PDA

Visualizza Versione Completa : Aiuto!! "Unknown from"



Gioele
07-09-2016, 04:07 PM
Salve, ho in possesso un server teamspeak.. ieri sono entrati delle persone nel mio ts, all'inizio non ho fatto molto caso, perchè ho pensato fossero stati amici di altra gente presente appunto nel ts, solo che ad un certo punto, hanno iniziato a darsi permessi come "Server admin" ed a kickare e bannare tutte le persone all'interno.. ho notato che nella chat generale del ts, i permessi venivano dati da un certo "unknown from IP:PORTA", praticamente nella chat risultava questo: "NOME" was kicked from the server by "unkown from IP:PORTA", "NOME" was added to server group "Server Admin" by "unknown from IP:PORTA".

Ho da poco aggiunto l'ip che appariva, nella "query_blacklist.txt".. (spero questo migliori le cose)

Sapete dirmi per favore come mai sono riusciti a fare una cosa simile? ho qualche permesso settato male?

Ah.. dimenticavo, ho anche già cambiato più di una volta la password di accesso al query.
AIUTO PER FAVORE!!
Grazie, attendo risposte.
Salve

Kaos
08-09-2016, 01:00 PM
Ciao,
quel caso si verifica quando l'azione è intrapresa tramite (admin) server query, è probabile che abbiano fatto privilege escalation, controlla inoltre che non ci siano altri utenti oltre al "serveradmin" del quale solo te conosci la password (usane di generate random).
Curiosità, che versione del server hai attualmente installata?
Kaos

Gioele
08-09-2016, 02:08 PM
Ciao,
quel caso si verifica quando l'azione è intrapresa tramite (admin) server query, è probabile che abbiano fatto privilege escalation, controlla inoltre che non ci siano altri utenti oltre al "serveradmin" del quale solo te conosci la password (usane di generate random).
Curiosità, che versione del server hai attualmente installata?
Kaos

Salve, grazie per la risposta.
Attualmente nel mio server è installata la versione 3.0.13.3 su Linux.
Quindi, scusi la mia ignoranza, se è possibile risolvere, sa dirmi cosa potrei fare?
Grazie mille.

Kaos
08-09-2016, 11:25 PM
Per prima cosa controlla quanti utenti hanno il gruppo "Admin Server Query".

Gioele
09-09-2016, 02:03 PM
Per prima cosa controlla quanti utenti hanno il gruppo "Admin Server Query".

Ok, allora.. ho controllato tramite "yatqa" e risulta ci sia solo il mio ip con questo server group. Però ho notato che oltre al "Admin server query", ci sta anche "Guest server query" presumo sia normale, ma preferisco dirglielo (non si sa mai).
Fino a qui tutto a posto, se vuole anche degli screen per essere più sicuro, glie li faccio senza nessun problema.

Kaos
10-09-2016, 12:36 PM
Il guest server query è normale che ci sia.
In "Gestione Server Virtuale" abilita la raccolta log per tutte le voci, questo potrebbe aiutare in futuro. Carica su un sito di filesharing (mediafire, mega, dropbox, ecc.) la cartella compressa dei log del server e incolla qua (o a me via MP) il link di download.
Di tutti i gruppi server e canale controlla che i permessi i_group_member_add_power e i_group_needed_member_add_power non permettano di scalare i gruppi. Per quanto sembrerebbe proprio che da come l'hai descritto sia stato usato l'admin server query e niente di più.

Gioele
10-09-2016, 02:47 PM
Il guest server query è normale che ci sia.
In "Gestione Server Virtuale" abilita la raccolta log per tutte le voci, questo potrebbe aiutare in futuro. Carica su un sito di filesharing (mediafire, mega, dropbox, ecc.) la cartella compressa dei log del server e incolla qua (o a me via MP) il link di download.
Di tutti i gruppi server e canale controlla che i permessi i_group_member_add_power e i_group_needed_member_add_power non permettano di scalare i gruppi. Per quanto sembrerebbe proprio che da come l'hai descritto sia stato usato l'admin server query e niente di più.


