi.com proftpd[6948] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): USER nobody (Login failed): Incorrect
>>>password.
>>>Mar 23 16:22:35 ks354603.kimsufi.com proftpd[6948] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session closed.
>>>Mar 23 16:22:35 ks354603.kimsufi.com proftpd[6954] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session opened.
>>>Mar 23 16:22:43 ks354603.kimsufi.com proftpd[6954] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): PAM(www-data): Authentication failure.
>>>Mar 23 16:22:43 ks354603.kimsufi.com proftpd[6954] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): USER www-data (Login failed): Incorrect
>>>password.
>>>Mar 23 16:22:43 ks354603.kimsufi.com proftpd[6954] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session closed.
>>>Mar 23 16:22:43 ks354603.kimsufi.com proftpd[6960] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session opened.
>>>Mar 23 16:22:51 ks354603.kimsufi.com proftpd[6960] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): PAM(www-data): Authentication failure.
>>>Mar 23 16:22:51 ks354603.kimsufi.com proftpd[6960] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): USER www-data (Login failed): Incorrect
>>>password.
>>>Mar 23 16:22:51 ks354603.kimsufi.com proftpd[6960] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session closed.
>>>Mar 23 16:22:52 ks354603.kimsufi.com proftpd[6971] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session opened.
>>>Mar 23 16:23:00 ks354603.kimsufi.com proftpd[6971] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): PAM(www-data): Authentication failure.
>>>Mar 23 16:23:00 ks354603.kimsufi.com proftpd[6971] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): USER www-data (Login failed): Incorrect
>>>password.
>>>Mar 23 16:23:00 ks354603.kimsufi.com proftpd[6971] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session closed.
>>>Mar 23 16:23:00 ks354603.kimsufi.com proftpd[6972] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session opened.
>>>Mar 23 16:23:08 ks354603.kimsufi.com proftpd[6972] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): PAM(nobody): Authentication failure.
>>>Mar 23 16:23:08 ks354603.kimsufi.com proftpd[6972] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): USER nobody (Login failed): Incorrect
>>>password.
>>>Mar 23 16:23:08 ks354603.kimsufi.com proftpd[6972] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session closed.
>>>Mar 23 16:23:08 ks354603.kimsufi.com proftpd[7053] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session opened.
>>>Mar 23 16:23:17 ks354603.kimsufi.com proftpd[7053] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): PAM(nobody): Authentication failure.
>>>Mar 23 16:23:17 ks354603.kimsufi.com proftpd[7053] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): USER nobody (Login failed): Incorrect
>>>password.
>>>Mar 23 16:23:17 ks354603.kimsufi.com proftpd[7053] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session closed.
>>>Mar 23 16:23:17 ks354603.kimsufi.com proftpd[7063] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session opened.
>>>Mar 23 16:23:25 ks354603.kimsufi.com proftpd[7063] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): PAM(nobody): Authentication failure.
>>>Mar 23 16:23:25 ks354603.kimsufi.com proftpd[7063] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): USER nobody (Login failed): Incorrect
>>>password.
>>>Mar 23 16:23:25 ks354603.kimsufi.com proftpd[7063] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session closed.
>>>Mar 23 16:23:25 ks354603.kimsufi.com proftpd[7069] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session opened.
>>>Mar 23 16:23:31 ks354603.kimsufi.com proftpd[7069] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): no such user apache
>>>Mar 23 16:23:31 ks354603.kimsufi.com proftpd[7069] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): USER apache: no such user found from
>>>MIO.INDIRIZZO.IP.DEDICATO [MIO.INDIRIZZO.IP.DEDICATO] to 91.121.107.101:21
>>>Mar 23 16:23:31 ks354603.kimsufi.com proftpd[7069] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session closed.
>>>Mar 23 16:23:31 ks354603.kimsufi.com proftpd[7075] ks354603
>>>(MIO.INDIRIZZO.IP.DEDICATO[MIO.INDIRIZZO.IP.DEDICATO]): FTP session opened.

1) Come faccio a capire cosa stanno fapendo?
2) Dato che sul dedicato sono hostati diversi siti (5), come faccio a capire se c'e' qualche script coinvolto e soprattutto da quale partono gli attacchi?

Io mi sono limitato a cambiare la pw del server root, che altro posso fare?

Grazie

[irongloves]

Un'altra email

Codice:

Hallo.

Wir hatten einen ganzen Haufen Exploitversuche auf verschiedene unserer
Maschinen von einer eurer Maschinen aus (MIO.INDIRIZZO.IP.DEDICATO).

