Seite 1 von 2
Was ist "using sendfile capability for transmitting data" ?
Verfasst: So 21 Feb, 2010 20:17
von Rechtsteufel
Hallo,
ich hab auf meinem vServer im Log folgenden Eintrag entdeckt:
Feb 16 23:30:13 h1616345 proftpd[31871]: h123456789.stratoserver.net (8x.xx4.x.xx[xx.xxx.xx.xx]) - using sendfile capability for transmitting data
Dann kommen noch gefühlte hundert weitere gleiche Einträge. Der letzte um 23:35:20:
Was bedeutet das? Muss ich mir sorgen machen?
Verfasst: So 21 Feb, 2010 20:34
von Captain
Kommt drauf an. Dieser "8x.xx4.x.xx[xx.xxx.xx.xx]", könntest das du selbst gewesen sein? Einfach Daten per FTP übertragen?
"Sendfile" an sich ist nix bedenkliches, einfach nur eine Datenübertragungsmethode auf eigener Protokoll-Basis.
http://de.wikipedia.org/wiki/Sendfile
Problematisch wäre es nur, wenn sich herausstellen würde, dass du das nicht warst, weil IP oder Zeitpunkt nicht passt. Wenn du der einzigste Admin auf dem Server bist und du warst es nicht...na dann....würde ich darauf tippen, dass jemand Daten abzieht.
Könnte es dein Backup sein, dass Daten auf diese Weise transferiert? Frag mal deinen Hoster wie die das bewerkstelligen. Das ist dann aber auch der letzte Rettungsanker. Wenn die das nicht per FTP/Sendfile machen würde ich das Log dringend intensiver analysieren (lassen)...
Verfasst: So 21 Feb, 2010 20:37
von Rechtsteufel
Das Backup selbst folgt 11 Minuten nach dem letzten Eintrag:
Feb 16 23:46:01 h1616345 /usr/sbin/cron[7174]: (root) CMD (/usr/local/psa/admin/sbin/backupmng >/dev/null 2>&1)
Feb 17 00:00:01 h1616345 /usr/sbin/cron[14101]: (root) CMD ( /usr/sbin/awstats-update)
Feb 17 00:01:01 h1616345 /usr/sbin/cron[15694]: (root) CMD (/usr/local/psa/admin/sbin/backupmng >/dev/null 2>&1)
Feb 17 00:16:01 h1616345 /usr/sbin/cron[21651]: (root) CMD (/usr/local/psa/admin/sbin/backupmng >/dev/null 2>&1)
Feb 17 00:31:01 h1616345 /usr/sbin/cron[26584]: (root) CMD (/usr/local/psa/admin/sbin/backupmng >/dev/null 2>&1)
Feb 17 00:42:31 h1616345 rsyslogd: -- MARK --
usw.
Verfasst: So 21 Feb, 2010 21:16
von Captain
Schwierig. Was sind denn die letzten Zeilen bevor das mit dem Sendfile beginnt?
Verfasst: So 21 Feb, 2010 21:21
von Rechtsteufel
Mein Nutzername ist es schon. Aber ob ich mich um die Zeit wirklich eingeloggt habe? Ich weiß es nicht mehr. Das Backup selbst wird von Strato veranlasst. Wie die das machen keine Ahnung. Jedenfalls bestimmt nicht über meinen FTP Zugang.
Feb 16 22:46:01 h1616345 /usr/sbin/cron[12094]: (root) CMD (/usr/local/psa/admin/sbin/backupmng >/dev/null 2>&1)
Feb 16 23:01:01 h1616345 /usr/sbin/cron[20328]: (root) CMD (/usr/local/psa/admin/sbin/backupmng >/dev/null 2>&1)
Feb 16 23:16:01 h1616345 /usr/sbin/cron[26087]: (root) CMD (/usr/local/psa/admin/sbin/backupmng >/dev/null 2>&1)
Feb 16 23:29:57 h1616345 proftpd[31863]: hxxx.stratoserver.net (85.214.41.51[85.214.41.51]) - FTP session opened.
Feb 16 23:29:57 h1616345 proftpd[31863]: hxxx.stratoserver.net (85.214.41.51[85.214.41.51]) - USER xxx: Login successful.
