vServer UDP

[Moritz30]

Der Sponsor, der meinen vServer sponsort hat heute meinen vServer offline genommen wegen einer Info des Uplinkproviders. Ich hab dazu folgenden Log bekommen:
Attack detail : 27Kpps/211Mbps dateTime srcIp:srcPort dstIp:dstPort
protocol flags bytes reason 2015.09.30 06:46:17 CEST 51.254.11.194:51529
54.241.17.177:80 UDP --- 1010 ATTACK:UDP 2015.09.30 06:46:17 CEST
51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP 2015.09.30
06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010
ATTACK:UDP 2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80
UDP --- 1010 ATTACK:UDP 2015.09.30 06:46:17 CEST 51.254.11.194:51529
54.241.17.177:80 UDP --- 1010 ATTACK:UDP 2015.09.30 06:46:17 CEST
51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP 2015.09.30
06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010
ATTACK:UDP 2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80
UDP --- 1010 ATTACK:UDP 2015.09.30 06:46:17 CEST 51.254.11.194:51529
54.241.17.177:80 UDP --- 1010 ATTACK:UDP 2015.09.30 06:46:17 CEST
51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP 2015.09.30
06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010
ATTACK:UDP 2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80
UDP --- 1010 ATTACK:UDP 2015.09.30 06:46:17 CEST 51.254.11.194:51529
54.241.17.177:80 UDP --- 1010 ATTACK:UDP 2015.09.30 06:46:17 CEST
51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP 2015.09.30
06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010
ATTACK:UDP 2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80
UDP --- 1010 ATTACK:UDP 2015.09.30 06:46:17 CEST 51.254.11.194:51529
54.241.17.177:80 UDP --- 1010 ATTACK:UDP 2015.09.30 06:46:17 CEST
51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP 2015.09.30
06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010
ATTACK:UDP 2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80
UDP --- 1010 ATTACK:UDP
Wisst ihr, wo die ganzen Verbindungen herkommen? Auf dem Server laufen Jenkins, Apache2 mit PHP, CURL und MySQL-Unterstützung, Prosody, Froxlor, Ajenti und der MySQL-Server. Die Verbindungen sind von meinem Server weg.

[MSfree]

Der Sponsor, der meinen vServer sponsort hat heute meinen vServer offline genommen wegen einer Info des Uplinkproviders.

Damit hat der Provider erstmal seine eigene Infrastruktur schützen wollen. Bei einem vServer kann man schlecht das Netzwerkkabel ziehen, da das Netz über den Hostrechner läuft, also wurde der vServer selbst abgeschaltet.

Wisst ihr, wo die ganzen Verbindungen herkommen?

Das steht doch in dem Log, das nach ein wenig umformatieren sogar halbwegs lesbar wird:

Code: Alles auswählen

protocol flags bytes reason
2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP
2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP
2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP
2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP
2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP
2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP
2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP
2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP
2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP
2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP
2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP
2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP
2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP
2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP
2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP
2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP
2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP
2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP
2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP
2015.09.30 06:46:17 CEST 51.254.11.194:51529 54.241.17.177:80 UDP --- 1010 ATTACK:UDP 

Ein Rechner mit der IP-Adresse 51.254.11.194 hat versucht, den Rechner mit der IP-Adresse 54.241.17.177 auf Port 80 über das UDP-Protokol anzugreifen.

UDP:80 ist aber kein Statndard. HTTP, das ja über Port 80 läuft, geht nicht über UDP sondern TCP.
Ich nehme an, daß jemand versucht hat, deinen vServer zu knacken und das hat der Provider verhindert, indem er deinen Server vom Netz genommen hat.

Du wirst nicht darum herum kommen, dich mit dem Provider in Verbindung zu setzen.

[wanne]

UDP:80 ist aber kein Statndard. HTTP, das ja über Port 80 läuft, geht nicht über UDP sondern TCP.

Nja, Bernes Lee hat vorsichtshalber mal udp Port 80 für HTTP reserviert, auch wenn es nur mit TCP läuft und Google hat da ein HTTP ähnliches Protokoll (QUIC) implementiert.
Ansonsten werden Torrent-Tracker gerne auf udp:80 betrieben. Jetzt nicht standardisiert, aber sehr verbreitet.
Guckt man in listen, ist etwa jeder 2. UDP-Tracker auf Port 80:
http://www.dsfc.net/internet/liste-de-t ... rrent-udp/
http://tech.thaweesha.com/2014/02/torre ... -2014.html

Dass OVH dir da den Anschluss sperrt weil der Log ein paar UDP-Pakete zeigt finde ich eine Unverschämtheit.
Was soll das? ATTACK:UDP? UDP ist ein seit 35 Jahren viel genutztes und extrem flexibel einsetzbares Protokoll.
Und da da nur ein Tupel in Benutzung ist, kann man wohl auch kein DOS oder Portscanning vorwerfen. Die Log-Einträge sind ähnlicher Quatsch, wie die ping und traceroute-Attacken bei der Telekom.
( http://www.sicherheitstacho.eu/ Mittlerweile haben sie ping wohl als Attacke rausgepatched, und geben dafür Unknown als Angriffsziel an. So ich weiß, nicht wo der mich angreift. Aber das ist ein Angriff. Ist so ein bisschen wie ich wurde bestohlen, habe aber keine Ahnung was mir fehlt...)

