|
Mein Server wurde vor kurzem durch einen erfolgreichen Bruteforce-Angriff als IRC-Bot ausgenutzt.
Grund dafür waren massive Fehler in der Administration. Denn ich bin nicht davon ausgegangen, dass mein regelrecht unbekannter Rechner angegriffen werden würde. So kam es, dass mir folgende Fehler unterliefen:
- Identischen Benutzernamen und Kennwort vergeben
- Keinen Passwortänderungszwang aktiviert
- Keine SSH-Login Beschränkung
- Benutzer dürfen beliebig Programme starten
Nachdem ich per Zufall in die syslogs und authlogs geschaut habe, fiel mir ein minütig startendes Programm names "y2kupdate" auf, welches von einem Systembenutzer aus gestartet wurde. Ich schöpfte sofort Verdacht und nahm das Programm unter die Lupe, der Angreifer vergaß die bash_history zu löschen und so konnte ich einwandfrei nachvollziehen, dass es sich dabei um ein Schadprogramm hielt, welches sich als Unix-Standardkonsole bash tarnt. Das System wurde nicht kompromitiert.
Um das Problem zu verhindern, nutze ich nun das Programm fail2ban, ein Server, der die Zugänge überwacht und bei 3 Fehlversuchen die IP für eine gewisse Zeit über iptables bannt.
Außerdem habe ich die Home-Partition als noexec eingehangen, damit Benutzer keine Programme mehr starten dürfen, die sich in ihrem Verzeichnis befinden.
Schlagworte: Hacker, Cracker, IRC, Bot, Security, Sicherheit, Linux
|
