Thema: Gehackt (Gelesen 4386 mal)

Thagam · « **am:** 18.Oktober 2009, 17:59:04 »

Wie ist es eigtl möglich, dass sich jemand Zugang über Plesk verschafft? Hat Plesk denn keine Login Versuchssperre?

Was kann ich gegen solche Hacks tun?
Kann man den Loginnamen von Plesk ändern?
Oder wurde über Putty gehackt?

Hoffe auf Tipps und Lösungen.
Übrigens: Opensuse 11

noews · « **Antwort #1 am:** 18.Oktober 2009, 23:53:03 »

Moin,

ich arbeite nicht mit Plesk, aber bei Putty bzw. SSH kannst du schützen (siehe dazu "http://www.heise.de/security/artikel/SSH-vor-Brute-Force-Angriffen-schuetzen-270140.html").
Am besten änderst Du als erstes den SSH-Port in /etc/ssh/ssh/sshd_config ==> Port 22 z.B. auf Port 50000, dann ein ausgefallerndes Passwort und ggf. auf Key-Authentizierung nutzen (googlen).

cmdLine · « **Antwort #2 am:** 19.Oktober 2009, 00:02:45 »

Wie eingebrochen wurde steht höchst wahrscheinlich in den Logfiles, die du gesichert haben solltest. Erst dann kannst du Maßnahmen zur Absicherung und zur Abwehr einer weiteren Attacke über dieses Sicherheitsloch starten. Den Server solltest du in dieser Zeit abschalten.

Thagam · « **Antwort #3 am:** 19.Oktober 2009, 00:15:32 »

Danke erstmal für Antworten.
Das sind die fremden Logfiles:

92.229.77.202 [2009-10-14 23:44:14] 'Plesk component upgrade' ('Plesk component name': 'mod_python' => 'mod_python')
92.229.77.202 [2009-10-14 23:44:14] 'Plesk component upgrade' ('Plesk component name': 'psa-tomcat-configurator' => 'psa-tomcat-configurator')
188.46.86.97 [2009-10-14 23:44:31] 'Plesk component upgrade' ('Plesk component name': 'ruby' => 'ruby')
91.11.98.167 [2009-10-14 23:45:02] 'Plesk component upgrade' ('Plesk component name': 'psa-rubyrails-configurator' => 'psa-rubyrails-configurator')
90.186.251.164 [2009-10-14 23:46:21] 'Plesk component upgrade' ('Plesk component name': 'psa-drweb-configurator' => 'psa-drweb-configurator')
213.162.66.128 [2009-10-14 23:46:55] 'Plesk component upgrade' ('Plesk component name': 'spamassassin' => 'spamassassin')
77.113.122.231 [2009-10-14 23:47:49] 'Plesk component upgrade' ('Plesk component name': 'psa-horde' => 'psa-horde')
77.113.122.231 [2009-10-14 23:47:49] 'Plesk component upgrade' ('Plesk component name': 'psa-imp' => 'psa-imp')
80.239.242.46 [2009-10-14 23:48:09] 'Plesk component upgrade' ('Plesk component name': 'psa-turba' => 'psa-turba')
80.239.242.46 [2009-10-14 23:48:09] 'Plesk component upgrade' ('Plesk component name': 'psa-atmail' => 'psa-atmail'

Jetzt zum Problem.
Der jenige hat sich in ICQ gemeldet und hat mir über die Sicherheitslück berichtet, sagt mir aber nicht wie man es verhindern kann.

Er meint: Es ist Exploit über externen ort und es ist nicht durch PW herausfinden. Und nur wenige kennen es. Er ist speziallisiert für Server hacking. Irgendwie über ssl.

Zitat von ihm:

Hihi ‎(23:19):
ja es geht überall
er ist private
Hihi ‎(23:20):
naja aber nur sehr wenige kennen das
und kein nub
deswegen wird er nie gepatched werden

cmdLine · « **Antwort #4 am:** 19.Oktober 2009, 00:57:19 »

Wenn du Spaß daran hast installier deinen Honeypot und provozier ihn etwas. Dann weisst du bald, wie er auf deinen Server gelangt ist

Die Logfile-Einträge sagen mir des Weiteren nichts, ist das denn alles? Was sagen andere Logfiles, z.b. von mod_security oder anderen sicherheitsrelevanten Programmen?

Man kann sich aber auch (welch Wunder!) dagegen schützen. Einfachste Möglichkeit (sollte eigentlich Standard sein, aber...) wäre eine IP-basierte Zugriffskontrolle, realisierbar mit IPTables, bei dynamischen IPs z.b. auch mit Hilfe von Portknocking.

uname · « **Antwort #5 am:** 19.Oktober 2009, 09:11:05 »

Zitat

Hihi ‎(23:19):
ja es geht überall
er ist private
Hihi ‎(23:20):
naja aber nur sehr wenige kennen das
und kein nub
deswegen wird er nie gepatched werden

Entweder ein Spinner oder ein Profi. Ich tippe auf Ersteres. Fordere einen Beweis an dem du es irgendwie erkennen kannst. Poste es hier im Forum. Wenn er das nicht kann oder will, so such dir andere Freunde zum spielen aus.

