Server gehackt. [SOLVED]

[mumati]

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt

Ja

Server-Betriebssystem + Version

Debian 10.13 (64-bit)

Eingesetzte Server-Virtualisierung-Technologie
Root Server


KeyHelp-Version + Build-Nummer
24.0 (Build 3220)


Problembeschreibung / Fehlermeldungen
Server gehackt

Erwartetes Ergebnis


Tatsächliches Ergebnis


Schritte zur Reproduktion


Zusätzliche Informationen
(z.B. kürzlich durchgeführte Änderungen am Server, Auszüge aus Protokolldateien (/var/log/*, /var/log/keyhelp/php-error.log, etc.))
Keine

Hallo zusammen,

Mein Server ist gehackt. Bzw. Keyhelp Panel admin password wurde geändert. Email vom Benutzername ist geändert. Zweite Admin vom Panel Password ist geändert. Email genauso geändert.

Ich habe keine Ahnung, wie sie es geschaft haben. Ich habe jetzt von einem normalen User das Password hergenommen, Admin password damit in phpmyadmin geändert. Somit habe ich jetzt alles wieder erneuert und aber wie kann ich jetzt nachvollziehen, wie sie es geschaft haben und wie ich meinen Server wieder sichern kann, dass keine Türen offen sind.

Mit diesen Schritten können wir vielleicht auch gemeinsam Keyhelp verbessern und vielleicht ist eine Tür offen, wo es für alle vermieden werden kann.

Ich vermute mal, dass mein Betriebsystem veraltet ist und deshalb eine Lücke vorhanden ist oder gibts einige Wordpress Scripten, die es vielleicht ermöglicht haben.

Vielen Dank im Voraus.

Freundliche Grüße

[Tobi]

Habs mal passend verschoben

Zu den von dir genannten Punkten kommt noch

• Einfache Passwörter
• Phishing Mails
• Zwei Faktor deaktiviert?

[Florian]

Hallo,


schau ins Ereignis-Protokoll, dort sollte ja vermerkt stehen wenn ein Admin bearbeitet wurde.

[mumati]

Hi Tobi,

Ich nutze seit ca. 3 Jahren Keyhelp und zwei Faktor habe ich noch nicht genutzt. Ich werde auch sofort aktivieren. Einfache Passwörter sind die nicht. So wie Ankara!1980? ein password nutze ich immer. Fan2ban war auch akktiviert und ich alleine 3-4 Mal versucht, mein Password einzugeben, hat Keyhelp sofort meine Verbindung auch gedrosselt.

Thema Pishing Mails kenne ich noch nicht und aber ich erkunde mich sofort und werde mich nochmal melden, ob das es verursacht haben soll.

Ich habe letzte Zeit sollche Emails erhalten, wenn Du mit Pishing Mails das meinst, habe aber immer ignoriert.



http://www.sondem.de/beispiel/mails.jpg

Danke und Grüße

[Alexander]

Die Passwörter für den KeyHelp Zugang liegen gehashed in der Datenbank - Sprich die sind irreversibel verschlüsselt und lassen sich nur mit Brute Force (= viel Mühe und Rechenzeit, wir sprechen hier von mehreren 100.000 Jahren) entschlüsseln. Sie müssen also über andere Wege Zugriff auf deinen Server erlangt haben.

Nutzt du für jeden Dienst andere Passwörter, oder gern mal das selbe? Dann wurde das Passwort ggf. an anderer Stelle entwendet (viewtopic.php?t=13239) und dann bei deinem Server ausprobiert. Das der Login-Name auf einem KeyHelp-System i.d.R. "keyadmin" sein sollte, könnten die Angreifer ja leicht erraten.

Auch müssen die Angreifer nicht unbedingt über KeyHelp gekommen sein. Hier einige weitere Beispiele:
- über phpMyAdmin und dann das Passwort, genau wie du im Eingangspost, ändern
- oder über eine offene Remote-Datenbank-Verbindung
- oder über SSH
- oder über ein Browserplugin
- oder über ein Schadprogramm auf deinem Rechner
- oder social engineering
- etc...

