Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

[axel]

Hi,

heute morgen hab ich in meinen Emails zwei vom Kimsufi-Support gefunden:

1.

Spoiler

Guten Tag,

Ihr Server SERVER_NAME wurde in den 'Rescue' Modus versetzt, um weitere Probleme zu verhindern.

Unter folgender Adresse finden Sie eine Hilfe, um Sie bei der Durchführung der notwendigen Wartungs-Operationen zu unterstützen:

Sie müssen registriert sein, um Links zu sehen.

Zögern Sie nicht, den Support zu kontaktieren, damit die Situation nicht kritisch wird.

Hier die von unserem System aufgeführten Logs, die zu diesem Alarm geführt
haben:

- BEGINN DER ZUSATZINFORMATIONEN -

Attack detail : 5K scans
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.186:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.163:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.168:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.169:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.155:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.196:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.187:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.200:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.177:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.79.205.241:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.188:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.174:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.197:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.183:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.185:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.79.198.152:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.195:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.194:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.178:2222 TCP SYN 60 SCAN:SYN
2016.04.30 05:22:35 CEST SERVER_IP:7432 45.113.161.180:2222 TCP SYN 60 SCAN:SYN



- ENDE DER ZUSATZINFORMATIONEN -


Mit freundlichen Grüßen,

Ihr Kimsufi.com Support

Kontakt:

Sie müssen registriert sein, um Links zu sehen.

Montag - Freitag: 9:00 - 20:00

Und Nr.2:

Spoiler

Guten Tag,

auf Ihrem Server SERVER_NAME wurden unnormale Aktivitäten festgestellt.

Zögern Sie nicht, den Support zu kontaktieren, damit die Situation nicht kritisch wird.

Hier die von unserem System aufgeführten Logs, die zu diesem Alarm geführt
haben:

- BEGINN DER ZUSATZINFORMATIONEN -

Attack detail : 4K scans
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2016.04.29 23:19:34 CEST SERVER_IP:44337 70.37.241.139:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:50355 70.37.240.249:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:37623 70.37.241.250:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:37251 70.37.241.251:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:41301 70.37.247.151:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:39867 70.37.240.148:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:40198 70.37.240.133:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:41257 70.37.240.163:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:55973 70.37.249.0:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:40181 70.37.247.140:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:50412 70.37.247.144:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:60648 70.37.240.49:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:33150 70.37.242.61:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:33349 70.37.247.68:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:41659 70.37.242.155:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:54158 70.37.247.53:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:33066 70.37.242.39:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:50436 70.37.240.82:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:49791 70.37.249.66:2222 TCP SYN 60 SCAN:SYN
2016.04.29 23:19:34 CEST SERVER_IP:51085 70.37.247.80:2222 TCP SYN 60 SCAN:SYN



- ENDE DER ZUSATZINFORMATIONEN -


Mit freundlichen Grüßen,

Ihr Kimsufi.com Support

Kontakt:

Sie müssen registriert sein, um Links zu sehen.

Montag - Freitag: 9:00 - 20:00

Super, der Server war dann im Rescue-Mode, musste den "Hack" dann bestätigen und konnte wieder normal von HDD booten.

Hatte das schon mal jemand?

Gruß

 

[DarkStarXxX]

AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

Waren halt Portscanner unterwegs.
Ist nichts ungewöhnliches.
Normal nimmt man dafür Fail2ban und dann sind die IP's nach wenigen Sekunden gesperrt.

 

[axel]

AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

Hi,

Schon klar. Ich hab fail2ban jetzt mal in den Einstellungen "verschärft"...

Aber das die die Kiste direkt in Rescue booten ist neu zumindest für mich(?).

4k + 5k Scans^^, schon ne Hausnummer.

Gruß

Gesendet über 38 Ecken ☝

 

[DarkStarXxX]

AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

Das mit dem Rescue wurde dort schon immer so gemacht.
Also keine Panik

 

[GTD Bastion]

AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

Hast du den SSH auf Port 2222 lliegen?
Ich hab den absichtlich in die High Port Range gelegt...

