[HaBo]

theo · 21.06.05, 20:11

moinz zusammen,

wir haben ein kleines problem ... chen mit unserem einen server. gestern wurde er zum ersten mal geknackt und alle daten und logs geloescht. seit heute laeuft der gute wieder nur versuchen derzeit permanent zweie, wieder einen zugang zu bekommen.

das ding is eigentlich unser testserver fuer webprojekte. jetzt haben wir aber keinen bock, jeden tag das ding neu aufzusetzen. was laesst sich an der stelle machen?

hardy

ps: wie sie gestern reingekommen sind koennen wir leider auch nicht sagen, da sie ihrer spuren sehr gruendlich "verwischt" haben. der server is ein apache 2.0.49 und darauf laeuft ein php 5.0.4 und eine mysql 4.0.18 db.

Voodoo · 21.06.05, 20:47

Poste doch bitte mal en paar Logs von den neuen Zugriffsversuchen, so ohne weiteres ist das fast unmöglich zu beantworten.

Achso, und die weitere Software-Konfiguration des Servers wäre auch nicht schlecht.

Anzeige

- Anzeige -

CaNNaBis · 21.06.05, 20:49

Wie versuchen die zwei denn Zugang zu der Kiste zu bekommen?
Warum hängt ein Testserver im Internet?
Habt ihr schonmal drüber nachgedacht, ne Firewall oder ähnliches vor den Rechner zu hängen?
Wie wäre es, wenn ihr aktuelle Versionen von der von dir aufgezählten Software benutzt? Apache 2.0.54 und MySQL 4.1.12 ...

Ohne mehr Informationen kann man hier nur spekulieren ...

theo · 21.06.05, 21:15

suuuper sache! da war schon wieder einer von uns clever und hat die logs gekickt.

auf jeden fall haben die typen ueber ssh versucht und wir haben jetzt eine firewall, die das meiste verhindern sollte.
die software werden wir in den naechsten tagen auch noch erneuern.

warum der im netz haengt? wir brauchten einen server, auf dem wir projekte unter "echt-bedingungen" testen konnten. hat sich beim arbeiten als einigermassen sinnvoll erwiesen.
davon mal ganz ab hab ich kleinere scripts und projekte auf dem ding laufen lassen, die auch fuer andere erreichbar sein sollten.
und dann hatte er den namen "testserver" auch daher, weil wir die phase5 von php dor zum test laufenlassen haben.

meine sorge is nun, dass wieder jemand das ding leerraeumen koennte. kann man nicht den einen server zum schein "angreifen", um schwachstellen dicht zu machen bevor die anderen dadurch eindringen koennen?

**Elderan** · 21.06.05, 21:49

Hallo,
kleiner Grundplan:
-PC formatieren, um Backdoor _sicher_ zu löschen
- Firewall installieren die erstmal alle Anfragen von außen Blockt. Am besten Hardwarefirewall.
- Dann Update von Betriebssystem
- Neuste Version vom Webserver etc. installieren

Danach:
-Am besten Router bzw. Hardwarefirewall vor dem Rechner stellen, und dort nur den Port für HTTP, FTP, SSH freigeben. Also nur die, die man _dringend_ braucht.
-Sichere, d.h. alphanumerische Passwörter mit >10 Zeichen benutzen.
-Evt. Webanwendungen überprüfen => PHP Interpreter+Apache nicht als root laufen lassen => PHP in Safe Mode stellen
-MySQL DB nur per _localhost_ erreichbar.

Und immer sicher:
Datensicherung auf einem nicht per Netzwerk ereichbarem Datenträger, also CD o.ä.

Evt. konnte ich helfen.
Sonst immer Logs sammeln wenn sie euch Angreifer. Sprich wie versuchen sie Reinzukommen?
Wenn sie Brute Force versuchen, also alle PW's testen, dann braucht man nur ein _gutes_ Passwort haben.
Evt. testen sie aber auch verschiedene Exploits (Ausnutzung von Programmierfehler), dann helfen nur Softwareupdates bzw. wechseln der Software.