PS.: Deaktivere Plesk. Ein Profi konfiguriert Domains und E-Mails usw. per "vim".

Thagam · « **Antwort #6 am:** 19.Oktober 2009, 11:40:46 »

Nein der ist kein Spinner. Der gehört zu einer Gruppe von Hackern die sich für Root Hacking speziallisiert haben. Haben zwar keine böse Absichten, ist aber privat und mehr verraten die mir nicht.

Ich hatte mich gewundert als ich eine andere IP im Log sah. Und so wie er es sagt bin ich mir sicher dass es so ist.
Ich fragte ihm ob es ne Lösung wäre direkten Zugriff über Shell zu deaktivieren, aber auch das fand er als keine Lösung.

So richtige Unternehmen oder die Server von Euserv haben ja auch bestimmte Module und Einstellungen um so etwas zu verhindern.
Nur weiß ich nicht genau was ich da tun muss.

cmdLine · « **Antwort #7 am:** 19.Oktober 2009, 11:52:16 »

Zitat von: Thagam am 19.Oktober 2009, 11:40:46

Nein der ist kein Spinner. Der gehört zu einer Gruppe von Hackern die sich für Root Hacking speziallisiert haben. Haben zwar keine böse Absichten, ist aber privat und mehr verraten die mir nicht.

Haha! Nur, weil etwas irgendwo steht heisst das noch lange nicht, dass es so ist. In die vServer hier kann jeder Anfänger einbrechen, da muss man nichts von Bufferoverflows oder SQL-injections wissen. Des Weiteren spezialisiert man sich nicht auf "Root Hacking", allein das ist schon Beweis genug, dass es sich um Wannebes, oder auch Skriptkiddies, handelt. Aber du kannst mir ja gerne die Adresse per PN zukommen lassen, damit ich mich von deren Professionalität selbst überzeugen kann

Zitat

Ich fragte ihm ob es ne Lösung wäre direkten Zugriff über Shell zu deaktivieren, aber auch das fand er als keine Lösung.

Es gibt 100erte Lösungen! Restriktivere Rechte, SELinux, oder oben genannte Zugriffskontrollen, um nur wenige, einfache zu nennen.

Zitat von: uname am 19.Oktober 2009, 09:11:05

PS.: Deaktivere Plesk. Ein Profi konfiguriert Domains und E-Mails usw. per "vim".

Ich komm aus dem Lachen nicht mehr heraus.. hast du schonmal eine Serverfarm mit >5 Servern nur mit vim administriert? Da wirst du verrückt, wenn du alles von Hand machen musst. vim ist kein Administrationswerkzeug, es ist ein Texteditor. Das eine hat mit dem anderen nur sehr wenig zu tun.

Thagam · « **Antwort #8 am:** 19.Oktober 2009, 12:41:26 »

Ist mir egal ob du glaubst dass er ein Profi ist oder nicht. Das spielt jetzt auch garkeine Rolle.
Ich will einfach genaue Gegenmaßnahmen wissen.

MfG

uname · « **Antwort #9 am:** 19.Oktober 2009, 12:49:45 »

Zitat

Ich fragte ihm ob es ne Lösung wäre direkten Zugriff über Shell zu deaktivieren, aber auch das fand er als keine Lösung.

Man kann ab das webbasierte Plesk bestimmt ohne Probleme durch einen "sicheren" SSH-Tunnel schicken oder gleich openVPN nutzen. Wichtig ist hierbei, dass Plesk auf localhost gebunden wird. Alternativ kann man iptables einsetzen.
Bei etwas mehr Paranoja kann man auch SSH durch openVPN schicken und durch SSH dann Plesk. Natürlich mit eigener CA, SSH-Keys und Passphrase. Alles auf Nicht-Standard-Ports versteht sich.

Zitat

Ich komm aus dem Lachen nicht mehr heraus.. hast du schonmal eine Serverfarm mit >5 Servern nur mit vim administriert?

Gemeint war eher es selbst zu scripten. Wer wirklich viele Domains verwaltet wird sich Plesk nicht freiwillig antun. Wer für jeden Kunden alles zusammenklickt kann ja gleich Windows2008-Server einsetzen.

Thagam · « **Antwort #10 am:** 19.Oktober 2009, 13:25:40 »

Zitat von: noews am 18.Oktober 2009, 23:53:03

Moin,

ich arbeite nicht mit Plesk, aber bei Putty bzw. SSH kannst du schützen (siehe dazu "http://www.heise.de/security/artikel/SSH-vor-Brute-Force-Angriffen-schuetzen-270140.html").
Am besten änderst Du als erstes den SSH-Port in /etc/ssh/ssh/sshd_config ==> Port 22 z.B. auf Port 50000, dann ein ausgefallerndes Passwort und ggf. auf Key-Authentizierung nutzen (googlen).

