Was ist "using sendfile capability for transmitting data" ?

Rechtsteufel · Beitrag von **Rechtsteufel** » So 21 Feb, 2010 20:17

Hallo,

ich hab auf meinem vServer im Log folgenden Eintrag entdeckt:

Feb 16 23:30:13 h1616345 proftpd[31871]: h123456789.stratoserver.net (8x.xx4.x.xx[xx.xxx.xx.xx]) - using sendfile capability for transmitting data

Dann kommen noch gefühlte hundert weitere gleiche Einträge. Der letzte um 23:35:20:

Was bedeutet das? Muss ich mir sorgen machen?

Beitrag von **Captain** » So 21 Feb, 2010 20:34

Kommt drauf an. Dieser "8x.xx4.x.xx[xx.xxx.xx.xx]", könntest das du selbst gewesen sein? Einfach Daten per FTP übertragen?

"Sendfile" an sich ist nix bedenkliches, einfach nur eine Datenübertragungsmethode auf eigener Protokoll-Basis.
http://de.wikipedia.org/wiki/Sendfile

Problematisch wäre es nur, wenn sich herausstellen würde, dass du das nicht warst, weil IP oder Zeitpunkt nicht passt. Wenn du der einzigste Admin auf dem Server bist und du warst es nicht...na dann....würde ich darauf tippen, dass jemand Daten abzieht.

Könnte es dein Backup sein, dass Daten auf diese Weise transferiert? Frag mal deinen Hoster wie die das bewerkstelligen. Das ist dann aber auch der letzte Rettungsanker. Wenn die das nicht per FTP/Sendfile machen würde ich das Log dringend intensiver analysieren (lassen)...

Rechtsteufel · Beitrag von **Rechtsteufel** » So 21 Feb, 2010 20:37

Das Backup selbst folgt 11 Minuten nach dem letzten Eintrag:

Feb 16 23:46:01 h1616345 /usr/sbin/cron[7174]: (root) CMD (/usr/local/psa/admin/sbin/backupmng >/dev/null 2>&1)
Feb 17 00:00:01 h1616345 /usr/sbin/cron[14101]: (root) CMD ( /usr/sbin/awstats-update)
Feb 17 00:01:01 h1616345 /usr/sbin/cron[15694]: (root) CMD (/usr/local/psa/admin/sbin/backupmng >/dev/null 2>&1)
Feb 17 00:16:01 h1616345 /usr/sbin/cron[21651]: (root) CMD (/usr/local/psa/admin/sbin/backupmng >/dev/null 2>&1)
Feb 17 00:31:01 h1616345 /usr/sbin/cron[26584]: (root) CMD (/usr/local/psa/admin/sbin/backupmng >/dev/null 2>&1)
Feb 17 00:42:31 h1616345 rsyslogd: -- MARK --

usw.

Beitrag von **Captain** » So 21 Feb, 2010 21:16

Schwierig. Was sind denn die letzten Zeilen bevor das mit dem Sendfile beginnt?

Rechtsteufel · Beitrag von **Rechtsteufel** » So 21 Feb, 2010 21:21

Mein Nutzername ist es schon. Aber ob ich mich um die Zeit wirklich eingeloggt habe? Ich weiß es nicht mehr. Das Backup selbst wird von Strato veranlasst. Wie die das machen keine Ahnung. Jedenfalls bestimmt nicht über meinen FTP Zugang.

Feb 16 22:46:01 h1616345 /usr/sbin/cron[12094]: (root) CMD (/usr/local/psa/admin/sbin/backupmng >/dev/null 2>&1)
Feb 16 23:01:01 h1616345 /usr/sbin/cron[20328]: (root) CMD (/usr/local/psa/admin/sbin/backupmng >/dev/null 2>&1)
Feb 16 23:16:01 h1616345 /usr/sbin/cron[26087]: (root) CMD (/usr/local/psa/admin/sbin/backupmng >/dev/null 2>&1)
Feb 16 23:29:57 h1616345 proftpd[31863]: hxxx.stratoserver.net (85.214.41.51[85.214.41.51]) - FTP session opened.
Feb 16 23:29:57 h1616345 proftpd[31863]: hxxx.stratoserver.net (85.214.41.51[85.214.41.51]) - USER xxx: Login successful.
Feb 16 23:29:57 h1616345 proftpd[31863]: hxxxx.stratoserver.net (85.214.41.51[85.214.41.51]) - Preparing to chroot to directory '/srv/www/vhosts/xxxx.de'
Feb 16 23:29:58 h1616345 proftpd[31863]: hxxxx.stratoserver.net (85.214.41.51[85.214.41.51]) - FTP session closed.
Feb 16 23:29:58 h1616345 proftpd[31871]: hxxxx.stratoserver.net (85.214.41.51[85.214.41.51]) - FTP session opened.
Feb 16 23:29:58 h1616345 proftpd[31871]: hxxxx.stratoserver.net (85.214.41.51[85.214.41.51]) - USER xxxx: Login successful.
Feb 16 23:29:58 h1616345 proftpd[31871]: hxxx.stratoserver.net (85.214.41.51[85.214.41.51]) - Preparing to chroot to directory '/srv/www/vhosts/xxxx.de'
Feb 16 23:30:13 h1616345 proftpd[31871]: hxxxxx.stratoserver.net (85.214.41.51[85.214.41.51]) - using sendfile capability for transmitting data

