Linux Hetzner abuse

Af Ny på siden Digi-dk | 04-03-2020 10:35 | 1680 visninger | 13 svar, hop til seneste

Jeg står med et problem som jeg virkelig ikke kan løse jeg er ved at rive håret ud på mig selv flere gange efter hånden. Jeg her en Linux Ubuntu server hos hetzner hvor de har blokeret min IP da min server er begyndt at angribe andre server på netværket og andre server ude i Verden. jeg kan tilgå min server via SSh lige nu men jeg kan virkelig ikke få ramt på fejlen. De skriver til mig: We don't allow netscans according. Men efter lang tid læsning på nettet kan jeg ikke få lukket ned for problemet. Jeg køre med iptables og prøver kun at have de mest nødvendige porte åbne. der skulle vil ikke være en der kunne hjælpe eller give lidt guldkorn til hvordan det kan løse ? loggen jeg har fået ser sådan ud. dog bare MEGET længer Vh en mand i nød :/ time protocol src_ip src_port dest_ip dest_port > --------------------------------------------------------------------------- > Sat Feb 29 23:02:22 2020 TCP 88.99.min.IP 60370 => 8.147.127.xx 80 > Sat Feb 29 23:02:23 2020 TCP 88.99.min.IP 60370 => 8.147.127.xx 80 > Sat Feb 29 23:02:25 2020 TCP 88.99.min.IP 60370 => 8.147.127.xx 80
--

#1
Tux
Guru
04-03-2020 11:00

Rapporter til Admin

Når du siger at du kun har de mest nødvendige porte åbne, gælder det så også udgående? I følge Hetzner er det fordi at din server laver netscans ud i omverden og det tillader de ikke. Hvis det er korrekt, så har du noget der aktivt laver skanninger og det skal du have fundet hvis det ikke er dig selv der gør det.
--
Don't feed the trolls.
--

Sidst redigeret 04-03-2020 11:01

#2
NitroBlast
Guru
04-03-2020 12:26

Rapporter til Admin

Er det altid samme IP og port, der bliver scannet/testet? Har du forsøgt at finde ud af, hvilket program, der rammer den pågældende resource? En kommando som "netstat -A inet -p" vil vise alle udgående forbindelser, og hvilket program der har åbnet dem. Jeg er ingen haj til iptables, men jeg ved, at du kan få iptables til at logge samtlige forsøg på at tilgå bestemte adresser med et "LOG" direktiv i config filen - dette kunne også hjælpe med at finde synderen.
--
http://xlinx.dk[...] i7 2600K, 16GB PC3-12800, GA-Z68XP-UD4 R1, GTX 560Ti HAWK, 250GB 840 EVO

#3
post-it
Gæst
04-03-2020 12:45

Rapporter til Admin

Det lyder meget sært det der. Man kunne godt frygte lidt, at din maskine er blevet inficeret med et eller andet. Det underelige er bare, at det burde ikke kunne lade sig gøre på en linux maskine. Så, det må være noget du aktivt har sat til at lave numre.
--
Gæstebruger, opret dit eget login og få din egen signatur.

#4
Digi-dk
Ny på siden
04-03-2020 12:47

Rapporter til Admin

#1 ja jeg kan forstår den står og laver netsacn i omverden hvilket jo ikke er mig selv der gør dette. 80% af tiden står server jo bare stille og bliver brugt som lager enhed med lidt web-server tilbehør på. Men jeg kunne jo virkelig godt tænke mig at få lukket ned for det netscan. Ved bare ikke helt hvordan jeg skal gribe det an. Om man bare kan firewall sig ud af det :/
--

#5
Rodael
Supporter Aspirant
04-03-2020 12:48

Rapporter til Admin

#6
LeetDonkey
Junior Nørd
04-03-2020 12:52

Rapporter til Admin

Har du filtreret din SSH port eller bruger du pre-shared keys eller lignende? Eller står den bare til fri afbenyttelse for hele omverdenen?
--
http://www.uber1337.dk[...] - CS:GO community servere med fortrinsvis danske brugere.

#7
NitroBlast
Guru
04-03-2020 12:54

Rapporter til Admin

Det behøver ikke være virus eller andet snavs. Det kan være et program, der er installeret bevidst, som er afhængig af en bestemt resource, som det så hele tiden forsøger at få adgang til. Mit gæt er nok nærmere, at der er gået noget opsætning galt, og for at løse dette, er det i første omgang nødvendigt at finde ud af hvilken process, der laver ballade.
--
http://xlinx.dk[...] i7 2600K, 16GB PC3-12800, GA-Z68XP-UD4 R1, GTX 560Ti HAWK, 250GB 840 EVO

#8
TommyB
Junior Nørd
04-03-2020 14:07

Rapporter til Admin

Det behøver ikke direkte være software installeret på serveren. - Det kan være et CMS med sikkerhedshul hvor det er lykkedes nogle at uploade en php-shell eller andet script som de så kan bruge til diverse attacks, scans eller spam. Edit: Du må gerne skrive til mig for hjælp : email under profil
--
Indholdet af dette indlæg er blevet redigeret af NSA.
--

Sidst redigeret 04-03-2020 14:10

#9
Sven Bent
Mega Nørd
04-03-2020 14:24

Rapporter til Admin

#3 lol much fanboy der. Selvfoelgelig kan en linux maskine blive inficeret. hvilke system tror du havde de foerste orme? https://en.wikipedia.org[...]
--
Sven Bent - Dr. Diagnostic www.TechCenter.[...] - Home of Project Mercury

#10
Tux
Guru
04-03-2020 15:01

Rapporter til Admin

#8 Det behøver ikke direkte være software installeret på serveren. - Det kan være et CMS med sikkerhedshul Det er også software installeret på serveren så. Et CMS er et stykke software.
--
Don't feed the trolls.

#11
Peter.
Megabruger
04-03-2020 15:49

Rapporter til Admin

Kør en: iptables -A OUTPUT -p tcp --destination-port 80 -j DROP og begynd så at se hvad det er for noget uønsket malware du har kørende.
--

Sidst redigeret 04-03-2020 15:51

#12
Digi-dk
Ny på siden
04-03-2020 18:21

Rapporter til Admin

Hej gutter jeg takker for jeres indput og tid.. Jeg har besluttet mig for at tage et backup af alle de filer jeg har så som billeder. og telefonbackup og lave et reinstall af serveren. Også må jeg prøve at blive mere hardcore på min firewall og have mindre ligegyldige ting installeret på den :) havde en DEL CMS website projekter på den som jo godt kan være outdate og derved et sikkerhedshul desværre :(
--

#13
anders1226
Ultrabruger
04-03-2020 20:11

Rapporter til Admin

Reinstall og så lav test hen af vejen. Hvade selv lignende problem det var en lille ting som et CMS til og kontrollere gale servers med. Også ved hetzner. De er rimeligt hurtigt ude med riven
--
Meow