# ssh zugriff funktioniert nicht



## Sigix (9. Jan. 2012)

Hallo Luete habe ein Problem:

seit kurzem kann ich mich nicht mehr via ssh auf meinem Debian Server (6.0.3) verbinden!

im auth.log steht folgendes
DNS lookup failed for "x.x.x.x"
WARNING: Failed to allocate pty

habe schon versucht /dev/pts neu zu mounten bringt keine lösung!

Kann mir da wer weiter helfen????

danke im Voraus!


----------



## Till (9. Jan. 2012)

installier mal das debian paket rkhunter:

apt-get install rkhunter

und dann scan mal das system nach rootkits:

rkhunter --update
rkhunter -c


----------



## Sigix (9. Jan. 2012)

Hallo,...

anbei das log! (habe es gekürzt)

[17:16:47]
[17:16:47] Performing Linux specific checks
[17:16:47] Info: Starting test name 'os_specific'
[17:16:47] Checking loaded kernel modules [ OK ]
[17:16:47] Info: Using modules pathname of '/lib/modules/2.6.32-5-amd64'
[17:16:48] Checking kernel module names [ OK ]
[17:16:52]
[17:16:52] Checking the network...
[17:16:52] Info: Starting test name 'network'
[17:16:52] Info: Starting test name 'ports'
[17:16:52]
[17:16:52] Performing check for backdoor ports
[17:16:52] Checking for TCP port 1524 [ Not found ]
[17:16:52] Checking for TCP port 1984 [ Not found ]
[17:16:52] Checking for UDP port 2001 [ Not found ]
[17:16:52] Checking for TCP port 2006 [ Not found ]
[17:16:52] Checking for TCP port 2128 [ Not found ]
[17:16:52] Checking for TCP port 6666 [ Not found ]
[17:16:52] Checking for TCP port 6667 [ Not found ]
[17:16:52] Checking for TCP port 6668 [ Not found ]
[17:16:53] Checking for TCP port 6669 [ Not found ]
[17:16:53] Checking for TCP port 7000 [ Not found ]
[17:16:53] Checking for TCP port 13000 [ Not found ]
[17:16:53] Checking for TCP port 14856 [ Not found ]
[17:16:53] Checking for TCP port 25000 [ Not found ]
[17:16:53] Checking for TCP port 29812 [ Not found ]
[17:16:53] Checking for TCP port 31337 [ Not found ]
[17:16:53] Checking for TCP port 32982 [ Not found ]
[17:16:53] Checking for TCP port 33369 [ Not found ]
[17:16:53] Checking for TCP port 47107 [ Not found ]
[17:16:53] Checking for TCP port 47018 [ Not found ]
[17:16:53] Checking for TCP port 60922 [ Not found ]
[17:16:53] Checking for TCP port 62883 [ Not found ]
[17:16:53] Checking for TCP port 65535 [ Not found ]
[17:16:53]
[17:16:53] Performing checks on the network interfaces
[17:16:53] Info: Starting test name 'promisc'
[17:16:53] Checking for promiscuous interfaces [ None found ]
[17:16:53]
[17:16:53] Info: Test 'packet_cap_apps' disabled at users request.
[17:16:55]
[17:16:55] Checking the local host...
[17:16:55] Info: Starting test name 'local_host'
[17:16:55]
[17:16:55] Performing system boot checks
[17:16:55] Info: Starting test name 'startup_files'
[17:16:55] Checking for local host name [ Found ]
[17:16:55] Info: Starting test name 'startup_malware'
[17:16:55] Checking for system startup files [ Found ]
[17:16:56] Checking system startup files for malware [ None found ]
[17:16:56]
[17:16:56] Performing group and account checks
[17:16:56] Info: Starting test name 'group_accounts'
[17:16:56] Checking for passwd file [ Found ]
[17:16:56] Info: Found password file: /etc/passwd
[17:16:56] Checking for root equivalent (UID 0) accounts [ None found ]
[17:16:56] Info: Found shadow file: /etc/shadow
[17:16:56] Checking for passwordless accounts [ None found ]
[17:16:56] Info: Starting test name 'passwd_changes'
[17:16:56] Checking for passwd file changes [ None found ]
[17:16:56] Info: Starting test name 'group_changes'
[17:16:56] Checking for group file changes [ None found ]
[17:16:56] Checking root account shell history files [ OK ]
[17:16:56]
[17:16:56] Performing system configuration file checks
[17:16:56] Info: Starting test name 'system_configs'
[17:16:56] Checking for SSH configuration file [ Found ]
[17:16:56] Info: Found SSH configuration file: /etc/ssh/sshd_config
[17:16:56] Info: Rkhunter option ALLOW_SSH_ROOT_USER set to 'no'.
[17:16:56] Info: Rkhunter option ALLOW_SSH_PROT_V1 set to '0'.
[17:16:56] Checking if SSH root access is allowed [ Warning ]
[17:16:56] Warning: The SSH and rkhunter configuration options should be the same:
[17:16:56] SSH configuration option 'PermitRootLogin': yes
[17:16:56] Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
[17:16:56] Checking if SSH protocol v1 is allowed [ Not allowed ]
[17:16:56] Checking for running syslog daemon [ Found ]
[17:16:56] Checking for syslog configuration file [ Found ]
[17:16:56] Info: Found syslog configuration file: /etc/rsyslog.conf
[17:16:56] Checking if syslog remote logging is allowed [ Not allowed ]
[17:16:56]
[17:16:56] Performing filesystem checks
[17:16:56] Info: Starting test name 'filesystem'
[17:16:56] Info: SCAN_MODE_DEV set to 'THOROUGH'
[17:16:56] Checking /dev for suspicious file types [ None found ]
[17:16:56] Checking for hidden files and directories [ Warning ]
[17:16:56] Warning: Hidden directory found: /dev/.udev
[17:16:56] Warning: Hidden directory found: /dev/.initramfs
[17:17:06]
[17:17:06] Info: Test 'apps' disabled at users request.
[17:17:06]
[17:17:06] System checks summary
[17:17:06] =====================
[17:17:06]
[17:17:06] File properties checks...
[17:17:06] Files checked: 131
[17:17:06] Suspect files: 8
[17:17:06]
[17:17:06] Rootkit checks...
[17:17:06] Rootkits checked : 250
[17:17:06] Possible rootkits: 8
[17:17:06] Rootkit names : cb Rootkit, SHV4 Rootkit, SHV5 Rootkit, SHV5 Rootkit, SHV5 Rootkit, SHV5 Rootkit, SHV5 Rootkit, Possible SHV5 Rootkit
[17:17:06]
[17:17:06] Applications checks...
[17:17:06] All checks skipped
[17:17:06]
[17:17:06] The system checks took: 51 seconds
[17:17:07]
[17:17:07] Info: End date is Mon Jän 9 17:17:07 CET 2012