Wie gesagt, schau mal in "System-Status -> Ereignis-Protokoll" und schau einmal, ob dort auffällige Logins zu finden sind.

Schau auch gern einmal hier vorbei und check mal, ob ggf. deine Daten Teil eines Leaks wurden.
https://haveibeenpwned.com/
https://haveibeenpwned.com/Passwords

[mumati]

Hi nochmal,

Herzlichen Dank für Ihre Hilfe.

Also in Ereignis Protokolle habe ich den User Bosni entdeckt, und gelöscht. Er hat den zweiten Admin genutzt, hat sich über Degoned auch eingeloggt.

Ich erkenne aber durch Ereignis Protokolle nicht ganz genau, was er alles gemacht hat. Ich habe die Passwörter komplett außer die User geändert. Die User Mail Adressen erst später.

Beispiele vom Ereignis Protokolle wie unten. Er hat anscheinend meinen Server gehackt und für Spam Emails genutzt.

Ich nutze auf meinem Server eigene Benutzername und Passwort, wo ich das aber nirgendswo verwende.
Kann ich über die Log Dateien vielleicht sehen, wie er sich eingeloggt hat und diesen User Bosni angelegt hat.

Code: Select all

Ereignis-Protokolle
Anzeigeoptionen
Datum 	Stufe 	Nachricht 	Benutzer 	IP-Adresse 	Kanal
2024-06-07 01:40:03 	
Info 	Maintenance task statistic (#4) triggered. 	Degoned 	159.242.234.85 	User Interface
2024-06-07 01:40:00 	
Info 	Maintenance task panel-update (#3) triggered. 	Degoned 	159.242.234.85 	User Interface
2024-06-07 01:39:57 	
Info 	Maintenance task diskspace (#2) triggered. 	Degoned 	159.242.234.85 	User Interface
2024-06-07 01:39:54 	
Info 	Maintenance task update (#1) triggered. 	Degoned 	159.242.234.85 	User Interface
2024-06-07 01:39:50 	
Info 	Maintenance task ssh-chroot-update (#10) triggered. 	Degoned 	159.242.234.85 	User Interface
2024-06-07 01:39:47 	
Info 	Maintenance task repo-update (#9) triggered. 	Degoned 	159.242.234.85 	User Interface
2024-06-07 01:39:31 	
Hinweis 	Server IP addresses settings updated. 	Degoned 	159.242.234.85 	User Interface
2024-06-07 01:38:58 	
Hinweis 	Email queue completely deleted. 	Degoned 	159.242.234.85 	User Interface
2024-06-07 01:37:15 	
Hinweis 	Email queue completely deleted. 	Degoned 	159.242.234.85 	User Interface
2024-06-07 01:34:33 	
Info 	Admin bosni logged in as client dinimizislam. 	bosni 	196.118.178.160 	User Interface
2024-06-07 01:28:17 	
Info 	All processes of user clamav killed. 	bosni 	196.118.178.160 	User Interface
2024-06-07 01:26:54 	
Info 	All processes of user amavis killed. 	bosni 	196.118.178.160 	User Interface
2024-06-07 01:26:16 	
Hinweis 	Service SpamAssassin stopped. 	bosni 	196.118.178.160 	User Interface
2024-06-07 01:17:24 	
Hinweis 	Email queue completely deleted. 	Degoned 	159.242.234.85 	User Interface
2024-06-07 01:15:46 	
Hinweis 	Email queue flushed. 	bosni 	196.118.178.160 	User Interface
2024-06-07 01:14:48 	
Hinweis 	Email server settings updated. 	bosni 	196.118.178.160 	User Interface
2024-06-07 01:13:47 	
Info 	User Degoned logged in. 	Degoned 	159.242.234.85 	User Interface
2024-06-07 01:13:03 	
Hinweis 	Database server settings updated. 	bosni 	196.118.178.160 	User Interface
2024-06-07 01:12:31 	
Hinweis 	Email server settings updated. 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:45:13 	
Fehler 	Failed to send email notification: No recipient address found for user (#32), no alternative email address defined 		127.0.0.1 	Maintenance (ssl-maintenance)
2024-06-07 00:45:13 	
Fehler 	Failed to send email notification: No recipient address found for user (#12), no alternative email address defined 		127.0.0.1 	Maintenance (ssl-maintenance)
2024-06-07 00:45:13 	
Fehler 	Failed to send email notification: No recipient address found for user (#33), no alternative email address defined 		127.0.0.1 	Maintenance (ssl-maintenance)
2024-06-07 00:45:13 	
Fehler 	Failed to aquire a Let's Encrypt certificate for api.yunusmert.com.
Local resolving checks failed for domain "api.yunusmert.com". Please ensure that your domain is locally resolvable! 		127.0.0.1 	Maintenance (ssl-maintenance)
2024-06-07 00:45:12 	
