Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
"One of the servers had only one user (dedicated server), used strong passwords, didn’t allow remote root logins, used custom ports and fail2ban to prevent brute-force attack. Nonetheless it was hacked within one month and its administrator couldn’t find sings of the intrusion in logs files, only legitimate logins (of course, with root access, it is possible to remove most traces)."
Holy crap! Wie zur Hölle ist das denn da rein gekommen? Da würde ich ja schon fast einen gezielten Angriff vermuten (physischer Zugriff auf den Server oder so), aber da es wohl die gleiche Malware wie auf tausenden anderen Servern ist...
Scheint auf jeden Fall astrein programmiert zu sein, das Teil. Krass.
edit:
The rogue Apache modules have the same timestamp as the rest legitimate modules
Da hatte einer wirklich ein gutes Auge für Details.
edit²:
User-Agent should not contain strings specific to search engines’ bots, automated tools (e.g. Curl, Indy Library) and browsers that the attackers are not interested in (Opera Mini, browsers on Macs, iPhones, PlayStations).
Wäre noch interessant zu erfahren, welche Daemons auf den infizierten Servern liefen, um so auf den Angriffsvektor schließen zu können. Linux ist bei weitem nicht sicher, aber es lässt sich sicherer machen. Wie sicher und ob sicher genug, tja, das erfährt man erst, wenn man gehackt wurde...
Eben es muss erst mal herausgefunden werden was die Lücke ist. Ohne diese zu kennen kann man nichts fixen. Ich hoffe mal das es schnell geht da bei uns doch recht viel Traffic auftaucht.
Ich verstehe nicht wie man es zulassen kann das Systemkritische Server von (ausgeklügelter) Malware befallen werden.
Ich meine es ist doch recht simpel ein Apache Server brauchbar abzusichern:
Man nehme: Einen Host mit aktuellem OS, Patches, SPs und aktueller Apache Version.
Das Root-Dateisystem ist auf einer SSD mit physikalischem Read-Only Switch.
Einen zweiten Host, der die Berechtigung hat schreibend auf alle Benutzer Verzeichnisse des ersten Host zuzugreifen.
Dieser scannt in regelmäßigen Abständen z.B. per NFS die Prüfsummen der Binaries, Benutzercontent und Konfigs. Wenn jemand manipuliert wird die betroffene Datei vom zweiten Host einfach ersetzt und somit jegliche Manipulation entfernt.
Dem Hacker hilft es also rein gar nichts, selbst wenn er root-Rechte auf dem Server hat, denn das Root-FS ist read only, daran kann er nichts ändern ohne den Server vor Ort zu öffnen und alle Benutzerverzeichnisse werden regelmäßig mit sha1sum oder ähnlichen Tools über NFS gescannt und bei Bedarf die Dateien ersetzt.
Nichtmal den Scan kann der Hacker unterbinden, da aufgrund des Read-Only FS es ihm nicht möglich ist z.B. den NFS Server zu killen oder zu ersetzen oder die Netzwerkrouten zu ändern etc.
Und da verstehe ich wirklich nicht wie es passieren kann, dass trotz einfachster Sicherungsmaßnahmen eine so große Zahl an (prominenten) Servern kompromittiert werden kann. Ich kanns ja verstehen wenn es die vServer Kiste vom Gaming-XY-Clan erwischt, aber nicht das aktuelle Szenario.
