Server4You Sicherheit

[redilS]

Hallo zusammen

Ich hab mir vor ca. einem halben Jahr bei S4Y einen Root-Server gemietet um ab und an mal einen privaten Game-Server incl. TS hosten zu können. Sonst lief _nichts_ darauf - also kein HTTP, FTP, usw. Die entsprechenden Services hatte ich entweder deinstalliert bzw. deaktiviert.

Anfang Oktober diesen Jahres bekam ich dann von S4Y den netten Hinweis, dass ausgehend von meinem Server andere Webseiten auf backdoors gescaned würden. Hab mich daraufhin umgehend darum gekümmert und festgestellt, dass sowohl der Virenscanner, als auch die Firewall komplett deaktiviert waren. Um weiterem Ärger aus dem Weg zu gehen, hab ich die Kiste dann kurzum neu aufsetzen lassen (dies war am 11.10.2006) - Daten wurden nicht gesichert, da diese nicht wichtig waren und ich eine wirkich saubere Installation wollte. Im Anschluss daran habe ich dann kurz den Virenscanner und Teamspeak neu installiert und jegliche Updates durchlaufen lassen.

Jetzt kommts:
Grad eben will ich einen BF2-Ded einrichten und stelle fest, dass der Virenscanner nicht läuft und die Kiste extrem zäh reagiert. Ich starte den Defrag, und bekomme die Meldung, dass nicht genug Speicherplatz frei wäre um den Vorgang durchzuführen oO. Lt. Datenträgerinformation wären aber 143 GB von 149 GB frei.

Defrag läuft also und zeigt viele nette Dateien (ich sag nur 0Day) im Ordner "C:\Windows\System32\netmon\dhcp" und "C:\Windows\System32\netmon\parser" die ich selbst dort sicherlich _nicht_ abgelegt habe. Zugriffe auf die Ordner selbst bzw. deren Inhalt ich nicht möglich.
Bei weiterer Untersuchung fällt mir auf, dass AV und Firewall abermals nicht laufen.

Und das allerschärfste an der ganzen Sache: Die besagten Ordner wurden am gleichen Tag, zur gleichen Stunde und zu gleichen Sekunde erstellt an dem auch die "Neu-Installation" des Betriebssystems stattgefunden hat.

---

Ich lass die Kiste grad eben nochmal neu aufsetzen und werde danach _umgehend_ prüfen, welche Datein sich dann auf der Kiste befinden. Sollte ich fündig werden, ...

---

Hat zufällig einer von Euch auch einen W2K3 Root-Server bei S4Y? Wenn, ja wäre es nett wenn derjenige mal seine Kiste prüfen könnte.

Gruss,
redilS

[dr_mordio]

sowas kommt angeblich öfters vor.

in einem magazin war dazu mal ein sehr interessanter bericht.
darin ging es darum, das sich die hacker- und warez- szene gerne ungesicherte server unter den nagel reißt.

dann werden versteckte verzeichnisse angelegt, auf denen die files gehostet und zum DL freigegeben werden.

dabei wird darauf geachtet, nichts vom original contend des servers zu zerstören, so das dieser weiter läuft, und der besitzer nichts von dem heimlichen treiben mitkriegt.

Da das in deinem fall scheinbar direkt bei der installation passiert ist, kann darauf hin weisen, das evtl. ein mitarbeiter seine späße macht, oder aber das die server in der szene bekannt und beliebt sind und dadurch permanent überwacht werden.

MfG
Alex

[redilS]

So, nachdem ich gestern auf 180 war hab ich mich mittlerweile wieder gefangen. Die Kiste ist wieder sauber und (zumindest aus meiner Sicht) sicher. Bleibt allerdings immer noch die Frage nach dem "WIE?".

Direkt nach der letzten Neuinstallation sah es folgendermassen aus:

• Firewall - aktiv, einzige Ausnahme war der Port für UltraVNC
• Virenscanner - OnAccess Scan aktiv, Autoupdate alle 2 Stunden, Full-Scan um 12 und 00 Uhr
• Windows Autoupdate - aktiv, alle verfügbaren Updates direkt eingespielt
• IIS deinstalliert
• DCOM deaktiviert
• Teamspeak 2 Server als Dienst

Vor kurzem kam dann noch ein Socks-Proxy hinzu, welcher allerdings bei Bedarf manuell von mir gestartet wurde.

Entweder bin ich zu dämlich einen Windows Server effektiv abzusichern (was bei einer Linux-Maschine alles an mir vorbei laufen würde will ich dann garnicht erst wissen), oder ... nuja, besser keine Anschuldigungen solange nix bewiesen ist.

Gruss,
redilS

[RUN]

an deiner stelle würde ich den remotedesktop von microsoft verwenden, damit wird der verkehr zweischen server und client immerhin verschlüsselt.
dazu ist die performance ist deutlich besser als bei vnc.
meiner meinung nach bietet der remotedesktop die beste performance aller grafischen "remote-lösungen".

[redilS]

Zitat:

Zitat von RUN

an deiner stelle würde ich den remotedesktop von microsoft verwenden, damit wird der verkehr zweischen server und client immerhin verschlüsselt.

In Verbindung mit VNC nutze ich zwar das MSRC4 Plugin zur Verschlüsselung der Kommunikation, ich werd' aber jetzt der RDC Lösung von Microsoft eine Chance geben.

Falls noch jemand ein paar Tips haben sollte, nur her damit - bin für jegliche, produktive Kritik offen.


Gruss,
redilS

[BenniG.]

Mal ne ganz blöde Frage, dein Admin-Kennwort hast du geändert?
Vielleicht mal die benutzten Ports umstellen, also VNC-Port ändern und so, dann wirds erstmal schwieriger irgendwo ein Passwort eingeben zu können..