Evt. könnte ihr ja auch mal die IP ändern, dann finden diese euch evt. nicht mehr

theo · 21.06.05, 22:02

hi elderan,

den kleinen "grundplan" haben wir schon weitgehend gemacht.

firewall is an und auch die von dir eimpfohlenen port nur frei.
wir haben nur kryptische pw auf dem server. allerdings <10 zeichen.
apache laeuft nicht als root. safe mode is aber nicht an.
mysql war uns is nur per localhost erreichbar.

einen backupspace haben wir hier leider nicht. is eben "nur" ein testserver.

auf die logs werden wir in den naechsten tagen mal verstaerkt achten. der eine angriff kam aus den staaten und die haben ja heute noch ne weile tag.

(der andere kam uebrigens aus dem baltikum ... riga oder in der naehe)

ip koennen wir nicht aendern. auf dem server haben wir nur eine. ausserdem steht das ding bei schlund und die scannen sicher einen ganzen adressbereich durch und da waere auch die naechste ip nicht weit.

kleine ergaenzung:
open ssl 0.9.7d is z.z. drauf

CaNNaBis · 22.06.05, 02:44

Am besten auch gleich den root Login über SSH abstellen. Genauso sollte der Login über SSH1 verboten werden. (Safety first

)

Protocol 2
PermitRootLogin no
Sowas in der Art sollte dann in die sshd_config.

Zum Rechner selber angreifen ... ich finde den LANguard Network Scanner nicht schlecht. Der sucht nach Schwachstellen und weisst einem den groben weg, was noch nicht so richtig läuft. Kannst es ja mal ausprobieren.

Viel Glück.

TFEAR · 22.06.05, 07:42

nessus ist auch ganz praktisch....

http://www.nessus.org/download/

theo · 22.06.05, 11:35

habt erstmal vielen dank. das hat schon ein ganzes stueck weitergeholfen.

Zitat:

Original von CaNNaBis
Am besten auch gleich den root Login über SSH abstellen. Genauso sollte der Login über SSH1 verboten werden. (Safety first

)

Protocol 2
PermitRootLogin no
Sowas in der Art sollte dann in die sshd_config.

das hatten wir schonmal auf einem server. der war dann aber auch gleich so safe, dass wir selber nicht mehr rangekommen sind. daher schreckt uns dieser schritt etwas.

CaNNaBis · 22.06.05, 13:21

Naja, man kommt dann halt nur noch mit einem SSH2 fähigen Client auf den Rechner. Und als root kann sich auch keiner mehr einloggen.
Ist in soweit sinnvoll, als dass sich auch ein Eindringling nicht als root einloggen kann. Und falls er doch einen anderen Login findet, kann er nicht wirklich viel anrichten, bzw. kann mit der spielerei um den root account wieder neu anfangen.

Ich würds mir überlegen. Eine möglichkeit von außen direkt an eine root shell zu kommen ist nie gut.

22.06.05, 18:07

@theo

Dafür gibts dann sudo.
Für Kisten die bei Schund und Partner stehen (egal wo) unabdingbar.
Ausserdem kannst du ja als "normaler" User zu root "su"en.

man sudo

Zudem solltest Du mal versuchen eine alte version von "portsentry" zu bekommen.
Der lässt sich schön dahin bringen zb auf vermehrte Loginversuche hin die IP für eine bestimmte zeit zu sperren etc.

Und dann noch hashsummen von den üblichen Programmfiles wie top, ps, find etc. ziehen und zuhause bunkern. Diese dann in regelmässigen abständen mal vergleichen.

mfg

22.06.05, 23:36

Zusätzlich kann man auch empfehlen, den Port für ssh zu ändern. Das wehrt die meisten dummen Brute-Force-Angriffe auf die ssh-Accounts ab. Nur bitte vorher den Port auch freigeben in der Firewall und danach den alten Port (ssh = port 22) sperren. Parallel dazu würde ich mal noch alle Dienste abschalten, die Ihr nicht braucht. Bei den meisten Linux-Distributionen laufen viele Dienste, die nicht essentiell sind und potenzielle Sicherheitslücken sein könnten.

