Den hatte ich vor 2 Jahren mal eingerichtet. Für Paul. Und der hiess dann auch so. War auch mehr so ein Testbenutzer, mit ‘nem ganz einfachen Passwort *schon selbst schlage* – das dann wohl mit einer Brute Force Attack geknackt wurde.

Also: Selbst schuld. Und vielleicht ja wieder mal was gelernt.

Nunja, den User hatte ich zwar schon gelöscht, aber das kratzte Strato dann nicht wirklich – denn Peak ist Peak. Was aber auch durchaus in meinem Interesse war, so konnte ich gestern abend erst einmal in aller Ruhe prüfen, woran es lag.

Rootkit-Hunter und Co & schlugen bei meiner ersten Überprüfung bereits vor der Sperre nicht an, Auffäligkeiten wie eine R57Shell waren gestern ebenfalls nicht zu erkennen. Aber um auf Nummer Sicher zu gehen, habe ich gestern den Server nochmal von so einigen Altlasten wie z.B. einer recht alten Joomla-Installation befreit und werde ihn dann in den nächsten Tagen nochmal komplett neu installieren.

Deshalb wird’s dann nochmal einige Auszeit geben, weshalb ich die Besenkammer erst einmal nicht abschliesse.

Bis dahin geht’s aber zunächst wieder weiter im Wohnzimmer.

Und u.a. das hier gefunden…

Möglicherweise ein Kaiten Trojaner. Wie der’s aufs System geschafft hat, werde ich erst heute abend sehen…

Wisst Ihr, wie ätzend das ist, hier in der Firma zu sitzen und nicht recherchieren zu können?!?

Hier die Mail von Strato:

Sehr geehrter Herr Spr….. ,

hiermit möchten wir Sie informieren, dass uns unsere Techniker vom STRATO Rechenzentrum darüber in Kenntnis gesetzt haben, dass von Ihrem Server mit dem Hostnamen: ?????????.serverkompetenz.net mit der Auftragsnummer: ????????? eine DoS-Attacke (Denial of Service) ausgeht.
Dieser Vorgang beeinträchtigt die technische Infrastruktur der STRATO AG auf nicht akzeptable Weise und verstößt damit gegen die Regelbetriebsbedingungen unserer Allgemeinen Geschäftsbedingungen, die Sie jederzeit im Internet einsehen können unter: http://www.strato.de/full/STRATO/agb.html

Es ist möglich, dass sich ein Dritter Zugang zu den root-Benutzerrechten auf Ihrem Server verschafft hat. In jedem Fall wird Ihr Server einer Teilsperrung unterzogen, um weiteren Schaden für alle Beteiligten zu vermeiden.
Trotz dieser Sperrung ist es Ihnen weiterhin möglich, über die RemoteConsole, die Sie im Kundenservicebereich aktivieren können, eine SSH-Verbindung zu Ihrem Server aufzunehmen. Mit Hilfe dieser Verbindung können Sie entsprechende Maßnahmen einleiten, die den Regelbetrieb wiederherstellen. Eine Anleitung zur Benutzung der RemoteConsole finden Sie hier unter folgendem Link:
http://strato-faq.de/view.php4?articleid=1190

Nach erfolgter Beseitigung der Ursache des Problems setzen Sie uns in Kenntnis, dass wir den Server wieder freischalten können. Als Termin haben wir uns spätestens den 21.02.2008 vorgemerkt.

Falls Sie die Vermutung hegen, dass ein Dritter Ihren Server gehackt hat, empfehlen wir Ihnen eine Sicherung Ihrer persönlichen Dateien auf dem Server und eine Neuinstallation des Servers. Erzeugen Sie mit dem Befehl „tar cvfz /backup.tgz “ Backupdateien Ihrer persönlichen Dateien. Geben Sie dann den Befehl „/etc/init.d/network stop“ ein, booten Sie danach im RecoveryModus und kopieren Sie Ihre Dateien per FTP oder SSH auf einen anderen Server.

Wir müssen hier das Interesse aller Internetnutzer über das Interesse eines Einzelnen unserer Kunden stellen und bitten dafür um Verständnis. Falls Sie noch weitere Fragen haben, stehen wir Ihnen selbstverständlich jederzeit gerne zur Verfügung.

Mit freundlichen Grüßen

Abuseabteilung

Das seltsame: Neben einer Menge IP-Traffic raubte ein Prozess dem Server eine Menge CPU und so war der Zugriff via http und ssh ziemlich langsam.

Der Name des Prozesses war barbut

Nach einem wenig Googlelei und der Tatsache, dass der besagte Systembenutzer den Traffic nicht hätte verursachen dürfen, war mir dann klar, dass es sich offenbar um einen Eindringling handelte.

Also habe ich als erstes den User kurzerhand gelöscht. Anschließend untersuchte ich den Server wie hier beschrieben nach verdächtigen Scripten,… konnte aber vorerst nicht allzu viel finden. Ich beschloss, mir das ganze heute Abend nochmal genauer anzuschauen.

Als dann heute morgen der Server gesperrt war, rief ich gleich den Strato-Support an, welche mir nur soviel sagen konnten, dass die Sperre von der Rechtsabteilung ausgelöst wurde.

Und nun mache ich mir natürlich ‘n Kopp, ob mich vielleicht jemand abmahnen wollte und ich nix davon mitbekommen habe, oder was man so alles hört in der wundervollen BloggerWelt.

Nunja, jedenfalls las ich, dass ich offenbar nicht der erste bin, der wegen hoher Traffic-Peaks- so, wie ich sie wg. barbut hatte, und die darauf folgenden 6 Stunden nicht mehr (siehe Grafik) „teilweise gesperrt wird.

Bezeichnend: es war etwa die gleiche Uhrzeit nachts…

Warum bin ich aus meinem gemütlichen Wohnzimmer ausgezogen? Ganz einfach: Da hat sich das offenbar jemand drin gemütlich gemacht, das hat meinem Provider wohl nicht gefallen und der hat mir die Tür vor der Nase zugehauen. Und nun sitze ich da, und warte auf den Grund.

Kurz: Mein Server wurde, wie ich heute Nacht festgestellt habe, wahrscheinlich gekapert und nun sitze ich da und warte auf eine Mail von Strato. Die haben nämlich heute Morgen um 9 meinen Server gesperrt. Ein kurzer Anruf bei Strato brachte mir die Erkenntnis, dass die Sperre von deren Rechtsabteilung ausgelöst wurde und man mir die Mail, in der steht, warum genau, an eine alternative Adresse zuschickt.

Und nun warte ich. Und halte Euch auf dem laufenden…