[redilS]

Zitat:

Zitat von BenniG.

Mal ne ganz blöde Frage, dein Admin-Kennwort hast du geändert?

Ich bin doch nicht blöd - habs von "1234" in "4321" geändert ^^ nur Spass!

Zitat:

Zitat von BenniG.

Vielleicht mal die benutzten Ports umstellen, also VNC-Port ändern und so, dann wirds erstmal schwieriger irgendwo ein Passwort eingeben zu können..

Jop, hab ich jetzt nach der Neuinstallation schon gemacht. So liefert zumindest ein scan über die Standardports kein Ergebnis...

[Tweak-IT]

Also ich könnt mich kringeln 0Day auf dem eigenen Server auweia!

Ich weiss schon wieso ich meine FTPs immer so sorgfältig checke aber sowas ist heftigst...

[redilS]

Danke für Deine "Anteilnahme" ^^ Ich für meinen Teil weiss noch nicht, ob ich ich's lustig finden oder weinen soll.

Dass ich meine Kiste in Zukunft ebenfalls öfter mal auf Herz und Nieren prüfe versteht sich ja jetzt wohl von selbst. Dumm nur, dass es bei mir nicht eben nur ein Dienst is der zu prüfen ist, sondern u.U. gleich die ganze Maschine *grml*

[redilS]

Da ich dieses Thema gerne abgeschlossen hätte, hab ich alle bisher ergriffenen Maßnahmen dokumentiert und möchte Euch bitten, mich zu korrigieren falls etwas falsch sein sollte oder gar fehlt.

Beginnend direkt nach der Neuinstallation:
- Einstellungen der Firewall geprüft
- Windows Updates eingespielt
- eigenes Admin Konto angelegt
- Standard-Konto "Administrator" deaktiviert
- nicht genutzte Konten deaktivert (Gast, MS Support, IIS FTP usw.)
- Eingeschränktes "Benutzer"-Konto für Dienste angelegt
- Virenscanner installiert & geplante Tasks definiert
- IIS & abhängige Dienste deinstalliert sowie deren Verzeichnisse gelöscht
- DCOM Komponentendienst deaktiviert
- Dienst f. Datei- und Druckerfreigabe (war bereits deaktiviert) deinstalliert
- Teamspeak2 installiert & Ports "umgebogen"
- Teamspeak2 Ports freigeschaltet
- RDC Ports "umgebogen"
- RDC Ports freigeschaltet
- Traffic Monitoring Tool installiert
- Reboot.

Wars das? I hope so...

[EoN]

Sichere Kennwörter vergeben fehlt glaub ich noch auf der Liste, aber das haste ja oben schon geschrieben.

An sonsten fällt mir da jetzt nicht so wirklich was dazu ein. Persönlich hab ich nen Root Server auf Linux Basis und wurde zum Glück bis jetzt von jeglichen Hackerangriffen verschont. Aber wir wollen es ja mal nicht verschreien.

[_Smash_]

Zitat:

Zitat von EoN

Persönlich hab ich nen Root Server auf Linux Basis und wurde zum Glück bis jetzt von jeglichen Hackerangriffen verschont. Aber wir wollen es ja mal nicht verschreien.

Dann lass dir mal dein sshd-log anzeigen

[redilS]

Mag ja sein, dass ich jetzt ein klein wenig paranoid bin und überzogen reagiere, aber schaut Euch doch mal folgenden Auszug aus meinem Traffic-Log an.

PHP-Code:

Services (Top 10) consuming the most volume in current period: 
  
Service           Received   Sent        Total 
xxxxx:65536/udp    14,24 MB  129,03 MB   143,27 MB 
xxxxx:1069/udp      6,69 MB   30,71 MB    37,41 MB 
xxxxx:18306/udp     3,94 MB   22,55 MB    26,49 MB 
xxxxx:1734/udp      3,97 MB   21,78 MB    25,75 MB 
xxxxx:3964/udp      2,28 MB   22,51 MB    24,79 MB 
xxxxx:1136/udp    587,08 KB   22,10 MB    22,68 MB 
xxxxx:3379/udp      4,49 MB   18,06 MB    22,54 MB 
xxxxx:1217/udp      8,56 MB   12,79 MB    21,35 MB 
xxxxx:10590/udp   822,23 KB   20,07 MB    20,87 MB 
xxxxx:1247/udp    537,16 KB   20,30 MB    20,82 MB 


Das wäre jetzt der Traffic, den mein TS Server über die letzten 24h produziert hat. Die erste Zeile gibt mir dabei zu denken. Der Client am Port 65536 produziert den 4-Fachen Traffic im Vergleich zu jedem anderen Client? Bzw. wie hoch ist die warscheinlichkeit dass bei 65536 Ports immer einer der User auf dem allerletzten Port landet

EDIT:
WTF? Is der letzte Port nicht eigentlich der 65535?

[tele]

Moinsen,

Guck dir doch einfach an welcher Prozess (PID) das ist (netstat -ano) und schau dann im taskmanager (noch als zusätzliche spalte die PID anzeigen) nach welcher prozess das mit der PID ist.

Generell solltest du mal sysinternals.com besuchen, die Tools sind bisweilen ein wenig handlicher als Windows Boardmittel.

Um gegen alle möglichen Sachen von außen ein wenig besser gewappnet zu sein, solltest du auch mal hardenIt und secureIT (Link) begutachten.

Weiterhin würde ich in der security policy alle anmeldeversuche loggen und das log am besten irgendwo hin schicken oder irgendwo weg schreiben, wo keiner der auf dem system unfug treiber würde ran kommt.

Gruß

tele