Jason · Beitrag von **Jason** » Mo 22 Feb, 2010 15:19

Also ich bin ja kein Spezialist, aber wenn da Dinge auf deinem System passieren, von denen du nichts weißt, dann würde ich das System dringend neu installieren. Sieht ja schon sehr nach einer Hackattacke aus...

Rechtsteufel · Beitrag von **Rechtsteufel** » Mo 22 Feb, 2010 15:49

Hackversuche hatte ich auch schon, allerdings nicht besonders clever. Zum Glück.

Beitrag von **Captain** » Mo 22 Feb, 2010 20:49

Also...

a) ftp daten ändern, in der hoffnung, dass es dafür nicht zu spät ist
b) root pw ändern
c) log analysieren und schauen, ob es solche einträge schonmal gab
d) wenn nicht oder wenn nicht klar wird das das sein könnte

1) Hoster fragen
2) Wenn der nichts weiß: Server plattmachen
3) Backup tunlichst genau prüfen wegen Root-Skripten und allem was nicht von dir stammt
4) Backup wieder (ganz oder teilweise) einspielen...

Wichtig wäre es unbedingt herauszufinden was das ist und wenn es ein Hacker ist wie er sich Zugang verschafft hat. Ohne diese Info wird schwer werden einen erneuten Hack zu verhindern (wenn es denn einer ist).

Rechtsteufel · Beitrag von **Rechtsteufel** » Mo 22 Feb, 2010 21:11

Soweit ich sehen kann, wurden der FTP nicht gehackt:

Mehrere Versuche gab es schon, die aufwendigsten am 16.02 (über mehrere Stunden):

Code: Alles auswählen

Feb 16 06:44:55 hxxxx proftpd[16106]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - no such user 'web12'
Feb 16 06:44:55 hxxxx proftpd[16106]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - USER web12: no such user found from 85.114.132.127 [85.114.132.127] to 85.214.41.51:21
Feb 16 06:44:55 hxxxx proftpd[16106]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - no such user 'web12'
Feb 16 06:44:55 h1xxx proftpd[16106]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - USER web12: no such user found from 85.114.132.127 [85.114.132.127] to 85.214.41.51:21
Feb 16 06:44:55 hxxxx proftpd[16106]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - Maximum login attempts (3) exceeded, connection refused
Feb 16 06:44:55 hxxx proftpd[16106]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - FTP session closed.
Feb 16 06:44:55 xxxproftpd[16109]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - FTP session opened.
Feb 16 06:44:55 hxxxproftpd[16109]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - no such user 'web12'
Feb 16 06:44:55 xxxxx proftpd[16109]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - USER web12: no such user found from 85.114.132.127 [85.114.132.127] to 85.214.41.51:21
Feb 16 06:44:55 hxxxx proftpd[16109]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - no such user 'web12'
Feb 16 06:44:55 hxxxx proftpd[16109]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - USER web12: no such user found from 85.114.132.127 [85.114.132.127] to 85.214.41.51:21
Feb 16 06:44:55 hxxxx proftpd[16109]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - no such user 'web12'
Feb 16 06:44:55 hxxxx proftpd[16109]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - USER web12: no such user found from 85.114.132.127 [85.114.132.127] to 85.214.41.51:21
Feb 16 06:44:55 hxxxx proftpd[16109]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - Maximum login attempts (3) exceeded, connection refused
Feb 16 06:44:55 hxxxx proftpd[16109]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - FTP session closed.
Feb 16 06:44:55 hxxxx proftpd[16110]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - FTP session opened.
Feb 16 06:44:55 hxxxx proftpd[16110]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - no such user 'web12'
Feb 16 06:44:55 hxxxx proftpd[16110]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - USER web12: no such user found from 85.114.132.127 [85.114.132.127] to 85.214.41.51:21
Feb 16 06:44:55 hxxxx proftpd[16110]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - no such user 'web12'
Feb 16 06:44:55 hxxxx proftpd[16110]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - USER web12: no such user found from 85.114.132.127 [85.114.132.127] to 85.214.41.51:21
Feb 16 06:44:55 hxxxx proftpd[16110]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - no such user 'web12'
Feb 16 06:44:55 hxxxx proftpd[16110]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - USER web12: no such user found from 85.114.132.127 [85.114.132.127] to 85.214.41.51:21
Feb 16 06:44:55 hxxxx proftpd[16110]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - Maximum login attempts (3) exceeded, connection refused
Feb 16 06:44:55 hxxxx proftpd[16110]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - FTP session closed.

