Linux Server befallen!

[Fireball89]

Hallo,

ich habe ein großes Problem mit unserem Root bei Server4you. Er wurde gesperrt, da er angeblich Teil-Angreifer einer DDoS-Attacke war. D.h. wir müssten uns ein Rootkit eingefangen haben. Also bietet uns Server4you nun an den Server neu aufzusetzen, aber falls das ganze nochmal passiert, gibts Ärger ... fristlose Kündigung usw.
Wie können wir unseren Server am besten schützen? Momentan kennen wir die Sicherheitslücke noch nicht mal.

 

[Turbostaat]

AW: Hilfe! Linux Server befallen!


Auch wenn es ein Rootserver ist - Server4you kann ja nicht die gesamte Verantwortung auf euch abwälzen. Für die Sicherheit ist Server4you ebenso verantwortlich wie ihr.
Hat denn Server4you euch keine Logfiles, Hinweise o.ä. gegeben?

Aber es hat schon seine Gründe weshalb die so günstig sind

 

[Sannyboy111985]

AW: Hilfe! Linux Server befallen!

Ich habe zwar keine Ahung wie man ein Root-Kit findet... aber ich habe 2 Ideen die helfen könnten.

Poste mal den Output von einem "ps -ef" und von einen "netstat -anp"
Damit können wir sehen was läuft und was auf den Ports lauscht.

Weiterhin wäre gut zu wissen, was alles auf der Maschine laufen soll und wofür sie gedacht ist.

Ich dachte bisher immer, dass die Leute die den Root betreiben selber für die Sicherheit verantwortlich sind und nicht der bei dem er steht.In dem Fall hat S4U ja wohl nicht die vollmacht darüber. Bei einem Managet Server wäre die Lage genau anders herum.

 

[kenen]

AW: Hilfe! Linux Server befallen!

Auch wenn es ein Rootserver ist - Server4you kann ja nicht die gesamte Verantwortung auf euch abwälzen. Für die Sicherheit ist Server4you ebenso verantwortlich wie ihr.
Hat denn Server4you euch keine Logfiles, Hinweise o.ä. gegeben?

Aber es hat schon seine Gründe weshalb die so günstig sind

1. Natürlich kann Server4You die Verantwortung auf euch abwälzen. Server4You muss nur gesetzliche Pflichten einhalten, die Server4You mit der Abschaltung auch einhält. Das Server4You die Server abschalten darf, damit hat sich der Kunde mit der Zustimmung der AGB einverstanden erklärt.
2. Wenn Server4You auf die Server zugreifen würde, handelt Server4You, auch wenn es Server4You via AGB gestattet ist, in einer rechtlichen Grauzone, d.h. es ist sehr unwahrscheinlich, dass Server4You Aufzeichnungen, die Server4You vom Kundenserver gesammelt hat, weitergibt.
3. Server4You kann also (siehe Punkt 2) höchstens externe Hinweise geben, die bei einem DDOS seltenst Rückschlüsse auf eingesetzte Malware erlauben.

Hallo,

ich habe ein großes Problem mit unserem Root bei Server4you. Er wurde gesperrt, da er angeblich Teil-Angreifer einer DDoS-Attacke war. D.h. wir müssten uns ein Rootkit eingefangen haben. Also bietet uns Server4you nun an den Server neu aufzusetzen, aber falls das ganze nochmal passiert, gibts Ärger ... fristlose Kündigung usw.
Wie können wir unseren Server am besten schützen? Momentan kennen wir die Sicherheitslücke noch nicht mal.

1. Allgemeine Absicherungen, d.h. z.B. SSH auf IP-Ranges beschränkt, Zugang nur via Public-Key etc. pp.
2. Regelmäßig updaten, insb. z.B. Mailinglisten abonnieren die über Lücken in verwendeter Software informieren.
3. Der Server sollte aufjedenfall neuinstalliert werden, auch wenn die Quelle des Übels gefunden wurde, denn man weiß nie, was wann wie wo und warum ersetzt wurde.
4. Lasst euch, wenn möglich ein Image der HDD vom Server geben um eine lokale Analyse durchzuführen.