Feb 16 23:29:57 h1616345 proftpd[31863]: hxxxx.stratoserver.net (85.214.41.51[85.214.41.51]) - Preparing to chroot to directory '/srv/www/vhosts/xxxx.de'
Feb 16 23:29:58 h1616345 proftpd[31863]: hxxxx.stratoserver.net (85.214.41.51[85.214.41.51]) - FTP session closed.
Feb 16 23:29:58 h1616345 proftpd[31871]: hxxxx.stratoserver.net (85.214.41.51[85.214.41.51]) - FTP session opened.
Feb 16 23:29:58 h1616345 proftpd[31871]: hxxxx.stratoserver.net (85.214.41.51[85.214.41.51]) - USER xxxx: Login successful.
Feb 16 23:29:58 h1616345 proftpd[31871]: hxxx.stratoserver.net (85.214.41.51[85.214.41.51]) - Preparing to chroot to directory '/srv/www/vhosts/xxxx.de'
Feb 16 23:30:13 h1616345 proftpd[31871]: hxxxxx.stratoserver.net (85.214.41.51[85.214.41.51]) - using sendfile capability for transmitting data
Verfasst: Mo 22 Feb, 2010 15:19
von Jason
Also ich bin ja kein Spezialist, aber wenn da Dinge auf deinem System passieren, von denen du nichts weißt, dann würde ich das System dringend neu installieren. Sieht ja schon sehr nach einer Hackattacke aus...
Verfasst: Mo 22 Feb, 2010 15:49
von Rechtsteufel
Hackversuche hatte ich auch schon, allerdings nicht besonders clever. Zum Glück.
Verfasst: Mo 22 Feb, 2010 20:49
von Captain
Also...
a) ftp daten ändern, in der hoffnung, dass es dafür nicht zu spät ist
b) root pw ändern
c) log analysieren und schauen, ob es solche einträge schonmal gab
d) wenn nicht oder wenn nicht klar wird das das sein könnte
1) Hoster fragen
2) Wenn der nichts weiß: Server plattmachen
3) Backup tunlichst genau prüfen wegen Root-Skripten und allem was nicht von dir stammt
4) Backup wieder (ganz oder teilweise) einspielen...
Wichtig wäre es unbedingt herauszufinden was das ist und wenn es ein Hacker ist wie er sich Zugang verschafft hat. Ohne diese Info wird schwer werden einen erneuten Hack zu verhindern (wenn es denn einer ist).
Verfasst: Mo 22 Feb, 2010 21:11
von Rechtsteufel
Soweit ich sehen kann, wurden der FTP nicht gehackt:
Mehrere Versuche gab es schon, die aufwendigsten am 16.02 (über mehrere Stunden):
Code: Alles auswählen
Feb 16 06:44:55 hxxxx proftpd[16106]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - no such user 'web12'
Feb 16 06:44:55 hxxxx proftpd[16106]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - USER web12: no such user found from 85.114.132.127 [85.114.132.127] to 85.214.41.51:21
Feb 16 06:44:55 hxxxx proftpd[16106]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - no such user 'web12'
Feb 16 06:44:55 h1xxx proftpd[16106]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - USER web12: no such user found from 85.114.132.127 [85.114.132.127] to 85.214.41.51:21
Feb 16 06:44:55 hxxxx proftpd[16106]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - Maximum login attempts (3) exceeded, connection refused
Feb 16 06:44:55 hxxx proftpd[16106]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - FTP session closed.
Feb 16 06:44:55 xxxproftpd[16109]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - FTP session opened.
Feb 16 06:44:55 hxxxproftpd[16109]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - no such user 'web12'
Feb 16 06:44:55 xxxxx proftpd[16109]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - USER web12: no such user found from 85.114.132.127 [85.114.132.127] to 85.214.41.51:21
Feb 16 06:44:55 hxxxx proftpd[16109]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - no such user 'web12'
Feb 16 06:44:55 hxxxx proftpd[16109]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - USER web12: no such user found from 85.114.132.127 [85.114.132.127] to 85.214.41.51:21
Feb 16 06:44:55 hxxxx proftpd[16109]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - no such user 'web12'
Feb 16 06:44:55 hxxxx proftpd[16109]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - USER web12: no such user found from 85.114.132.127 [85.114.132.127] to 85.214.41.51:21
Feb 16 06:44:55 hxxxx proftpd[16109]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - Maximum login attempts (3) exceeded, connection refused
Feb 16 06:44:55 hxxxx proftpd[16109]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - FTP session closed.