Fehler 	Failed to aquire a Let's Encrypt certificate for www.escapebilgisayar.com.tr.
Local resolving checks failed for domain "www.escapebilgisayar.com.tr". Please ensure that your domain is locally resolvable! 		127.0.0.1 	Maintenance (ssl-maintenance)
2024-06-07 00:45:10 	
Fehler 	Failed to aquire a Let's Encrypt certificate for escapebilgisayar.com.tr.
Local resolving checks failed for domain "escapebilgisayar.com.tr". Please ensure that your domain is locally resolvable! 		127.0.0.1 	Maintenance (ssl-maintenance)
2024-06-07 00:45:09 	
Fehler 	Failed to aquire a Let's Encrypt certificate for www.fyblueenerji.com.tr.
Local resolving checks failed for domain "www.fyblueenerji.com.tr". Please ensure that your domain is locally resolvable! 		127.0.0.1 	Maintenance (ssl-maintenance)
2024-06-07 00:45:07 	
Fehler 	Failed to aquire a Let's Encrypt certificate for fyblueenerji.com.tr.
Local resolving checks failed for domain "fyblueenerji.com.tr". Please ensure that your domain is locally resolvable! 		127.0.0.1 	Maintenance (ssl-maintenance)
2024-06-07 00:45:04 	
Fehler 	Failed to aquire a Let's Encrypt certificate for www.yunusmert.com.
Local resolving checks failed for domain "www.yunusmert.com". Please ensure that your domain is locally resolvable! 		127.0.0.1 	Maintenance (ssl-maintenance)
2024-06-07 00:45:03 	
Fehler 	Failed to aquire a Let's Encrypt certificate for yunusmert.com.
Local resolving checks failed for domain "yunusmert.com". Please ensure that your domain is locally resolvable! 		127.0.0.1 	Maintenance (ssl-maintenance)
2024-06-07 00:45:02 	
Info 	Maintenance task ssh-chroot-update (#10) updated. 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:44:56 	
Info 	Maintenance task repo-update (#9) updated. 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:44:48 	
Info 	Maintenance task ssl-maintenance (#8) updated. 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:44:40 	
Info 	Maintenance task cleanup (#6) updated. 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:44:33 	
Info 	Maintenance task package-update (#5) updated. 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:44:29 	
Info 	Maintenance task statistic (#4) updated. 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:44:24 	
Info 	Maintenance task panel-update (#3) updated. 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:44:17 	
Info 	Maintenance task diskspace (#2) updated. 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:44:11 	
Info 	Maintenance task update (#1) updated. 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:44:03 	
Info 	Maintenance task ssl-maintenance (#8) triggered. 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:41:23 	
Hinweis 	Cleanup operations settings updated. 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:35:39 	
Hinweis 	Maintenance mode settings updated. 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:35:23 	
Hinweis 	Maintenance mode settings updated. 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:33:38 	
Info 	Email notification settings updated (monitoring_mail_queue). 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:33:35 	
Info 	Email notification settings updated (client_updated_contact_data). 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:33:31 	
Info 	Email notification settings updated (control_panel_update). 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:33:26 	
Info 	Email notification settings updated (anti_virus_scanner_report). 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:33:21 	
Info 	Email notification settings updated (license_problems). 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:33:17 	
Info 	Email notification settings updated (traffic_exceeded). 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:33:13 	
Info 	Email notification settings updated (tls_problems). 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:33:09 	
Info 	Email notification settings updated (monitoring_backup). 	bosni 	196.118.178.160 	User Interface 