Ich habe zwar keine Ahung wie man ein Root-Kit findet... aber ich habe 2 Ideen die helfen könnten.

Poste mal den Output von einem "ps -ef" und von einen "netstat -anp"
Damit können wir sehen was läuft und was auf den Ports lauscht.

Weiterhin wäre gut zu wissen, was alles auf der Maschine laufen soll und wofür sie gedacht ist.

Ich dachte bisher immer, dass die Leute die den Root betreiben selber für die Sicherheit verantwortlich sind und nicht der bei dem er steht.In dem Fall hat S4U ja wohl nicht die vollmacht darüber. Bei einem Managet Server wäre die Lage genau anders herum.

Es gibt verschiedene Tools um Rootkits zu finden, natürlich ist auch dies kein Allerheilmittel, so gibt es natürlich verschiedene Levels von Rootkits, die auch damit nicht gefunden werden können (z.B. sobald es Richtung Virtualization / Firmware geht). Zur Analyse empfiehlt sich z.B. der Einsatz von z.B. chkrootkit (weitere Tools lassen sich z.B. über den Paketmanager finden: Suchebegriff offensichtlich: "rootkit").


Was natürlich nicht ungesagt bleiben darf: Selfschuld, denn Server im Netz sind kein Spielzeug.

 

[El Präsidente]

AW: Hilfe! Linux Server befallen!

Das beste was du machen kannst, richte deine iptables config so ein, dass du nur die Ports freischaltest die du benötigst und auch nutzt.

WEBPort... Gameserverports... FTP ports... und nicht zu vergessen SSH Port. Den Rest kannst du solange er nicht genutzt wird getrost sperren.


Und poste mal die Ausgabe von
netstat --tcp -a -n

LG
Tim


PS: Wo ist Serv4you günstig ?

 

[Anon 460869]

AW: Hilfe! Linux Server befallen!

Nabend,

wenn das Wissen/Können fehlt (nicht böse gemeint!), um regelmäßig Sicherheitsupdates etc. einzuspielen, eventuell auf ein Managed System zurückgreifen, kostet aber natürlich auch mehr ...

Viel Glück bei der Problemlösung!

Gruß
Mezzi

 

[Revolution]

Lag mit sicherheit am Passwort ohne jetzt groß das System zu kennen.

Auch wenn es ein Rootserver ist - Server4you kann ja nicht die gesamte Verantwortung auf euch abwälzen. Für die Sicherheit ist Server4you ebenso verantwortlich wie ihr.

Jo da hat wer ahnung. Wenn es sich hier wirklich um nen root handelt hat Server4you gar nix mit der Sicherheit zu tun. Wäre ja noch schöner wenn außer den Admins da noch dritte rumpfuschen. Zudem haben die im Normalfall keinen zugang mehr zum Betriebsystem.

@Fireball89
Ich glaub euch ist nicht ganz bewusst was Root Server bedeutet? Der Server hängt 24 Stunden 7 Tage mit ner dicken 100 MBit Leitung unter der gleichen IP im Internet da ist keine Firwall dazwischen keine Sichertssperen vom Provider der Server ist wenn ihr den nicht sicher Konfiguriert komplett ungeschützt. Und Weboberflächen sind definiv keine art nen Server zu Administrieren nicht mal ansatzweise.

Schaut das ihr aus dem Vertrag rauskommt und zwar schnell das was ihr da bekommen habt war ein warnschuss denn wenn euer Server nochmal gekapert wird und zufällig den Falschen Server angreift kann das so richtig teuer für euch werden. Denn wenn der Betreiber dadurch ausfälle oder sonst welche Aufwände hat kann der durchaus auf euch zukommen und Schadensersatz fordern. Das kann sich schon recht schnell in bereiche von 10.000€ und mehr aufschwingen je nachdem wie wichtig das System war. Vor gericht ist nämlich der Betreiber des Servers also ihr haftbar.

Das beste was du machen kannst, richte deine iptables config so ein, dass du nur die Ports freischaltest die du benötigst und auch nutzt.

