Ausgehende Brute Force Attacke

For topics beyond KeyHelp. / Für Themen jenseits von KeyHelp.
Post Reply
alex-kehl
Posts: 36
Joined: Wed 30. May 2018, 12:19

Ausgehende Brute Force Attacke

Post by alex-kehl »

Hallo und schönen guten Abend,

seit zwei Tagen erhalte ich von meinem Anbieter server4you Abuse-Fälle gemeldet, aber seht selbst:
To whom it may concern,

one of your users/systems is running a password guessing attack against
my server (mail.lordy.de).
Here is an excerpt from the log, all timestamps are in GMT:

2023-04-01 13:19:53 - User email@steve-meier.de unknown on smtp from
meine.Server.IP [password: stevemeier1234567890]
2023-04-01 15:59:38 - User email@steve-meier.de unknown on smtp from
meine.Server.IP [password: stevemeier123@]
2023-04-01 17:18:26 - User email@steve-meier.de unknown on smtp from
meine.Server.IP [password: stevemeier123@=]
2023-04-01 18:40:50 - User email@steve-meier.de unknown on smtp from
meine.Server.IP [password: stevemeier!123@]
2023-04-01 20:01:47 - User email@steve-meier.de unknown on smtp from
meine.Server.IP [password: stevemeier123@!]
2023-04-01 21:21:40 - User email@steve-meier.de unknown on smtp from
meine.Server.IP [password: stevemeier123$]
2023-04-01 22:43:56 - User email@steve-meier.de unknown on smtp from
meine.Server.IP [password: stevemeier123£]
2023-04-02 00:03:20 - User email@steve-meier.de unknown on smtp from
meine.Server.IP [password: stevemeier987654321]
2023-04-02 01:27:00 - User email@steve-meier.de unknown on smtp from
meine.Server.IP [password: stevemeier4321]
2023-04-02 02:54:15 - User email@steve-meier.de unknown on smtp from
meine.Server.IP [password: stevemeier21]

Please take the appropriate steps to stop this attack. Thank you.
Sollte dem wirklich so sein, dass ich bzw. der Server wirklich so etwas auslöst, stellt sich mir die Frage wie ich am schnellsten den Auslöser finde.

Ich habe mir auch die Webseite des Attackierten Webservers lordy.de angesehen. Diese sieht für mich nicht wirklich aktuell bzw. seriös aus.
Zwischenzeitlich hat mich mein Anbieter geblockt, so dass ich auf dessen Freigabe warte, um das Problem beheben zu können.

Über Anregungen und Hilfe zum Aufspüren des Übeltäters würde ich mich freuen und ebenfalls jetzt schon bedanken.
User avatar
Jolinar
Community Moderator
Posts: 3559
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: Ausgehende Brute Force Attacke

Post by Jolinar »

Wenn dein Anbieter dir wieder Zugriff auf deinen Server gewährt, dann nicht normal starten, sondern im Rescue. Dort dein System mounten, dann die Mailserverlogs mit den Zeiten aus den Abuse Meldungen abgleichen. So bekommst du erste Anhaltspunkte für die Ursache deiner Probleme.
Jetzt liegt es an deinen Sachkenntnissen, ob du dir eine Reparatur deines Systems selber zutraust oder ob du dir professionelle Unterstützung einkaufst.

Und denk dran...Das amoklaufende Script zu finden, ist nur die Hälfte der Problemlösung.
Noch viel wichtiger ist es herauszufinden, wie genau das Schadscript den Weg auf dein System gefunden hat. Denn wenn du diese Lücke nicht schließt, fängst du dir immer wieder Schadcode ein.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Ausgehende Brute Force Attacke

Post by 24unix »

alex-kehl wrote: Mon 3. Apr 2023, 23:02
Zwischenzeitlich hat mich mein Anbieter geblockt, so dass ich auf dessen Freigabe warte, um das Problem beheben zu können.
Normalerweise (bei besseren Providern) kann man seine eigene IP whitelisten lassen.
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Ausgehende Brute Force Attacke

Post by OlliTheDarkness »

Jolinar wrote: Mon 3. Apr 2023, 23:55 Wenn dein Anbieter dir wieder Zugriff auf deinen Server gewährt, dann nicht normal starten, sondern im Rescue...
:lol: :lol:
Rescue System
:lol: :lol:
S4Y
:lol: :lol:

Sorry, aber bei dem Verein kannst froh sein wenn irgendwer oder irgendwas überhaupt was tut.

Gilt für die Server sowie für Support.

Hattest aus diesem Hause wohl noch keinen Server, besser ist.
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
User avatar
Jolinar
Community Moderator
Posts: 3559
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: Ausgehende Brute Force Attacke

Post by Jolinar »

OlliTheDarkness wrote: Tue 4. Apr 2023, 08:08 Hattest aus diesem Hause wohl noch keinen Server, besser ist.
Sorry, aber du hattest nicht allein das Privileg, mit diesem Anbieter sehr "lehrreiche" Erfahrungen zu machen... :lol: :lol: :lol:
Ich hatte zwar nie selber Server dort (dafür hab ich meine Gründe ;) ), habe aber schon mehrere Server von dort woandershin umgezogen.

Aber ich habe zur HEG und damit auch S4Y, die seit dem Aufkauf von Intergenia ja dazugehören, meine ganz eigene Meinung und ich werte mich hüten, die öffentlich kundzutun...Denn dann würde ich mir ganz böse die Schnauze verbrennen :roll: :lol: 8-)

OlliTheDarkness wrote: Tue 4. Apr 2023, 08:08 :lol: :lol:
Rescue System
:lol: :lol:
S4Y
:lol: :lol:

Sorry, aber bei dem Verein kannst froh sein wenn irgendwer oder irgendwas überhaupt was tut.
Ich hab dort selber nie ein Rescue gebraucht...aber wenn du sagst, daß die nicht mal sowas haben, dann bestätigt das nur meine Meinung über diesen Anbieter. :x 8-)

@TE:
Einen Hosterwechsel solltest du vielleicht auch mal in deine Überlegungen mit einbeziehen ;)
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
alex-kehl
Posts: 36
Joined: Wed 30. May 2018, 12:19

Re: Ausgehende Brute Force Attacke

Post by alex-kehl »

Zunächst einmal Vielen Dank für Eure Bemühungen.