Feb 16 06:44:55 hxxxx proftpd[16110]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - FTP session opened.
Feb 16 06:44:55 hxxxx proftpd[16110]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - no such user 'web12'
Feb 16 06:44:55 hxxxx proftpd[16110]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - USER web12: no such user found from 85.114.132.127 [85.114.132.127] to 85.214.41.51:21
Feb 16 06:44:55 hxxxx proftpd[16110]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - no such user 'web12'
Feb 16 06:44:55 hxxxx proftpd[16110]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - USER web12: no such user found from 85.114.132.127 [85.114.132.127] to 85.214.41.51:21
Feb 16 06:44:55 hxxxx proftpd[16110]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - no such user 'web12'
Feb 16 06:44:55 hxxxx proftpd[16110]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - USER web12: no such user found from 85.114.132.127 [85.114.132.127] to 85.214.41.51:21
Feb 16 06:44:55 hxxxx proftpd[16110]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - Maximum login attempts (3) exceeded, connection refused
Feb 16 06:44:55 hxxxx proftpd[16110]: hxxxx.stratoserver.net (85.114.132.127[85.114.132.127]) - FTP session closed.
Der letzte Versuch war am 18.02:
Code: Alles auswählen
Feb 18 07:24:54 hxxxx proftpd[32053]: hxxxx.stratoserver.net (212.227.94.191[212.227.94.191]) - FTP session opened.
Feb 18 07:24:54 hxxxx proftpd[32053]: hxxxx.stratoserver.net (212.227.94.191[212.227.94.191]) - no such user 'anonymous'
Feb 18 07:24:54 hxxxx proftpd[32053]: hxxxx.stratoserver.net (212.227.94.191[212.227.94.191]) - USER anonymous: no such user found from 212.227.94.191 [212.227.94.191] to 85.214.41.51:21
Was mich wundert ist ein Eintrag von gestern. Normalerweise sieht man ja im Log, wenn sich ein Nutzer per FTP einloggt. Stattdessen fand ich das:
Code: Alles auswählen
Feb 21 19:15:53 h1616345 proftpd[25803]: h1616345.stratoserver.net (95.111.36.108[95.111.36.108]) - FTP session opened.
Feb 21 19:15:53 h1616345 proftpd[25803]: h1616345.stratoserver.net (95.111.36.108[95.111.36.108]) - FTP session closed.
Session oppen und closed innerhalb einer Sekunde?
Sobald der Vertrag für den vServer ausläuft zieh ich auf ein Webhosting Paket um. Das macht mein schwaches Herz nicht mehr mit
Verfasst: Mo 22 Feb, 2010 21:20
von Captain
Hm schon seltsam das Ganze. Ich würde mal die PWs ändern und schauen was sich tut.
Verfasst: Mo 22 Feb, 2010 22:07
von Rechtsteufel
Folgende Maßnahmen wurden von mir ergriffen:
1. Root PW geändert
2. ssd_config angepasst:
Code: Alles auswählen
# Authentication:
MaxAuthTries 6
Port: Nicht Standart, 5 stellig
PasswordAuthentication yes
PermitEmptyPasswords no
Dann mit
neugestartet.
Iregendwelche Bedenken?
Verfasst: Mo 22 Feb, 2010 23:06
von Captain
Nein, das ist schonmal gut. Benutzt du root zum Login auf den Server via SSH/Putty?
Verfasst: Mo 22 Feb, 2010 23:15
von Rechtsteufel
Wenn es sein muss, ja. Am liebsten nutze ich "WinSCP" wegen der schicken grafischen Oberfläche. Aber bei einigen Konsolenbefehlen streikt das Programm. Dann nutze ich Putty.
Verfasst: Mo 22 Feb, 2010 23:22
von Captain
Sich mit "root" einzuloggen ist eine kleine Schwachstelle. Besser wäre es sich einen neuen User anzulegen, der keine Rechte hat und dann mittels "su" in den root-mode zu wechseln. Aber das ist nur noch so eine kleine Anmerkung am Rande.
Die Basics hast du mit dem Passwortwechsel schonmal gemacht.
Schau mal, ob das morgen auch noch auftritt mit dem FTP-Log.
Verfasst: Mo 22 Feb, 2010 23:30
von Rechtsteufel
Erstmal Danke für die bisherige Hilfe