Min server är hackad

[Matsaki]

Tyvärr så har jag just upptäckt att någon (ryss?) lyckats SFTP'a sig rakt in i min server. De verkar ha fått tag på alla användarkonton och lösenord. Vettesjutton hur, men tyvärr är det nog så att dom redan tankat ner min källkod och alla mina medlemmars uppgifter.

Nu har jag bytt alla lösenord och hoppas det ska räcka. Men däremot så ser jag också att en IP adress från colombia bombarderar servern och försöker bryta sig in. Här är en liten del av loggen:

Aug 3 19:20:38 www sshd[7354]: Invalid user margaux from 212.129.96.22
Aug 3 19:20:38 www sshd[7354]: pam_unix(ssh:auth): check pass; user unknown
Aug 3 19:20:38 www sshd[7354]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=212.129.96.22
Aug 3 19:20:40 www sshd[7354]: Failed password for invalid user margaux from 212.129.96.22 port 43849 ssh2
Aug 3 19:20:41 www sshd[7357]: Invalid user margaux from 212.129.96.22
Aug 3 19:20:41 www sshd[7357]: pam_unix(ssh:auth): check pass; user unknown
Aug 3 19:20:41 www sshd[7357]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=212.129.96.22
Aug 3 19:20:43 www sshd[7357]: Failed password for invalid user margaux from 212.129.96.22 port 44451 ssh2

Hur kan jag stoppa det? Eller är det bara strunta i?

[Pink Panther]

Jag vill inte vara negativ. Men förmodligen är nog det här den enda utvägen. Men försök att ta reda på hur de har burit sig åt, om det är möjligt. Fråga andra här på forumet som använder sig av server hur de skyddar sig. För att undvika de här framtiden om det är möjligt.

http://ubuntu-se.org/phpBB3/viewtopic.p ... 7&p=279277

Men du kan avvakta lite, se om du får fler förslag. Vi är många duktiga medlemmar.

Pink Panther

[webaake]

Jag rekommenderar Fail2ban! Blockerar efter x antal inloggninsgförsök. Kolla:
http://www.fail2ban.org/wiki/index.php/Main_Page

[ajja]

Tråkigt!

Det första som jag tänker på är att använda en blocklista flitigt eller ännu bättre en lista med endast de domäner som tillåts ha access och blockera ALLA andra.

jag använder endast /etc/hosts.deny för att blockera de som bombarderat min brandvägg och tillåter ingen att ansluta via ssh, ftp/sftp eller telnet, bara via http-portarna som endast lyssnar efter http-anrop ifrån WAN och ingen tillåts att skriva på servern (inga undantag, inte ens jag själv annat än från en viss maskin från mitt LAN).
Så mina erfarenheter är lite begränsade kring hur du ska gå tillväga.

Men en tanke är att du skulle kunna använda "Port Knocking" .Den vanliga standardporten för sftp skickar vidare till en annan icke-standardport för att sedan tillåta inloggning (och då, naturligtvis, från endast de domäner som du har användare kopplade till konton på servern).
Mao. Du använder två portar istället för att endast byta till en annan port.
Fördelen är att på den port som först anropas finns ingen lyssnande tjänst och det fönster som öppnas mot porten som tjänsten lyssnar på är bara öppet för in-loggning under en mycket begränsad tid.

För att finna på information över vad jag menar så sök på Google efter 'Port Knocking', tekniken har används i över tjugo år (långt innan Linux) så det bör finnas massor av info.

Hur som för att stoppa de domäner som du vet om nu, så skriv in deras IP alternativt ROUT i etc/hosts.deny
Port Knockingör att finna ut rout-adressen kan du försöka med det grafiska 'Nätverksverktyg'et under 'Administration' i Gnome (finns troligtvis ett liknande verktyg i KDE, men jag vet inte vare sig namnet eller platsen) under fliken 'Whois' (du kan naturligtvis skriva 'whois IP-nummer' i en terminal med).

[Rune.K]

Jag hade installerat om OS-et på servern om min egen server hade blivit hackad.
Vad jag vet så är det den enda vettiga rekommendationen.

[ajja]

Jag hade installerat om OS-et på servern om min egen server hade blivit hackad.
Vad jag vet så är det den enda vettiga rekommendationen.

Det är en självklarhet och att samtliga konton byts ut mot nya friska användarnamn/lösenord.

[Matsaki]

Undrar om hackaren kör något script eller nått för annars är han otroligt snabb enligt loggen. Eller kan man ha sådan tur att det inte är en fysisk person som varit inne och hunnit stjäla saker ÄN? Jag har ju tyvärr ingen bash där jag kan se vad / om han rotat runt

Kod: Markera allt

Aug  3 07:08:05 www sshd[15002]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=vs160.mirohost.net  user=webmaster
Aug  3 07:08:07 www sshd[15002]: Failed password for webmaster from 193.178.145.214 port 56808 ssh2
Aug  3 07:08:10 www sshd[15007]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=vs160.mirohost.net  user=mats
Aug  3 07:08:12 www sshd[15007]: Failed password for mats from 193.178.145.214 port 56815 ssh2
Aug  3 07:08:16 www sshd[15009]: Accepted password for mac from 193.178.145.214 port 56819 ssh2

Den stora frågan är hur han fått tag på ALLA lösenorden eftersom han inte verkar kunna logga in som root, och sen borde väl en bra hacker röjt spåren efter sig om han hade kunnat radera i auth filen?

[TweekiE]

Utanför ämnet: vad är det man kan stjäla på en server? t.ex. din? ursäkta jag är rätt kass på det här med servrar.

[Matsaki]

Medlemsregister, lösenord, emailadresser, källkod osv. osv.

[Matsaki]

Föresten hur blir jag av med alla dessa?:

Aug 4 02:07:41 www sshd[22580]: pam_unix(ssh:session): session closed for user user
Aug 4 02:09:01 www CRON[22620]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 4 02:09:02 www CRON[22620]: pam_unix(cron:session): session closed for user root
Aug 4 02:10:01 www CRON[22654]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 4 02:10:01 www CRON[22654]: pam_unix(cron:session): session closed for user root
Aug 4 02:17:01 www CRON[22855]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 4 02:17:01 www CRON[22855]: pam_unix(cron:session): session closed for user root

Vilket jag inte tycker behöver loggas i auth.log