Der letzte Versuch war am 18.02:

Code: Alles auswählen

Feb 18 07:24:54 hxxxx proftpd[32053]: hxxxx.stratoserver.net (212.227.94.191[212.227.94.191]) - FTP session opened.
Feb 18 07:24:54 hxxxx proftpd[32053]: hxxxx.stratoserver.net (212.227.94.191[212.227.94.191]) - no such user 'anonymous'
Feb 18 07:24:54 hxxxx proftpd[32053]: hxxxx.stratoserver.net (212.227.94.191[212.227.94.191]) - USER anonymous: no such user found from 212.227.94.191 [212.227.94.191] to 85.214.41.51:21

Was mich wundert ist ein Eintrag von gestern. Normalerweise sieht man ja im Log, wenn sich ein Nutzer per FTP einloggt. Stattdessen fand ich das:

Code: Alles auswählen

Feb 21 19:15:53 h1616345 proftpd[25803]: h1616345.stratoserver.net (95.111.36.108[95.111.36.108]) - FTP session opened.
Feb 21 19:15:53 h1616345 proftpd[25803]: h1616345.stratoserver.net (95.111.36.108[95.111.36.108]) - FTP session closed.

Session oppen und closed innerhalb einer Sekunde?

Sobald der Vertrag für den vServer ausläuft zieh ich auf ein Webhosting Paket um. Das macht mein schwaches Herz nicht mehr mit

Beitrag von **Captain** » Mo 22 Feb, 2010 21:20

Hm schon seltsam das Ganze. Ich würde mal die PWs ändern und schauen was sich tut.

Rechtsteufel · Beitrag von **Rechtsteufel** » Mo 22 Feb, 2010 22:07

Folgende Maßnahmen wurden von mir ergriffen:

1. Root PW geändert
2. ssd_config angepasst:

Code: Alles auswählen

# Authentication:
MaxAuthTries 6

Port: Nicht Standart, 5 stellig

PasswordAuthentication yes
PermitEmptyPasswords no

Dann mit

Code: Alles auswählen

/etc/init.d/sshd restart

neugestartet.

Iregendwelche Bedenken?

Beitrag von **Captain** » Mo 22 Feb, 2010 23:06

Nein, das ist schonmal gut. Benutzt du root zum Login auf den Server via SSH/Putty?

Rechtsteufel · Beitrag von **Rechtsteufel** » Mo 22 Feb, 2010 23:15

Wenn es sein muss, ja. Am liebsten nutze ich "WinSCP" wegen der schicken grafischen Oberfläche. Aber bei einigen Konsolenbefehlen streikt das Programm. Dann nutze ich Putty.

Beitrag von **Captain** » Mo 22 Feb, 2010 23:22

Sich mit "root" einzuloggen ist eine kleine Schwachstelle. Besser wäre es sich einen neuen User anzulegen, der keine Rechte hat und dann mittels "su" in den root-mode zu wechseln. Aber das ist nur noch so eine kleine Anmerkung am Rande.

Die Basics hast du mit dem Passwortwechsel schonmal gemacht.

Schau mal, ob das morgen auch noch auftritt mit dem FTP-Log.

Rechtsteufel · Beitrag von **Rechtsteufel** » Mo 22 Feb, 2010 23:30

Erstmal Danke für die bisherige Hilfe

Du bist nicht eingeloggt 😔

Was ist "using sendfile capability for transmitting data" ?

Was ist "using sendfile capability for transmitting data" ?