Auf der anderen Seite, läuft bei dir vermutlich kein Chrome und in sofern solltest, du dir schon überlegen, was da genutzt wird.
Wenn Torrent drauf läuft würde ich mich beschweren, dass da kein Angriff läuft, und das da wohl irgend ein Amazon Kunde irgend eine Vorbelegte IP bekommen hat, und jetzt nicht rumheulen soll. Sonst solltest du dir schon gedanken machen.

[uname]

Installiere mal auf deinem Server z.B. lsof und schau dir

Code: Alles auswählen

lsof |fgrep ..
lsof -i |fgrep ...

an. Filtere z.B. nach dem Port usw. Poste Ergebnisse. Daran kann man evtl. den Prozess und damit die Anwendung erkennen.

PS.: Du hast einen Server vom "UK Government Department for Work and Pensions" ? Magst du mehr erzählen? Das Ziel ist dann irgendwo in der Amazon-Cloud sofern die Angaben korrekt sind. Dein Server scheint im übrigen online zu sein. Also schnell schauen und dann den Server am besten neu installieren. Du kannst natürlich auch erst mal die betroffene Anwendung deaktiveren (z.B. Apache2) und dann etwas in den Daten rumsuchen.

[wanne]

"UK Government Department for Work and Pensions".

Wie kommst du darauf? Ich sehe da nur einen vServer bei OVH.

[uname]

Ich hatte folgenden Links gefunden:
http://anti-hacker-alliance.com/index.p ... 254.11.194
http://www.utrace.de/?query=51.254.11.194

Ok hier noch das zugehörige AS wohl doch OVH: http://bgp.he.net/AS16276
Trotzdem komisch. Was soll der Text?

[wanne]

Die machen das mit jeder IP:
http://anti-hacker-alliance.com/index.p ... ls=8.8.8.8

[uname]

Die "Organsiation" sehr weit unten weicht trotzdem ab und ist bei Google nicht fehlerhaft würde ich mal behaupten.

[Moritz30]

Der vServer wird von SSGS gesponsort (http://ssgs.hosting). Angegriffen wurde ein Server auf dem Kundenwebsites von Amazonaws laufen. Die IP wurde inzwischen wieder freigeschaltet dauert aber noch n bisschen.

[MSfree]

Der vServer wird von SSGS gesponsort (http://ssgs.hosting).

Wer steckt denn hinter SSGS? Deren Webseite listet in ihrem Angebot Preise in chnesischen Yuen, irgendwie dubios.

[Moritz30]

Ssgs ist eine chinesische Firma. Schlosser System Gronaix Solutions. Übrigens hab ich jetzt nen Malwareschutzsystem installiert. 2 Trojaner wurden gelöscht.

[uname]

Das System erscheint nicht mehr vertrauenswürdig. Ich würde besser neu installieren. Poste mal was gefunden wurde rein aus Interesse.

[Moritz30]

gallery/image_page.php?album_id=1&image_id=240
gallery/image_page.php?album_id=1&image_id=239
gallery/image_page.php?album_id=1&image_id=238

[uname]

Danke für die Logs. Damit ist das Problem wohl bei der Anwendung Jenkins. Du solltest mindestens diese Software neu installieren und zukünftig zusätzlich mit Htaccess absichern. Ich weiß nicht ob mir die Hilfe eines Virenscanners reichen würde. Bei Windows sehe ich in Virenscannern auch keinen wirklichen Nutzen. Mein Gefühl wäre so schlecht, dass ich die Anwendung (Jenkins), den Dienst (Apache2), evtl. Datenbanken (MySQL) oder vielleicht sogar alles in Frage stellen würde.

[rendegast]

Diese XiosElom* mal hochladen auf virustotal.com?
Resp. wegen der Größe entpackte Bestandteile.
Könnte auch ein false positiv sein.
Ein Image/Kopie des Servers mal mit etwas "richtigem" durchsuchen,
statt clamav.
Könnte dann aber auch erheblich schlimmer ausfallen.

"Warning ... decompress file size ... 27262976 bytes"
Da besteht wohl eine Beschränkung auf 26MB.

"... illegal option -- b
ERROR: Unknown option ..."
Nicht '-bell', sondern '--bell'.

"WARNUNG: Can't open file /sys/devices/...."
Der scan sollte offline erfolgen.
Ein Problem könnte online bei einem 'clamscan -r /'
zBsp. solche Dateien wie /proc/kcore oder /proc/kmsg sein.

[Moritz30]

Ist eh schon weg die Datei

[Moritz30]

Der Server hat noch jemanden Angegriffen: Den PrivatPC von einem der Chefs von SSGS...

[rendegast]

Forensisches Image und Neuinstallation?

[Moritz30]

So weit ich weiß ohne das forensische Image.

[rendegast]

Das war ein Vorschlag.

[Moritz30]

Es wäre halt gut herauszufinden, welche Software letzendlich der Auslöser war.

[rendegast]

https://de.wikipedia.org/wiki/Forensik
https://de.wikipedia.org/wiki/IT-Forensik
Aber ohne die Beweise ist halt Essig.