Danke und Grüße

[24unix]

Debian 10.13 (64-bit)

Das ist nicht optimal, aber immerhin gibt es noch security updates dafür, trotzdem zügig updaten.
Ist doch bei Debian (und auch in Kombination mit KeyHelp) kein Akt.

Ich vermute mal, dass mein Betriebsystem veraltet ist und deshalb eine Lücke vorhanden ist oder gibts einige Wordpress Scripten, die es vielleicht ermöglicht haben.

KeyHelp und Debian selber sehe ich als abgesichert genug an.

Aber wenn Du oder Kunden Wordpress darauf haben ist das problematisch.
Wordpress ist nicht ganz so schlimm wie sein Ruf, aber die ganzen AddOns …
KeyHelp updated sich selber, Wordpress nicht.

Es gibt Tools wie IWP, deren Einsatz ich dringend empfehlen würde wenn Wordpress gehostet wird.

[select name from me;]

… Ich habe keine Ahnung, wie sie es geschaft haben.
Ich habe jetzt von einem normalen User das Password hergenommen, Admin password damit in phpmyadmin geändert.

Wenn Du mit einem "normalen User" über phpmyadmin auf die Keyhelp Datenbank zugreifen kannst, hast Du schon die erste Baustelle entdeckt.

[Blubby]

Aber wenn Du oder Kunden Wordpress darauf haben ist das problematisch.
Wordpress ist nicht ganz so schlimm wie sein Ruf, aber die ganzen AddOns …
KeyHelp updated sich selber, Wordpress nicht.

naja, bei Wordpress ist das ein Standardproblem. Hatte ich heute erst wieder eins. Trotzdem sollte ein gehacktes Wordpress auf dem Server nicht dazu führen das irgendjemand bei keyhelp reinkommt. Das wäre Fatal weil das wie du schon richtig erwähnt hast öfter vorkommt.

Ein nennenswerter Anteil der gehackten Wordpress/EMail Zugänge die bei uns so auftauchen scheinen auch daher zu stammen das die Windows PCs kompromittiert waren und alles was nach Zugangsdaten aussah rausgetragen wurde.

Es wäre wirklich wichtig das du rausfindest wie die da reingekommen sind.

[Ralph]

auch noch ein kleiner aber wichtiger Hinweis ...
Zugangsdaten (egal zu welchen Accounts) sollten niemals und auf gar keinen Fall in Mailboxen (Postfächern) aufgehoben werden!
Am besten als TXT Datei in einem geschützen verschlüsselten Ordner speichern oder zumindest auf einen USB Stick der nicht dauerhaft eingebunden bleibt.

P.S.
Wie Alex bereits erwähnt hat, Logindaten könnten auch über dein eigenes OS abgegriffen worden sein, also ein Malware Check kann nicht schaden.

[mumati]

… Ich habe keine Ahnung, wie sie es geschaft haben.
Ich habe jetzt von einem normalen User das Password hergenommen, Admin password damit in phpmyadmin geändert.

Wenn Du mit einem "normalen User" über phpmyadmin auf die Keyhelp Datenbank zugreifen kannst, hast Du schon die erste Baustelle entdeckt.

