Ich habe einen VPS, auf dem nur der Wowza-Medienserver installiert ist. Ich habe von meinem VPS-Administrator einen Bericht erhalten, dass mein VPS SPAM versendet, indem es andere Server über SSH angreift. Ich habe keine Ahnung, was der Grund dafür sein könnte.
Ich verwende ein MAC-Terminal, um auf meinen VPS zuzugreifen. Ist es ein Virus? Ist mein Passwort kompromittiert? Wie finde ich das heraus?
Details vom VPS-Administrator: „Es handelt sich nicht um Spam im Sinne von Spam-E-Mails, sondern um Spam von SSH-Konsolenverbindungen. Der Server wurde von einem Bot verwendet, um zu versuchen, per SSH eine Verbindung zu verschiedenen Geräten auf der ganzen Welt herzustellen.“
Antwort1
Sie meinten also doch nicht, dass Spam (unerwünschte kommerzielle E-Mails) versendet wurde? Sie meinten, dass versucht wurde, per SSH auf andere Systeme zuzugreifen. Bitte bearbeiten Sie Ihre Frage, um das klarzustellen, da es sich völlig von dem unterscheidet, was Sie geschrieben haben.
Zurück zum Thema:Ihr Server ist kompromittiert. Du brauchsttrennen Sie es sofortund herausfindenWiedas ist passiert. Es gibt zwei mögliche Ursachen:
- Anfällige, ungepatchte Dienste laufen
- Das SSH-Passwort ist schwach und wurde entweder erraten oder mit Brute Force erzwungen. Außerdem haben Sie Root-Anmeldungen über SSH zugelassen.
Letzteres lässt sich möglicherweise leicht ermitteln, indem man in den Systemprotokollen nach Einträgen von SSH sucht oder möglicherweise einfach den lastBefehl verwendet (beides setzt voraus, dass der Angreifer nicht vorsichtig ist und versucht, seine Spuren zu verwischen).