Leider hatte ich heute ein etwas nicht wirklich zufrieden stellendes Telefonat mit S4Y. Man tut sich gerade ein bisschen schwer, mir den Server wieder frei zu geben. Die letzte Frage, welche im Raum stehen blieb war, wie lange ich denn brauchen würde, um diese Angriffe zu stoppen. Wie ich es verstanden habe, würde man mir genau dieses Zeitfenster zur Verfügung stellen, was ich ein bisschen traurig finde.

Darf ich nun nochmal um Eure Hilfe bitten? Gibt es zunächst vielleicht einen Trick, das ich den Server online bekomme und dieses Script, welches das ganze verursacht schnellstens finden kann, ohne langes suchen?

Auf dem Server läuft ja eigentlich außer 3 kleinen Typo3 Seiten in den Typo3 Versionen 7, 8 und 10 und php 7.4 und 8.0 oder 8.1 glaube ich (kann ja nicht schauen) und etwa 10 E-Mailadressen nichts weiter.

Nochmals vielen Dank Euch allen

Was ich noch kurz erwähnen wollte, im Fail2Ban habe ich über 4000 SASL Angriffe, sollte das relevant sein.
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Ausgehende Brute Force Attacke

Post by 24unix »

alex-kehl wrote: Wed 5. Apr 2023, 23:14 Seiten in den Typo3 Versionen 7
Bekommen, wie bestellt.
Selbst die ELTS (die kostenpflichtig war, aber wer Geld hat, nimmt sicher auch einen guten Provider) endete 2022.
Eigentlich seit 2017 daddeldu.

Ich hoffe für Dich, es sind nur irgendwelche unwichtigen Seiten, Gaming-Gedönds oder so.
Und dass Du ein aktuelles Backup hast.

Dann entspannt durchatmen, und woanders neu anfangen.
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
alex-kehl
Posts: 36
Joined: Wed 30. May 2018, 12:19

Re: Ausgehende Brute Force Attacke

Post by alex-kehl »

Entschuldigt bitte, dass ich euch nochmals belästige.

gestern erhielt ich erneut Abuse-Fälle. Als ich mich dann via SSH auf dem Server einloggte, bekam ich nicht sofort den Befehlsprinter. Diesen erhalte ich erst nach der Tastenkobination STRG + "C" , aber dies nur am Rande.

Nun habe ich in meinem Hauptverzeichnis folgenden Ordner gefunden, welcher wohl für die Abusefälle zuständig ist: /.paribas-tiny-testing <- der Eigentümer ist root
Dieser Ordner hat folgende Unterstruktur: einen Ordner /var und die Datei *.data.txt mit dem Text
Matei Claudiu | Test | 0 | dunhilhax@gmail.com
Der /var hat noch die Unterordner cert, log, cache, dkims und eine Datei namens *.emails.txt.

Nun zu meinen Fragen: Wie bekomme ich erörtert, wer diese Ordnerstruktur nun wirklich angelegt hat und mir den Mist installiert hat? Ich gehe davon aus, dass es irgendwo einen zeitlich gesteuerten Job geben müßte, welcher dann ein Script, welches ich nicht weis wo ich es finden kann, ausführen müßte und den Mailversand anstößt. Ebenfalls gehe ich davon aus, dass ich irgendwo ein Schlupfloch für eben solche Dinge offen haben, welches ich auf jedenfall gerne schließen möchte. Ist es denn zunächst damit getan, wenn ich die Ordnerstruktur lösche oder wie kann ich zugehörige Reste finden?

Vielen Dank für Eure Hilfe
User avatar
Jolinar
Community Moderator
Posts: 3559
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: Ausgehende Brute Force Attacke

Post by Jolinar »

alex-kehl wrote: Wed 10. May 2023, 21:17 Ist es denn zunächst damit getan, wenn ich die Ordnerstruktur lösche oder wie kann ich zugehörige Reste finden?
Du hast einen Fremdzugriff mit root-Rechten!
Der Server ist als unsicher zu betrachten und sollte sofort vom Netz genommen werden!!

Weiteres Vorgehen:
- Neustart des Servers im Rescue
- Anlegen ein vollständigen Images des Servers zur weiteren Analyse
- Server komplett neu aufsetzen
- aktuelle (!) Software verwenden (speziell CMS sind da bekanntlich die schwarzen Schafe)
- Userdaten aus Backups wiederherstellen

Analyse des Images:
Das bedarf Einiges an Basiswissen über die Funktionsweise des verwendeten OS, denn gute Angreifer kaschieren ihren Weg ins System, so daß du mit einem einfachen Blick ins Syslog nicht wirklich weiter kommen wirst.
Entweder traust du dir das selber zu oder du nimmst ein paar Euro in die Hand und läßt mal einen Profi Admin über das Image schauen. ;)

BTW:
Einfaches Löschen von gefundenen 'Schwachstellen' in einem laufenden System ist allein deshalb schon sinnfrei, weil ein Angreifer sich mit an Sicherheit grenzender Wahrscheinlichkeit weitere Hintertüren auf dem Server einbaut, wenn er es denn einmal geschafft hat, sich root Rechte auf dem Server zu verschaffen. :geek:
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
Post Reply