Ok, allora ho svolto tutti i passaggi dei permessi che mi ha detto di fare, gli avevo attivi su quasi tutti i "group" che ho nel server.. Solo una piccola informazione, posso levare anche i "i_group_member_remove_power e i_group_needed_member_remove_power"? Ho solo un problema con i logs, cioè che quando mi hanno hackerato il server, io ho dovuto per forza resettare tramite "yatqa" con un backup, il server, perchè questi avevano modificato anche tutti i settaggi e avevano postato da tutte le parti l'IP del loro ts, quindi ho preferito formattare il tutto.. Perciò i logs ora sono completamente nuovi. Nel log che finisce con lo "0", continua ad uscire un'errore "Error opening file: No such file or directory", quindi mi dispiace se c'è casino. Poi se vede un'accesso tramite serveradmin con l'ip "95.232.137.234" sono io.

Questo è l'ip dei logs: http://www.mediafire.com/download/ww2lga1xstxsnoe/LOGS+TEAMSPEAK.rar

Grazie.

AGGIORNAMENTO ore 1:10 del 11/09/2016
Siccome io adesso entro nel mio server sempre con il "Show ServerQuery Clients", ho notato che sempre queste persone hanno appena fatto l'accesso al mio ts.. Nella stanza WELCOME c'era un "Unkown from IP:PORTA" ci ho cliccato sopra immediatamente e come descrizione c'era scritto "ServerQuery".. Però è rimasto dentro circa 20 secondi senza fare niente, probabilmente hanno tentato di darsi i permessi, ma presumo che grazie hai settaggi che mi ha dato lei, non sono riusciti (almeno spero sia così), ho controllato anche nei group "Admin Server Query, Server admin" e tutti gli altri tramite "yatqa" ma non ho rilevato niente con l'ip di questo ServerQuery. Ovviamente ho anche controllato nei "logs", ma non c'era nessuna scritta a riguardo di questo fatto.
L'ho inserito direttamente l'ip che ho visualizzato nella chat generale del server, nella "query_ip_blacklist.txt" per sicurezza.

Kaos
11-09-2016, 12:09 PM
Vedendo che stai rimuovendo tutti i needed mi sa che ti mancano proprio le basi...
Dai log hai rimosso i_client_needed_kick_from_server_power, perchè? Vuoi essere sicuro che i gruppi dove l'hai rimosso possano essere kickati da chiunque?
Anche in caso di ban viene controllato che i_client_ban_power sia > di i_client_needed_ban_power, rimuovendo il secondo qualsiasi i_client_ban_power (basta 1) sarà sempre maggiore e il ban sarà effettuato.

Alcuni serverquery potrebbero essere guest derivanti dai servizi di viewer come ts3index.com o tsviewer.com, non sono dannosi.

Gioele
11-09-2016, 02:00 PM
Vedendo che stai rimuovendo tutti i needed mi sa che ti mancano proprio le basi...
Dai log hai rimosso i_client_needed_kick_from_server_power, perchè? Vuoi essere sicuro che i gruppi dove l'hai rimosso possano essere kickati da chiunque?
Anche in caso di ban viene controllato che i_client_ban_power sia > di i_client_needed_ban_power, rimuovendo il secondo qualsiasi i_client_ban_power (basta 1) sarà sempre maggiore e il ban sarà effettuato.

Alcuni serverquery potrebbero essere guest derivanti dai servizi di viewer come ts3index.com o tsviewer.com, non sono dannosi.

Ah, eh si.. ho seguito una guida su internet per risolvere appunto questi kick e ban che facevano questi soggetti "i_client_needed_kick_from_server_power e i_client_needed_ban_power", ma evidentemente ho fatto solo un casino.. comunque ho rimesso com'erano prima i permessi. Grazie per avermelo fatto notare :)
Comunque per il serverquery il server ce l'ho solo collegato a ts3index.com, difatti quando sono in ts, vedo sempre un "unknown from" che entra per mezzo secondo e poi si disconnette, ma almeno so che è lui.. Ieri, prima che entrasse quel serverquery, era entrato una delle persone che aveva hackerato il server che successivamente quando è uscito si è connesso il "serverquery".. probabilmente da come ha detto lei, puoi essere qualche sito, ma nessun serverquery è rimasto collegato per più di 2 secondi nel server, la bandiera della nazionalità era identica alla nazionalità di quella persona cioè "Finlandia" e poi l'ip del query era nettamente diverso da quello che entra di solito (quasi ogni 5 minuti).. Ovviamente se sbaglio (quasi sicuramente) me lo dica senza nessun problema, fin che ho la possibilità di imparare da uno più esperto =).