MfG Rushjo

icealex · 23.06.05, 00:17

Wenn du noch einen alten Rechner übrig hast kannst du noch zusätzlich ein "gehärtetes" Linux als Firewall, davor schalten. An dieser Stelle wäre z.B Devil Linux zu nennen. Dabei handelt es ich um eine Linux distri, die für den gebrauch als Router und Firewall optimiert ist. Alternativ kannst du natürlich auch selber ein Linux härten, in dem du nur die nötigsten Module installierst und aller unnötigen Kernelparameter deaktivierst.

Ausserdem kann man noch über die Installation eines Honypots nachdenken. Dadurch wären Angreifer erstmal von deinen Prodkutivrechnern abgelenkt und für dich bietet sich die Möglichkeit die Schwachstelle in deiner Firewall mit etwas mehr Ruhe zu suchen.

another1 · 23.06.05, 15:27

passwort ändern nicht vergessen - am besten auch komplett andere usernames verwenden. die haben jetzt vermutlich die passwd! da sie ja schon die logs manipuliert haben, hatten sie schon die root-rechte.

ist der testrechner im inet-dns als testserver definiert - wäre auch besser einen dns-namen zu vergeben, welcher zu keinen rückschlüssen führt.

NeonZero · 23.06.05, 15:49

Bleibt noch zu erwähnen, daß der Server unbedingt in die DMZ gestellt werden sollte. Allerdings nur dann, wenn eure Firewall eine >>echte DMZ<< unterstützt, was bei einigen Home-Firewalls leider nicht der Fall ist. Diese verschlimmern die Situation leider beträchtlich, anstatt zu helfen. Mehr dazu hier: HaBo-wiki: DMZ

Bye, nz

Anzeige

- Anzeige -

21.06.05, 20:11	#1 (permalink)
theo Registriert seit: 21.06.05 Likes: 0	server unter staendigem "beschuss" Anzeige moinz zusammen, wir haben ein kleines problem ... chen mit unserem einen server. gestern wurde er zum ersten mal geknackt und alle daten und logs geloescht. seit heute laeuft der gute wieder nur versuchen derzeit permanent zweie, wieder einen zugang zu bekommen. das ding is eigentlich unser testserver fuer webprojekte. jetzt haben wir aber keinen bock, jeden tag das ding neu aufzusetzen. was laesst sich an der stelle machen? hardy ps: wie sie gestern reingekommen sind koennen wir leider auch nicht sagen, da sie ihrer spuren sehr gruendlich "verwischt" haben. der server is ein apache 2.0.49 und darauf laeuft ein php 5.0.4 und eine mysql 4.0.18 db.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
CS 1.6 Server unter Linux	nidda	Games	2	29.07.06 03:45
BF1942 Server unter Linux	Metallica	Linux/UNIX	4	14.05.04 17:17
DHCP Server unter RedHat	Master-Neo	Linux/UNIX	6	15.03.04 14:35
emule.de unter Beschuss von GRAVENREUTH	Rushjo	News & Ankündigungen	0	12.02.04 16:43
admin unter nt4 server	Tomdom	Windows	1	28.05.03 08:39

21.06.05, 20:47	#2 (permalink)
Voodoo Senior Member Registriert seit: 21.01.04 Likes: 0	Poste doch bitte mal en paar Logs von den neuen Zugriffsversuchen, so ohne weiteres ist das fast unmöglich zu beantworten. Achso, und die weitere Software-Konfiguration des Servers wäre auch nicht schlecht.

21.06.05, 20:49	#3 (permalink)
CaNNaBis gesperrt Registriert seit: 03.10.01 Likes: 0	Wie versuchen die zwei denn Zugang zu der Kiste zu bekommen? Warum hängt ein Testserver im Internet? Habt ihr schonmal drüber nachgedacht, ne Firewall oder ähnliches vor den Rechner zu hängen? Wie wäre es, wenn ihr aktuelle Versionen von der von dir aufgezählten Software benutzt? Apache 2.0.54 und MySQL 4.1.12 ... Ohne mehr Informationen kann man hier nur spekulieren ...