 

[axel]

AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

Hi,

nein alle Ports (SSH, Oscam...) sind im 5-stelligen Bereich, wenn der Server durchgestartet ist.

Gruß

 

[axel]

AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

So,

und wieder "Anti-Hack", >4k Scans. Langsam werde ich stinkig.

Nun kann ich den Server nicht mal mehr normal von HDD booten.

Ticket ist offen, mal sehen wie lange das dauert.

Gruß

 

[maxdata755]

AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

@axfa77

Kann das auch bestätigen das in solchen Dingen die Server in den Rescue gesetzt werden,
kenne das aber nur bei Kimsufi so wo ich mittlerweile nicht mehr bin.

Dein Server scheint gefragt zu sein Spass muss sein.

cu

maxdata755

 

[axel]

AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

Hi,

richtig ist ein Kimsufi.

Dein Server scheint gefragt zu sein Spass muss sein.

Ja, das waren Scans aus Korea...

Ich habe die Kiste soeben neu aufgesetzt, werde jetzt diese Adresskreise (Korea etc.) in der Firewall pauschal sperren.

Später noch das Backup zurückspielen, dann ist hoffentlich wieder alles gut!

Gruß

 

[jensebub]

AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

hi, so Exoten sperre ich eh schon vorm zug aus

Gruß
jensebub

 

[axel]

AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

Für alle die interessiert wie ich das sperre:

Spoiler

#Block APNIC LACNIC
APNIC=(
"1.0.0.0/8"
"14.0.0.0/8"
"27.0.0.0/8"
"36.0.0.0/8"
"39.0.0.0/8"
"42.0.0.0/8"
"49.0.0.0/8"
"58.0.0.0/8"
"59.0.0.0/8"
"60.0.0.0/8"
"61.0.0.0/8"
"101.0.0.0/8"
"103.0.0.0/8"
"106.0.0.0/8"
"110.0.0.0/8"
"111.0.0.0/8"
"112.0.0.0/8"
"113.0.0.0/8"
"114.0.0.0/8"
"115.0.0.0/8"
"116.0.0.0/8"
"117.0.0.0/8"
"118.0.0.0/8"
"119.0.0.0/8"
"120.0.0.0/8"
"121.0.0.0/8"
"122.0.0.0/8"
"123.0.0.0/8"
"124.0.0.0/8"
"125.0.0.0/8"
"126.0.0.0/8"
"175.0.0.0/8"
"180.0.0.0/8"
"182.0.0.0/8"
"183.0.0.0/8"
"202.0.0.0/8"
"203.0.0.0/8"
"210.0.0.0/8"
"211.0.0.0/8"
"218.0.0.0/8"
"219.0.0.0/8"
"220.0.0.0/8"
"221.0.0.0/8"
"222.0.0.0/8"
"223.0.0.0/8"
"43.0.0.0/8"
"133.0.0.0/8"
"150.0.0.0/8"
"153.0.0.0/8"
"163.0.0.0/8"
"171.0.0.0/8"
"177.0.0.0/8"
"179.0.0.0/8"
"181.0.0.0/8"
"186.0.0.0/8"
"187.0.0.0/8"
"189.0.0.0/8"
"190.0.0.0/8"
"200.0.0.0/8"
"201.0.0.0/8"
)
for blockapnic in ${APNIC
[*]}
do
$iptables -A INPUT --source $blockapnic -j DROP
done

^^Das rot markierte war übrigens der Adressbereich von den "Korea-Lümmels". :emoticon-0105-wink:

Gruß

Edit: Danke an @T1x dafür, von ihm abgeguckt

 

[krikssus]

AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

bin gespannt bis es die nächsten von uns trifft
daweil bin ich noch verschont. Aber schon bedenklich dass da soviele Versuche stattfinden.

Naja so bleibt man wenigestens in übung was den verschlüsselten Server aufsetzen betrifft.

 

[axel]

AW: Angeblicher Hack des Servers (Kimsufi) und Versetzung in Rescue-Modus

Mahlzeit,

UPDATE: Läuft wieder, und zwar astrein!

Gruß