Ho solo una domanda da farle:
Adesso che giustamente mi ha segnalato questa cosa dei "Needed" che ho risistemato subito (piccolo avviso: quando quelle persone erano entrare a kickare e bannare la gente, i permessi "needed" erano settati giustamente.. Solo dopo che ho provato a sistemare questa cosa ho combinato un casino), ci sarebbero altre cose per risolvere tutto questo? o era solo un problema di settaggi?

Kaos
12-09-2016, 12:43 PM
Quello dei needed è una delle possibili cause dalle quali può derivare un attacco di questo tipo.
Attenzione al fatto che se vedi scritto "issued: login with account "serveradmin"(serveradmin)" (sempre dai log) vuol dire che è stato effettuato il login con successo, quindi con una password corretta, se l'ip non è il tuo allora c'è sempre qualcuno con gli accessi amministrativi. Bannare gli ip malevoli inoltre non è per niente una soluzione, cambiare ip è la cosa più facile di questo mondo.

Gioele
12-09-2016, 02:41 PM
Quello dei needed è una delle possibili cause dalle quali può derivare un attacco di questo tipo.
Attenzione al fatto che se vedi scritto "issued: login with account "serveradmin"(serveradmin)" (sempre dai log) vuol dire che è stato effettuato il login con successo, quindi con una password corretta, se l'ip non è il tuo allora c'è sempre qualcuno con gli accessi amministrativi. Bannare gli ip malevoli inoltre non è per niente una soluzione, cambiare ip è la cosa più facile di questo mondo.

Ah ok, no comunque, da quando quelli sono entrati, nei logs non ho mai visto accessi al "serveradmin" se non con il mio IP.. comunque, se mi consiglia di cambiare IP, dovrei comprare un nuovo server da zero? O c'è qualche altra soluzione? (lo spero)
Grazie

Kaos
12-09-2016, 07:25 PM
Mi riferivo all'ip dell'attaccante. Cambiare quello del server è inutile.
Se nei log non c'è nessun login da parte loro e dopo aver cambiato i vari needed non sono più riusciti ad accedere con diritti amministrativi può darsi che sia stato risolto il problema.

Gioele
12-09-2016, 11:39 PM
Mi riferivo all'ip dell'attaccante. Cambiare quello del server è inutile.
Se nei log non c'è nessun login da parte loro e dopo aver cambiato i vari needed non sono più riusciti ad accedere con diritti amministrativi può darsi che sia stato risolto il problema.

Ah ok, la ringrazio.. Solo un'altra domanda:
Le chiedo per cortesia se può spiegarmi come appunto cambiare l'ip dell'attaccante, nel caso possa succedere di nuovo.. Così almeno sono già preparato.
Grazie mille

Kaos
13-09-2016, 11:00 AM
È l'attaccante che lo cambia e non sei te l'attaccante.

Gioele
13-09-2016, 07:10 PM
È l'attaccante che lo cambia e non sei te l'attaccante.

Perciò in poche parole, dopo aver sistemato i permessi, non si può fare più fare nient'altro? E se questi rientrano ancora e danno fastidio, la mia unica salvezza è comprare completamente un server nuovo?

Kaos
14-09-2016, 11:58 AM
Comprare un server non risolverebbe niente, si ripresenterebbe il problema col tempo. Piuttosto resettalo e non toccare nessun permesso, vedi se possono ancora fare qualcosa.
Parlando di server, non è che hanno la password al server stesso? I log con i login all'ssh cosa dicono? Controlla anche quello.

