Hallo zusammen,
leider ist einer meiner Server angegriffen worden und ich wüsste gerne wie. Leider habe ich noch keine näheren Informationen, was passiert ist. Der Provider hat das gute Stück still gelegt und mir noch keine weiteren Informationen übermittelt.
Das, was ich feststellen konnte, war ein ssh-login des Users sshd. Das fand ich schonmal erstaunlich. Eigentlich darf der sich ja nicht einloggen. Also warf ich einen Blick auf die Datei /etc/shadow. Und siehe da, der Eintrag für sshd lautete:
sshd ::::::::
Außerdem habe ich festgestellt, dass alle Systembenutzer nicht mehr als Standardshell
/bin/false
sondern
/bin/bash
eingetragen haben. Auch das finde ich sehr seltsam. Ich bin mir eigentlich sicher, dass ich das überprüft habe, als ich den Server eingerichtet habe.
Offensichtlich ist es aber jemandem gelungen, mindestens eine Systemdatei zu ändern. Es hat sich also jemand illegal root-Rechte auf dem Server verschafft. Nun wüsste ich gerne wie. Leider habe ich keine Zeit für längere Forensik. Das Teil muss schnellst möglich wieder online gehen. Das wird eine lange Nacht. Kennt jemand von Euch solche Veränderungen und weiß, wie die zustande kommen?
Der sshd ist komplett gehärtet. So gut, dass ich seit Jahren kaum noch Angriffsversuche zu verzeichnen habe. Das hat sich offensichtlich rumgesprochen, dass man so in meine Server nicht rein kommt. Der Erstangriff muss also anders erfolgt sein. Die Frage ist: Wie?
Liebe Grüße
Erik