Wurde gerade darüber informiert, dass über die IP von einem meiner v-server Kreditkartenbetrug begangen wurde.

Die Maschine wurde umgehend vom Internet getrennt und in Quarantäne verschoben.
Von der betroffenen Maschine wird ein Snapshot erstellt welcher dann untersucht wird. Anschließend wird die Maschine heruntergefahren.

Alle meiner v-server in diesem Netzwerksegment wurden ebenfalls bis auf weiteres heruntergefahren da diese nur Testsysteme hosten.

Die Untersuchung ist nun abgeschlossen.
Leider ließ sich der Tathergang nicht mehr vollständig nachvollziehen.
Das lag einerseits an bereits gelöschten Logdateien (logrotate) und andererseits daran, dass die vorhandenen Spuren keine komplette Rekonstruktion des Vorfalles zulassen.

Gefunden und wiederhergestellt wurden gelöschte Systemdateien im Konfigurationsordner der Datenbanksoftware.

Die Firewall Regeln haben globalen Zugriff auf den Port der Datenbank und des SSH Servers erlaubt.

Part 1

Der folgende Teil ist eine Vermutung basierend auf den gefunden Indizien und meiner Erinnerung.

Als ich den Datenbankserver ausgesetzt habe, habe ich fahrlässig und im Stress ein unsicheres Passwort zur Authentifizierung an der Datenbank verwendet. Zu dem Zeitpunkt dachte ich mir, das ist nur ein kurzlebiger Test und auf der Maschine befinden sich keinerlei sensible Daten. Es kam wie es kommen musste und ein dringender Anruf verlangte meine Anwesenheit an einem anderen Ort.

Part 2

Es vergingen mehrere Tage bis ich die Installation endlich abgesichert habe.
Ich vermute in genau diesem Zeitraum der Angriff geschah. Die verwendete Version der Datenbanksoftware enthielt in diesem Zeitraum einen Fehler der authentifizieren Angreifern Remote Code Execution erlaubt.
Dies und das Vorhandensein der gelöschten Systemdateien im Konfigurationsverzeichnis veranlasst mich zu der Mutmaßung, dass dies der ausgenutzte Angriffsvektor war.

Part 3

Follow

Nun zu meinem Fazit und den daraus gezogenen Lehren.

Ich habe fahrlässig und dumm gehandelt als ich das Testsystem ungesichert mit dem Internet verbunden habe.

Selbst die kürzeste Exposition eines verwundbaren Systems kann zu dessen Kompromittierung führen.

Nie wieder soll mir so ein Fehler unterlaufen. Ich werde mir in Zukunft immer die Zeit dafür nehmen ein System abzusichern, egal wie stressig die Situation gerade ist.

Am Ende bin ich froh, dass nicht mehr Schaden entstanden ist.

Part 4

Sign in to participate in the conversation
chaos.social

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!