Gioele
14-09-2016, 03:12 PM
Comprare un server non risolverebbe niente, si ripresenterebbe il problema col tempo. Piuttosto resettalo e non toccare nessun permesso, vedi se possono ancora fare qualcosa.
Parlando di server, non è che hanno la password al server stesso? I log con i login all'ssh cosa dicono? Controlla anche quello.

Ah ok, comunque per l'accesso al server non ci ho proprio pensato.. adesso cambierò la password di accesso.
Sa dirmi per caso dove si trovano i log di accesso a ssh?

Kaos
14-09-2016, 10:58 PM
Dipende da che distribuzione linux è, solitamente in /var/log/auth (debian, ecc.) o /var/log/secure (redhat, ecc.).

Gioele
16-09-2016, 07:07 PM
Dipende da che distribuzione linux è, solitamente in /var/log/auth (debian, ecc.) o /var/log/secure (redhat, ecc.).

Ah ok, grazie mille.. Se provo ad inviarle anche questi log può capire se qualcuno a tentato o è riuscito ad entrare??
Ho notato guardando i log, queste stringhe con un ip totalmente sconosciuto che tentava l'accesso al root:
Sep 16 06:36:08 happycommunity sshd[3702]: Did not receive identification string from 109.195.84.192
Sep 16 06:36:08 happycommunity sshd[3703]: reverse mapping checking getaddrinfo for 109x195x84x192.static-business.spb.ertelecom.ru [109.195.84.192] failed - POSSIBLE BREAK-IN ATTEMPT!
Sep 16 06:36:08 happycommunity sshd[3703]: Invalid user 1234 from 109.195.84.192
Sep 16 06:36:08 happycommunity sshd[3703]: input_userauth_request: invalid user 1234 [preauth]
Sep 16 06:36:08 happycommunity sshd[3703]: pam_unix(sshd:auth): check pass; user unknown
Sep 16 06:36:08 happycommunity sshd[3703]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.195.84.192
Sep 16 06:36:10 happycommunity sshd[3703]: Failed password for invalid user 1234 from 109.195.84.192 port 65004 ssh2
Sep 16 06:36:10 happycommunity sshd[3703]: Connection closed by 109.195.84.192 [preauth]
Sep 16 06:36:10 happycommunity sshd[3705]: reverse mapping checking getaddrinfo for 109x195x84x192.static-business.spb.ertelecom.ru [109.195.84.192] failed - POSSIBLE BREAK-IN ATTEMPT!
Sep 16 06:36:10 happycommunity sshd[3705]: Invalid user PlcmSpIp from 109.195.84.192
Sep 16 06:36:10 happycommunity sshd[3705]: input_userauth_request: invalid user PlcmSpIp [preauth]
Sep 16 06:36:11 happycommunity sshd[3705]: pam_unix(sshd:auth): check pass; user unknown
Sep 16 06:36:11 happycommunity sshd[3705]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.195.84.192
Sep 16 06:36:12 happycommunity sshd[3705]: Failed password for invalid user PlcmSpIp from 109.195.84.192 port 49481 ssh2
Sep 16 06:36:12 happycommunity sshd[3705]: Connection closed by 109.195.84.192 [preauth]
Sep 16 06:36:13 happycommunity sshd[3707]: reverse mapping checking getaddrinfo for 109x195x84x192.static-business.spb.ertelecom.ru [109.195.84.192] failed - POSSIBLE BREAK-IN ATTEMPT!
Sep 16 06:36:13 happycommunity sshd[3707]: Invalid user user from 109.195.84.192
Sep 16 06:36:13 happycommunity sshd[3707]: input_userauth_request: invalid user user [preauth]
Sep 16 06:36:13 happycommunity sshd[3707]: pam_unix(sshd:auth): check pass; user unknown
Sep 16 06:36:13 happycommunity sshd[3707]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=109.195.84.192
Sep 16 06:36:15 happycommunity sshd[3707]: Failed password for invalid user user from 109.195.84.192 port 50318 ssh2
Sep 16 06:36:15 happycommunity sshd[3707]: Connection closed by 109.195.84.192 [preauth]