21.06.05, 21:15	#4 (permalink)
theo Themenstarter Registriert seit: 21.06.05 Likes: 0	suuuper sache! da war schon wieder einer von uns clever und hat die logs gekickt. auf jeden fall haben die typen ueber ssh versucht und wir haben jetzt eine firewall, die das meiste verhindern sollte. die software werden wir in den naechsten tagen auch noch erneuern. warum der im netz haengt? wir brauchten einen server, auf dem wir projekte unter "echt-bedingungen" testen konnten. hat sich beim arbeiten als einigermassen sinnvoll erwiesen. davon mal ganz ab hab ich kleinere scripts und projekte auf dem ding laufen lassen, die auch fuer andere erreichbar sein sollten. und dann hatte er den namen "testserver" auch daher, weil wir die phase5 von php dor zum test laufenlassen haben. meine sorge is nun, dass wieder jemand das ding leerraeumen koennte. kann man nicht den einen server zum schein "angreifen", um schwachstellen dicht zu machen bevor die anderen dadurch eindringen koennen?

21.06.05, 21:49	#5 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, kleiner Grundplan: -PC formatieren, um Backdoor _sicher_ zu löschen - Firewall installieren die erstmal alle Anfragen von außen Blockt. Am besten Hardwarefirewall. - Dann Update von Betriebssystem - Neuste Version vom Webserver etc. installieren Danach: -Am besten Router bzw. Hardwarefirewall vor dem Rechner stellen, und dort nur den Port für HTTP, FTP, SSH freigeben. Also nur die, die man _dringend_ braucht. -Sichere, d.h. alphanumerische Passwörter mit >10 Zeichen benutzen. -Evt. Webanwendungen überprüfen => PHP Interpreter+Apache nicht als root laufen lassen => PHP in Safe Mode stellen -MySQL DB nur per _localhost_ erreichbar. Und immer sicher: Datensicherung auf einem nicht per Netzwerk ereichbarem Datenträger, also CD o.ä. Evt. konnte ich helfen. Sonst immer Logs sammeln wenn sie euch Angreifer. Sprich wie versuchen sie Reinzukommen? Wenn sie Brute Force versuchen, also alle PW's testen, dann braucht man nur ein _gutes_ Passwort haben. Evt. testen sie aber auch verschiedene Exploits (Ausnutzung von Programmierfehler), dann helfen nur Softwareupdates bzw. wechseln der Software. Evt. könnte ihr ja auch mal die IP ändern, dann finden diese euch evt. nicht mehr

21.06.05, 22:02	#6 (permalink)
theo Themenstarter Registriert seit: 21.06.05 Likes: 0	hi elderan, den kleinen "grundplan" haben wir schon weitgehend gemacht. firewall is an und auch die von dir eimpfohlenen port nur frei. wir haben nur kryptische pw auf dem server. allerdings <10 zeichen. apache laeuft nicht als root. safe mode is aber nicht an. mysql war uns is nur per localhost erreichbar. einen backupspace haben wir hier leider nicht. is eben "nur" ein testserver. auf die logs werden wir in den naechsten tagen mal verstaerkt achten. der eine angriff kam aus den staaten und die haben ja heute noch ne weile tag. (der andere kam uebrigens aus dem baltikum ... riga oder in der naehe) ip koennen wir nicht aendern. auf dem server haben wir nur eine. ausserdem steht das ding bei schlund und die scannen sicher einen ganzen adressbereich durch und da waere auch die naechste ip nicht weit. kleine ergaenzung: open ssl 0.9.7d is z.z. drauf

22.06.05, 02:44	#7 (permalink)
CaNNaBis gesperrt Registriert seit: 03.10.01 Likes: 0	Am besten auch gleich den root Login über SSH abstellen. Genauso sollte der Login über SSH1 verboten werden. (Safety first ) Protocol 2 PermitRootLogin no Sowas in der Art sollte dann in die sshd_config. Zum Rechner selber angreifen ... ich finde den LANguard Network Scanner nicht schlecht. Der sucht nach Schwachstellen und weisst einem den groben weg, was noch nicht so richtig läuft. Kannst es ja mal ausprobieren. Viel Glück.