Exemplarisch hier ein Auszug eines (redirector) Logs von 195.96.32.4:

MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 00:43:42] \"POST
/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 00:43:42] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 00:43:42] \"POST
/mail/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 00:43:42] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 00:43:42] \"POST
/rc/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 00:43:42] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 00:43:42] \"POST
/roundcube/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 00:43:42] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 00:43:42] \"POST
/roundcubemail/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 00:43:42] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 00:43:42] \"POST
/roundcube-mail/bin/html2text.php HTTP/1.1\" 501 -
[...]
Und nach ein paar Stunden dasselbe Spiel nochmal:
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/mail/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/rc/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/roundcube/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/roundcubemail/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/roundcube-mail/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/roundcubemail-0.1/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/roundcubemail-0.1.1/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/roundcubemail-0.1beta/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/roundcubemail-0.1beta2/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/roundcubemail-0.1-rc1/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/roundcubemail-0.1-rc2/bin/html2text.php HTTP/1.1\" 501 -
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] code 501,
message Unsupported method (POST)
MIO.INDIRIZZO.IP.DEDICATO.internetserviceteam.com - - [26/Mar/2009 06:38:18] \"POST
/roundcubemail-0.2/bin/html2text.php HTTP/1.1\" 501 -
[...]

MfG CoCo

[Alex]

quando una macchina è compromessa nel 99% è opportuno riconfigurarla da 0.
Detto questo se hai un server dovresti sapere leggere i log

[guest]

Ti conviene prendere un servizio di KVM over IP e far staccare il cavo di rete dal provider. Così hai tutto il tempo per analizzare cosa è successo e DOPO LA REINSTALLAZIONE, fare in modo che non si verifichi più.

Ma se la macchina è compromessa, DEVI reinstallare. Al 99% ti han già installato qualche backdoor quindi possono entrare ed uscire liberamente dal sistema anche in futuro. Formatta e riparti da 0.

(sempre che la macchina sia stata compromessa)

[irongloves]

Vabbe,

se non ci sono altre soluzioni mi trovero un dedicato managed.

Peccato, come server quelli di netdirekt sono buoni ma sei lasciato a te stesso e non so se offrono soluzioni managed.

Loro mi hanno offerto di installare un firewall hardware per 25 euro al mese ma non capisco se serva per questo tipo di problemi.

Ciao

[guest]

Una volta che ti han bucato, il firewall fa poco. Il firewall serve a prevenire.
Sempre che il tuo server sia effettivamente compromesso, magari se tu avessi avuto un firewall hardware (di buona qualità, con ispezione dei pacchetti) probabilmente non ti avrebbero bucato.

Ma oggigiorno, la maggioranza di attacchi avviene tramite script PHP scritti con i piedi associati a server web non messi in sicurezza. Una vulnerabilità del codice e ti installano una backdoor (o ti fanno defecement di 100 siti per volta) ed a quel punto non hai più niente da fare.

Se non si ha dimestichezza con i server, un managed è sempre la soluzione migliore. E' compito del provider mettere in sicurezza il sistema.

[Shazan]

se non ci sono altre soluzioni mi trovero un dedicato managed.

Ottima idea, ma nel frattempo puoi contattare un sistemista o puoi provare a richiedere un loro intervento a pagamento. E' un miracolo che non te l'abbiano ancora scollegato.

[WizOfOz]

Una volta che ti han bucato, il firewall fa poco. Il firewall serve a prevenire.
Sempre che il tuo server sia effettivamente compromesso, magari se tu avessi avuto un firewall hardware (di buona qualità, con ispezione dei pacchetti) probabilmente non ti avrebbero bucato.

Mica detto.. se sfruttano le vulnerabilità dei siti o script anche un firewall non può far nulla.

[guest]

Mica detto.. se sfruttano le vulnerabilità dei siti o script anche un firewall non può far nulla.

Appunto, e io che ho detto?
Ho messo un "ma" apposta ad inizio frase. Il senso era: il firewall ti aiuta MA oggigiorno le vulnerabilità sono quelle descri script PHP ed in tal caso il firewall non può fare nulla (o quasi, dipende se analizza le sessioni HTTP e gli URL alla ricerca di pattern conosciuti)

[irongloves]

E' un miracolo che non te l'abbiano ancora scollegato.

In realta' lo hanno scollegato verso le 5 di oggi.

Il fatto e' che loro mi dicono di risolvere il problema trovando la "sorgente" del problema.

Per me e' come trovare un ago in un paiaio.

[guest]

Allora il consiglio è quello di passare ad un piano managed al più presto e considerare persa tale macchina. Tanto le devi formattare, se hai un backup aggiornato lascia perdere quella macchina e parti da zero con un contratto managed.

[irongloves]

Il problema ora e' riuscire ad accedere al server dato che e' down.

[guest]

Ma non hai un backup?
Loro non offrono un servizio di KVM?

[irongloves]

Ho il backup di tutti tranne 1 sito (piccolissimo, alcune pagine ma magari riesco a recuperarlo dal designer precedente).

per il KVM non saprei

[guest]

Allora se non ti danno il KVM con cui scaricare il sito, carica tutto su un nuovo server.