Bei mir war die sshd_config unter /etc/ssh/sshd_confi zu finden.
Der Port war nur als Kommentar angegeben (mit #). Das hab ich geändert und einen komplizierteren Port ausgewählt.

public-key ist aufjedenfall auch was gutes.

Aber bei meinem Vorfall wurde ja kein PW geknackt, sondern es wurde sich irgendwie direkt in den Server exploitet und das mit externen Befehlen.

uname · « **Antwort #11 am:** 19.Oktober 2009, 13:42:05 »

Zitat

Wie ist es eigtl möglich, dass sich jemand Zugang über Plesk verschafft? Hat Plesk denn keine Login Versuchssperre?

Zitat

Aber bei meinem Vorfall wurde ja kein PW geknackt, sondern es wurde sich irgendwie direkt in den Server exploitet und das mit externen Befehlen.

Einen Angriff kann man immer nur über Dienste durchführen, die aus dem Internet erlaubt sind. Es erscheint mir unwahrscheinlich, dass dein Bekannter einen SSH-Exploit kennt. Da würde dann im übrigen evtl. selbst ein SSH-Key nicht helfen.
Weitere Dienste wären ein Webserver (Apache) bzw. Plesk. Gehen wir davon aus, dass er einen Exploit für Plesk hat.

Nun kannst du Local-SSH-Port-Forwarding nutzen und Plesk (auf anderen Port als Apache) durch die SSH-Verbindung tunneln. Denk wie oben beschrieben daran, dass Plesk nur auf "localhost" horcht.

Local-SSH-Port-Forwarding ist ziemlich billig. Selbst Putty kann Ports weiterleiten. Einfacher geht es jedoch mit "plink.exe" (gehört auch zu Putty) oder mit einem Linux-Desktop.

Code: [Auswählen]

ssh -L pleskportnr:localhost:pleskportnr user@server -p sshportnrAufruf Browser:

Code: [Auswählen]

http(s)://localhost:pleskportnr

Thagam · « **Antwort #12 am:** 19.Oktober 2009, 13:59:27 »

Er meinte, dass es direkt über ssl geht.

cmdLine · « **Antwort #13 am:** 19.Oktober 2009, 14:05:45 »

Zitat

Gemeint war eher es selbst zu scripten. Wer wirklich viele Domains verwaltet wird sich Plesk nicht freiwillig antun. Wer für jeden Kunden alles zusammenklickt kann ja gleich Windows2008-Server einsetzen.

Selbst das wirst du nicht mehr machen, sondern auf schon vorgefertigte Skripte und Programme zurückgreifen, auf Software, welche hier nicht angeboten wird, weil sie zu teuer ist. Consolenarbeit ist ab einer gewissen Stufe nicht rentabel.

uname · « **Antwort #14 am:** 19.Oktober 2009, 14:13:45 »

Zitat

Er meinte, dass es direkt über ssl geht.

Vielleicht hast du ja noch eine uralte, ungepatchte Debian- bzw. Ubuntu-Installation mit openSSL-Bug.

http://www.debian.org/security/2008/dsa-1571

Er meint wohl eher, dass Plesk einen Fehler hat. SSL ist nur die Transportverschlüsselung. Vollkommen unwichtig für einen Exploit. Wie gesagt durch SSH oder openVPN tunneln.

http://de.wikipedia.org/wiki/Transport_Layer_Security

Zitat

Consolenarbeit ist ab einer gewissen Stufe nicht rentabel.

Stimmt. Nur wenn man für 1000 Kunden Domains einrichtet ist 1000 Mal klicken auch zu viel. Da liebe ich ein Script, welches als Eingabe die 1000 Kunden nimmt und selbst die 1000 Domains erzeugt.

Thagam · « **Antwort #15 am:** 19.Oktober 2009, 14:17:03 »

Ich nutze Open Suse 11 + raid 1

uname · « **Antwort #16 am:** 19.Oktober 2009, 14:23:20 »

Zitat

Ich nutze Open Suse 11 + raid 1

Na dann warst du wohl nicht betroffen. Obwohl auch andere Linux-Distributionen indirekt betroffen waren vom openSSL-Bug.

Wie gesagt liegt bestimmt eher an der von dir eingesetzten Plesk-Version vielleicht in Verbindung mit PHP, MySQL oder was sonst noch an der Anwendung hängt. Webanwendungen sind immer riskant. Nicht ohne Grund hat man z.B. Webmin bei Debian und wohl auch bei SuSE aus der Distribution rausgeworfen. Unsichere Dienste sollte man somit über SSH absichern.

Autor Thema: Gehackt (Gelesen 4386 mal)

Thagam

Gehackt

noews

Re: Gehackt

cmdLine

Re: Gehackt

Thagam

Re: Gehackt

cmdLine

Re: Gehackt

uname

Re: Gehackt

Thagam

Re: Gehackt

cmdLine

Re: Gehackt

Thagam

Re: Gehackt

uname

Re: Gehackt

Thagam

Re: Gehackt

uname

Re: Gehackt

Thagam

Re: Gehackt

cmdLine

Re: Gehackt

uname

Re: Gehackt

Thagam

Re: Gehackt

uname

Re: Gehackt