22.06.05, 07:42	#8 (permalink)
TFEAR Registriert seit: 23.07.04 Likes: 0	nessus ist auch ganz praktisch.... http://www.nessus.org/download/

22.06.05, 13:21	#10 (permalink)
CaNNaBis gesperrt Registriert seit: 03.10.01 Likes: 0	Naja, man kommt dann halt nur noch mit einem SSH2 fähigen Client auf den Rechner. Und als root kann sich auch keiner mehr einloggen. Ist in soweit sinnvoll, als dass sich auch ein Eindringling nicht als root einloggen kann. Und falls er doch einen anderen Login findet, kann er nicht wirklich viel anrichten, bzw. kann mit der spielerei um den root account wieder neu anfangen. Ich würds mir überlegen. Eine möglichkeit von außen direkt an eine root shell zu kommen ist nie gut.

22.06.05, 18:07	#11 (permalink)
Gulliver Guest Likes:	@theo Dafür gibts dann sudo. Für Kisten die bei Schund und Partner stehen (egal wo) unabdingbar. Ausserdem kannst du ja als "normaler" User zu root "su"en. man sudo Zudem solltest Du mal versuchen eine alte version von "portsentry" zu bekommen. Der lässt sich schön dahin bringen zb auf vermehrte Loginversuche hin die IP für eine bestimmte zeit zu sperren etc. Und dann noch hashsummen von den üblichen Programmfiles wie top, ps, find etc. ziehen und zuhause bunkern. Diese dann in regelmässigen abständen mal vergleichen. mfg

22.06.05, 23:36	#12 (permalink)
Rushjo Guest Likes:	Zusätzlich kann man auch empfehlen, den Port für ssh zu ändern. Das wehrt die meisten dummen Brute-Force-Angriffe auf die ssh-Accounts ab. Nur bitte vorher den Port auch freigeben in der Firewall und danach den alten Port (ssh = port 22) sperren. Parallel dazu würde ich mal noch alle Dienste abschalten, die Ihr nicht braucht. Bei den meisten Linux-Distributionen laufen viele Dienste, die nicht essentiell sind und potenzielle Sicherheitslücken sein könnten. MfG Rushjo

23.06.05, 00:17	#13 (permalink)
icealex Registriert seit: 08.06.05 Likes: 0	Wenn du noch einen alten Rechner übrig hast kannst du noch zusätzlich ein "gehärtetes" Linux als Firewall, davor schalten. An dieser Stelle wäre z.B Devil Linux zu nennen. Dabei handelt es ich um eine Linux distri, die für den gebrauch als Router und Firewall optimiert ist. Alternativ kannst du natürlich auch selber ein Linux härten, in dem du nur die nötigsten Module installierst und aller unnötigen Kernelparameter deaktivierst. Ausserdem kann man noch über die Installation eines Honypots nachdenken. Dadurch wären Angreifer erstmal von deinen Prodkutivrechnern abgelenkt und für dich bietet sich die Möglichkeit die Schwachstelle in deiner Firewall mit etwas mehr Ruhe zu suchen.

23.06.05, 15:27	#14 (permalink)
another1 Registriert seit: 23.06.05 Likes: 0	passwort ändern nicht vergessen - am besten auch komplett andere usernames verwenden. die haben jetzt vermutlich die passwd! da sie ja schon die logs manipuliert haben, hatten sie schon die root-rechte. ist der testrechner im inet-dns als testserver definiert - wäre auch besser einen dns-namen zu vergeben, welcher zu keinen rückschlüssen führt.

23.06.05, 15:49	#15 (permalink)
NeonZero Member of Honour Registriert seit: 29.01.05 Likes: 0	Bleibt noch zu erwähnen, daß der Server unbedingt in die DMZ gestellt werden sollte. Allerdings nur dann, wenn eure Firewall eine >>echte DMZ<< unterstützt, was bei einigen Home-Firewalls leider nicht der Fall ist. Diese verschlimmern die Situation leider beträchtlich, anstatt zu helfen. Mehr dazu hier: HaBo-wiki: DMZ Bye, nz

[HaBo]

server unter staendigem "beschuss"