Non penso sono accessi che provengono dall'hosting, perchè se controllo su "IPFinder" questo ip, noto che la provenienza e dalla "Russia" capitale "Mosca"..
Comunque se vuole controllare le metto i log d'accesso:
http://www.mediafire.com/download/c34xdg2c385swq2/auth.log

Grazie per il supporto che mi sta offrendo =)

Kaos
18-09-2016, 03:17 PM
Non c'è niente di strano nei log, ci sono degli accepted password da parte tua per l'account root e basta. (oltre ad una miriade di tentativi bloccati, ma è normale essendo un server esposto in rete)



Line 12748: Sep 12 17:41:01 happycommunity sshd[15537]: Accepted password for root from 79.16.128.124 port 49470 ssh2
Line 18634: Sep 13 12:58:30 happycommunity sshd[17493]: Accepted password for root from 79.16.128.124 port 49281 ssh2
Line 23908: Sep 14 09:09:43 happycommunity sshd[20604]: Accepted password for root from 79.16.128.124 port 49365 ssh2
Line 23923: Sep 14 09:11:29 happycommunity sshd[20675]: Accepted password for root from 79.16.128.124 port 49419 ssh2
Line 24758: Sep 14 12:28:25 happycommunity sshd[26440]: Accepted password for root from 79.16.128.124 port 49346 ssh2
Line 24764: Sep 14 12:29:14 happycommunity sshd[26470]: Accepted password for root from 79.16.128.124 port 49353 ssh2
Line 24771: Sep 14 12:30:50 happycommunity sshd[26508]: Accepted password for root from 79.16.128.124 port 49428 ssh2
Line 32288: Sep 15 16:03:39 happycommunity sshd[10286]: Accepted password for root from 79.16.128.124 port 49347 ssh2
Line 37735: Sep 16 12:50:47 happycommunity sshd[14677]: Accepted password for root from 79.16.128.124 port 51389 ssh2
Line 37742: Sep 16 12:51:06 happycommunity sshd[14711]: Accepted password for root from 79.16.128.124 port 51394 ssh2


Probabile allora che sia nato tutto da una malconfigurazione di permessi di ts.

Gioele
19-09-2016, 04:09 PM
Non c'è niente di strano nei log, ci sono degli accepted password da parte tua per l'account root e basta. (oltre ad una miriade di tentativi bloccati, ma è normale essendo un server esposto in rete)



Line 12748: Sep 12 17:41:01 happycommunity sshd[15537]: Accepted password for root from 79.16.128.124 port 49470 ssh2
Line 18634: Sep 13 12:58:30 happycommunity sshd[17493]: Accepted password for root from 79.16.128.124 port 49281 ssh2
Line 23908: Sep 14 09:09:43 happycommunity sshd[20604]: Accepted password for root from 79.16.128.124 port 49365 ssh2
Line 23923: Sep 14 09:11:29 happycommunity sshd[20675]: Accepted password for root from 79.16.128.124 port 49419 ssh2
Line 24758: Sep 14 12:28:25 happycommunity sshd[26440]: Accepted password for root from 79.16.128.124 port 49346 ssh2
Line 24764: Sep 14 12:29:14 happycommunity sshd[26470]: Accepted password for root from 79.16.128.124 port 49353 ssh2
Line 24771: Sep 14 12:30:50 happycommunity sshd[26508]: Accepted password for root from 79.16.128.124 port 49428 ssh2
Line 32288: Sep 15 16:03:39 happycommunity sshd[10286]: Accepted password for root from 79.16.128.124 port 49347 ssh2
Line 37735: Sep 16 12:50:47 happycommunity sshd[14677]: Accepted password for root from 79.16.128.124 port 51389 ssh2
Line 37742: Sep 16 12:51:06 happycommunity sshd[14711]: Accepted password for root from 79.16.128.124 port 51394 ssh2


Probabile allora che sia nato tutto da una malconfigurazione di permessi di ts.

Ah va bene, Grazie mille per il supporto e soprattutto per la pazienza.. Nel caso possa ricapitare posso sempre chiedere qui?

Kaos
20-09-2016, 12:47 PM
Di nulla, se necessario il forum è sempre disponibile.