Wurde ich gehackt???
Weiters habe ich soeben versucht den ssh-server neu zu installieren ohne erfolg.... die host_keys können nicht erstellt werden!

Was kann ich jetzt machen??


----------



## Till (9. Jan. 2012)

> Wurde ich gehackt???


Ja, würde ich davon ausgehen.



> Was kann ich jetzt machen??


Ich würde die Daten der Webseiten, Datenbanken etc. sichern und dann den Server komplett neu installieren. Besser wäre es natürlich noch, wenn Du die Webseiten daten etc. von einem backup nehmen könntest das in einem Zeitraum erstellt wurde bevor der Server gehackt war.

Eine Bereinigung des Systems ohne Neuinstallation ist sehr schwer und Du wüsstest nie ob Du auch alles gefunden hast.


----------



## Sigix (9. Jan. 2012)

Uff,.... naja wenn nichts anderes übrig bleibt werde ich das machen!

Wie kann ich mich dagegen schützen - gehackt zu werden?????

Habe derzeit eine HW-Firewall am laufen,....
soll ich eine Software Firewall auch installieren???

AntiVirus etc.????

auf dem Server laufen
Versionsverwaltung (svn)
Webseiten
Datenbank


----------



## Till (9. Jan. 2012)

Die meisten Server werden durch Sicherheitslücken in Webseiten bzw. CMS Systemen gehackt. Dagegen hilft Dir eine die normale Firewall nur sehr bedingt. Wichtige Punkte sind meiner Meinung nach:

1) Regelmäßig alle aktuellen Linux Updates einspielen.
2) Webseiten möglichst sicher betreiben, also z.B. in ISPConfig 3 im Modus php-fcgi mit suexec, so dass jede Webseite unter einem eignen User läuft. Nicht benötigte Funktionen welche die Ausführung von Programmen erlauben wie exec, system, shellexec etc. in PHP deaktivieren (nur für den webserver, nicht für cli, sonst geht ISPConfig nicht mehr).
3) Suhosin für php aktivieren.
4) Ein Apache Sicherheitsmodul wie mod_security kann einige Angriffe abfangen, insbesondere auch sql injection.
5) Nur wirklich notwendige Funktionen in den Webs aktivieren.


----------



## F4RR3LL (10. Jan. 2012)

Nr 6.... vernünftigen Code in den Webseiten nutzen, sonst sind 1-5 komplett wirkungslos


----------



## Sigix (10. Jan. 2012)

Hallo,...habe jetzt soweit das System neu aufgesetzt und die Datenbank eingespielt jedoch kann ich mich jetzt mit meinen anderen Usern nicht in die Datenbank einloggen

Kommt immer:
Access denied for user 'my-user'@'localhost' (using password: YES)

root funktioniert ohne Probleme!

Muss ich die mysql-user neu anlegen?
Oder was muss ich da machen???


----------

