Follow

Mir ist tatsächlich ein Server gehackt worden heute morgen. Dank meines Monitorings ist es mir sofort aufgefallen, und ich konnte reagieren. Was mich irritiert ist, dass der Angreifer sich zuerst lokal anmelden konnte. Gibt es da eine bekannte Schwachstelle mit der man das hinkriegt?
Das lief auf dem Server:
- Debian
- apache2
- mattermost
- wordpress
- nextcloud

# linux

keine Hilfe 

keine Hilfe 

@chillja Und das Grafana schickt mir Warnungen mit Telegram. In meinem Fall hat der Angreifer nen reboot gemacht, das hat eine Warnung getriggert.

@drsebro
Rein gefühlsmäßig eher wordpress 🔥.
Der Angreifer hat var/log/apache2 gelöscht, ich kann nichts nachvollziehen.

@x2ero dann hast du irgendwelche halbfertige Plug ins in deinem Wordpress?

@drsebro
Das war eine wp test Installation, ich weiß gar nicht mehr was da alles war 😃. Ich habe aber ein Backup, muss ich mal in die Analyse gehen.
Aber das ist leider stochern im Nebel.

@x2ero dann hast du eben den Test bestanden. Wenn man eigene Installation nicht kennt/beherrscht, wird sie irgendwann von irgendeinem Schwachkopf aus dem Inet beherrscht.

Was für ein Monitoring hast du benutzt? Würde mich auch interessieren.

@drsebro
Grafana mit Prometheus ( node_exporter), schickt mir Warnungen per Telegram. Ziemlich cool!

@x2ero was steht in den Logdateien?

P.S bei welchem Anbieter steht der Server? Zufällog Netcup? Die haben in der letzten Zeit wegen den CPU Sicherheitslücken ihre Hosts neugestartet.

@dadosch
Nein, servercow.
Der Angreifer hat sich zuerst auf tty1 angemeldet als user adm mit root rechten, dann eine ssh sitzung geöffnet, dann als erstes die apache logfiles gelöscht. Schließlich was angelegt, was nach crypto mining aussieht.

@x2ero
wie meldest du dich i.d.R. an? mit PW, oder Key? und hast du die PW-anmeldung ggf. erlaubt/verboten?

@tunda
Das ist es ja. Die erste Anmeldung war lokal, damit hat sich der Angreifer dann nen ssh zugang gebohrt. Der erste Angriff erfolgte NICHT per SSH.

@tunda
Die eigentliche Antwort noch: Anmeldung geht nur mit key und root ist verboten.

@x2ero Ein Blick hier-rein zeigt ganz sicher gnügend Schwachstellen - je nach upgrade-Lage: cve.mitre.org/

Aber Standard-Passwörter aus postfix oder sonstigen systemservices sind auch stets gerne genommen 🙂

Sign in to participate in the conversation
Pforzelona.Club

Eine weitere Mastodon Instanz