Nein nein, Ich habe auf phpmyadmin mit mysql root password rein und da die durch Hacker geänderte Passwörter mit Hash decoded waren, habe von einem User Password kopiert, was in hash format war und das in den admin account eingefügt. Somit konnte ich in Keyhelp Panel mich als Admin einloggen. Also die normale User haben kein root Zugriff.

[mumati]

auch noch ein kleiner aber wichtiger Hinweis ...
Zugangsdaten (egal zu welchen Accounts) sollten niemals und auf gar keinen Fall in Mailboxen (Postfächern) aufgehoben werden!
Am besten als TXT Datei in einem geschützen verschlüsselten Ordner speichern oder zumindest auf einen USB Stick der nicht dauerhaft eingebunden bleibt.

P.S.
Wie Alex bereits erwähnt hat, Logindaten könnten auch über dein eigenes OS abgegriffen worden sein, also ein Malware Check kann nicht schaden.

Die Zugangsdaten habe ich in keinem Datei oder Mailbox gespeichert gehabt und ich kannte nur Admin password für Keyhelp Panel und auch Root Password für SSH Verbindungen. Die andere Passwörter konnte ich ja dadurch jede Zeit ändern.

Mein Password war nicht einfaches Passwort und schaute so ähnlich aus : Ankara!!2012??
was eigentlich durch das Scannen die Passwörter gefunden werden kann.
Mein Password habe ich nur bei Keyhelp Panel verwendet und nirgendswo anders.
Mein Root Password war auch nicht gleich wie Keyhelp Admin Password.
Ich werde versuchen, rauszufinden, wie sie sich eingelogt haben.
Ich weiss eins, da sie sich durch zweite Admin Account eingelogt haben und werde den zweiten Admin auch komunizieren, ob er vielleicht die oben genanntten Lücken nicht berücksichtigt haben soll.
Ich sehe leider aber bei Ereignissen auf dem Admin Panel, welche Email Accounts wie geändert sind..

Code: Select all

Hinweis 	Email queue completely deleted. 	Degoned 	159.242.234.85 	User Interface
Info 	Maintenance task cleanup (#6) updated. 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:44:33 	
Info 	Maintenance task package-update (#5) updated. 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:44:29 	
Info 	Maintenance task statistic (#4) updated. 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:44:24 	
Info 	Maintenance task panel-update (#3) updated. 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:44:17 	
Info 	Maintenance task diskspace (#2) updated. 	bosni 	196.118.178.160 	User Interface
2024-06-07 00:44:11 	
Info 	Maintenance task update (#1) updated. 	bosni 	196.118.178.160 	User Interface

Wie sehe ich z.b. bei dem Eintrag, was genau gemacht wurde?

Wie kann ich rausfinden, ob die Passwörter von den Email Accounts geändert wurden ?

Danke vielmals.

[24unix]

Mein Root Password war auch nicht gleich wie Keyhelp Admin Password.

root login per Password solltest Du dringend deaktivieren.

Ich sehe langsam, warum Ubuntu so sehr auf sudo setzt …

Sogar Putty kann auth via public key.

[mumati]

Mein Root Password war auch nicht gleich wie Keyhelp Admin Password.

root login per Password solltest Du dringend deaktivieren.

Ich sehe langsam, warum Ubuntu so sehr auf sudo setzt …

Sogar Putty kann auth via public key.

Vielen Dank. Das werde ich sofort umstellen.

Danke und Grüße

[mumati]

Ich habe den Server wieder soweit bereinigt und die deaktivierte Virus Software und Spam Software aktiviert.

Ich bekomme leider bei den Ereignis Protokollen diese Meldung :

2024-06-08 00:00:03
Fehler Restarting amavisd-new, because it seems to be in an invalid state 127.0.0.1 Maintenance (master)

Was muss ich noch dafür unternehmen ? Und bei der Email Warteschlange waren auch 62.000 Emails, die durch Spam versickt wurden, bzw. versucht wurden, über meinen Server zu verschicken.

Danke und Grüße