Server kompromittiert - Teilbackup möglich?

peov

Moin, über Nacht ist mein Server unfreiwillig zum Warez Hoster geworden. Er ist über einen der Mailcow Container eingebrochen und hat sich damit root Zugriff auf dem Host verschafft. Selbst Schuld, Docker über Root laufen gelassen - Schwamm drüber, Server ist jetzt offline und unschädlich und nur noch via VNC erreichbar. Im Zuge dieses GAU möchte ich gerne den Server neu aufsetzen, da die jetzige Installation auch von mailcow als kompromittiert zu betrachten ist, wer weiß, welche settings alle geändert wurden. Eine Wiederherstellung aus einem Snapshot oder meines Backup Jobs kommt also nicht wirklich in Frage, da ich ja theoretisch alles neu aufsetzen muss. Nun die Frage: Kann ich irgendwie meine vorhandenen Postfächer/Mails so backuppen, dass ich sie danach in eine neue Mailcow Installation wiederherstellen kann? Ist dies hier https://mailcow.github.io/mailcow-dockerized-docs/u_e-backup_restore-maildir/ die richtige Vorgehensweise?

pkernstock

peov Er ist über einen der Mailcow Container eingebrochen und hat sich damit root Zugriff auf dem Host verschafft.

Ich wuerde diesbezueglich gerne mehr Informationen haben wollen. Woher die Annahme, dass dieser ueber einen mailcow Container eingebrochen ist? Wenn, dann muesste aber ebenfalls noch eine ziemlich alte Software-Version des jeweiligen Dienstes im Einsatz gewesen sein, die eine bekannte Sicherheitsluecke hatte und so ausgenutzt wurde.

peov vorhandenen Postfächer/Mails so backuppen, dass ich sie danach in eine neue Mailcow Installation wiederherstellen kann?

Hierzu wuerde ich eher die “Backup” Methode vorschlagen: https://mailcow.github.io/mailcow-dockerized-docs/b_n_r_backup/. Oder gibt es konkrete Gruende, wodurch du dich alleinig auf maildir-backup/restore beziehst?

peov

Moin,
die Annahme daher, dass der SSH Zugang per 2FA, fail2ban etc. vernuenftig abgesichert ist, Zugang nur via privatekey und Google Auth token moeglich. Selbst wenn jemand den Privatekey von meinem PC kopiert haette, haette ich den Login Attempt via Google Auth mitbekommen.

Eine veraltete Softwareversion ist moeglich, ich habe zuletzt vor ca. 1,5 Monaten die komplette Installation aktualisiert. Nach dem Zugriff auf einen Container wurde die sshd config angepasst, empty root passwords erlaubt und das root passwd auf leer geaendert, und der auth mechanism auf password gestellt. So hat sich der Angreifer einen Dauerzugang ermoeglicht.

Da ich nicht ohne weiteres feststellen kann, was alles veraendert und infiltriert wurde, wuerde ich gerne nur die Bewegungsdaten, also Mail, Postfaecher, etc., nicht aber irgendwelche Settings oder gar ganze Container sichern. Anschliessend den Server platt machen und komplett neu aufsetzen, mit Docker rootless.

diekuh

Klar, ist über nen Container rein und hat das System kompromittiert.

Der hat einfach Postfix oder Dovecot mit einer 0day Lücke geknackt und ist dann aus dem Container ausgebrochen. Auch mit einem 0day Docker Exploit.

Ich würde sagen, dass du irgendwas grundlegend falsch gemacht hast und dir unbedingt Gedanken machen solltest, was das gewesen sein könnte.

KEIN Dienst, der exposed ist, läuft als root. Keiner. Jetzt muss da also einer kommen, den Dienst knacken (wow, das wäre schon ne kräftige Lücke), muss root werden und dann noch aus dem Container ausbrechen.

Ich denke, das ist ziemlich gewagt.

Ich sage nicht, dass solche Dinge absolut unmöglich sind, das wäre bescheuert. Aber deine Erklärung dafür ist noch schlimmer. “Die anderen Sachen habe ich selber aufgesetzt, das kann also nicht sein”.

Was bringt dir Key Auth, TFA und Co., wenn du IRGENDWO Mist konfigurierst? Gar nichts. Einfach nichts. Es reicht schon ein blödes WP Plugin und - zumindest dein Webroot - ist verseucht. Nur als Beispiel. Irgendein Observium oder Nagios Plugin falsch konfiguriert: Problem. Das sind nur Beispiele, bitte nicht daran hochziehen. 🙂

Ich habe größten Zweifel, dass jemand in einen Container eingebrochen und dann einfach mal dort ausgebrochen ist. Das wäre unglaublich krass.

peov

Moin @diekuh ,
gerne kann ich meine komplette Config zur Verfügung stellen, und Sie sagen mir wo ich Mist gebaut habe, kein Problem. Per SSH und VNC sind die einzigen Möglichkeiten auf das System zu kommen, garantiert mir zumindest Contabo, oder es war einer der Admins dort. Außer Mailcow Dockerized gemäß Dokumentation und fail2ban ist auf dem Server nichts nachträglich installiert.

Ich hab nirgends rumgebasht oder unterstellt, dass das Tool kacke gewartet wird, sondern lediglich um nen Ratschlag gebeten wie man hier intelligent die Daten migrieren kann. Und hab sogar gesagt, dass es meine Schuld ist, dass der compromised wurde, wenn ich a) Docker als Root laufen lasse und b) nicht automatisiert täglich nach Updates prüfe.
Wenn auch meine These vielleicht gewagt ist, erschließt sich meinem Idiotenhirn aber auch nach mehreren Stunden durchforsten einfach nicht, welches meiner Configs (entweder sshd_config oder fail2ban? Wobei fail2ban ja an sich kein Einfallstor öffnen kann) das Einfallstor geöffnet hat. Hat ja auch fast anderthalb Jahre ohne Probleme gehalten. Vielleicht können Sie mich da mit Ihrer Weisheit erleuchten.

Also, um zu der ursprünglichen Frage zurück zu kommen: Wenn mein Server höchstwahrscheinlich kompromittiert ist, wie kriege ich meine Mails, Postfächer etc. in eine neue Instanz migriert, ohne irgendwelche Configs oder nachträglich vorgenommene Anpassungen mit zu übernehmen (weil ich nicht weiß, was der Angreifer damit angestellt hat)?

MAGIC

@peov
Wie @pkernstock schon gesagt hat, kannst du mit dem Backupscript auch nur den vmail Ordner backuppen und wieder einspielen.
Alternativ wenn du die Mails lokal auf dem PC hast wieder hochsyncen mit einem neuen Konto.

peov

Gute Nacht allerseits,

nach einem langen Tag ist jetzt soweit alles erledigt, backup/restore der Mails hat geklappt mit vmail backup, ich musste die Postfächer und Zugänge und Domain Settings natürlich neu anlegen, aber danach ist alles in den Postfächern aufgetaucht. Sehr nice! SSH Zugang ist jetzt auch wieder mit deaktiviertem Root abgesichert, 2FA hab ich erstmal raus gelassen, die werde ich in einer Sandbox Umgebung nochmal gründlich pentesten bevor ich das wieder implementiere. Vielleicht hat das google-auth libpam auch Macken…
Viele Grüße und eine gute Nacht 🙂