Gerade die IPTables sache ist für ungeübte auf nem Produktiv System zu dem man keinen Hardware zugriff hat etwas schwierig den ein Fehler und draußen bist du. Aber grunsätzlich das man iptabels configurieren sollte hast du natürlich recht.

 

[Fireball89]

Erstmal ein großes Danke für die ganzen Posts!
Also natürlich sind wir für die Sicherheit verantwortlich (steht auch in den AGBs)

@Revolution:
Danke, ich weiss was ein Root ist. Ich hab halt nur eben von Linux wenig Ahnung. Ausserdem wird der Server nicht per Weboberfläche, sondern per SSH konfiguriert.
Wir wollen eh bei Server4you weg und woanders hin wechseln. Aber bis November 2009 geht der Vetrag eben noch.

@Mezzi:
Preis ist schon wichtig, managed Server kommt net in Frage.

Ok, ich liste nunmal alle Maßnahmen auf, die ich nach der Neuinstallation durchführen werden:
1. Einmal wöchentlich mit chkrootkit scannen
2. Nicht benötigte Ports blocken
3. Regelmäßige Software Updates (wo bekomme ich diese Mailinglisten?)

Der Server wird wahrscheinlich nächste Woche neuinstalliert. Bis dahin würde ich hier noch gern weitere Vorschläge sammeln, wie ich den Root sicher mache.

Was läuft auf dem Root?
- mehrere CoD4 Server
- FTP
- SSH
- Apache
- phpBB v3
- Teamspeak

 

[Revolution]

Danke, ich weiss was ein Root ist.

Im Wikipedia sin bin ich mir da sicher aber bei der Verantwortung glaub ichs eher ned.

- Ausserdem wird der Server nicht per Weboberfläche, sondern per SSH konfiguriert.[/QUOTE]
Glaub mir das rechne ich dir wirklich sehr postiv an

Ich hab halt nur eben von Linux wenig Ahnung.

Dann lass es doch bitte! Installiere dir einen Server zuhause und wenn du den richtig unter Kontrolle hast geh damit ins Web. Du hast das mit dem Rechtlichen teil schon gelesen ich schreib das nicht zum Spaß ich hab schon zwei Angriff auf Server die ich betreue durch die kamen auch von gekaperten kisten wie deine derzeit. Was soll ich sagen sowhl gegen den 16 Jährigen als auch 40 Jährigen Server besitzer habe ich meine ansüruche durchbekommen. Warn zwar keine 10k aber es war trotzdem nicht wenig.

Aber bis November 2009 geht der Vetrag eben noch.

Das schaut das ihr aus dem Vertag rauskommt war nicht so gemeint das ihr euch bei nem anderen Anbieter wieder nen root holt. Damit meine ich holt euch nen Managed Server oder eines der Vielen angebote für Administrierte Game Server.

Und by the Wa kommt nicht auf die Idee nen Windows Server zu holen nen Windows Server zu administrien und sicher zu halten ist mindestens genauso schwer wie nen Linux wenn nicht sogar schwerer und die erfahrungen die du auf deinem Heim PC gesammelt hast kannst du bei der Server Version komplett vergessen.


So und jetzt mal zu deinem Sicherheitskonzept

1. Einmal wöchentlich mit chkrootkit scannen

Ok aber hab ich auf keinem meiner Server drauf denn wenn man da was findet ist es eh schon zu spät

2. Nicht benötigte Ports blocken

Ist ok wobei offene Ports meißtens nicht so das große Problem sind die haben nen schlechteren ruf als es wirklich ist trotzdem dichtmachen.

3. Regelmäßige Software Updates (wo bekomme ich diese Mailinglisten?)

-_- Falsche baustelle Update haben rein gar nix mit Mailinglisten zu tun google ist dein Freund.

Was läuft auf dem Root?
- mehrere CoD4 Server
- FTP
- SSH
- Apache
- phpBB v3
- Teamspeak

Sher schön auf meinem Rechner läuft das gleiche gut das es von jedem Programme nur eine Version gibt -_- und das Betriebsystem egal ist.

(und bitte tu mir den gefallen sagen nicht es läuft Linux 11)

 

[Fireball89]

Eins gleich vorweg: Ich bin um hier dazu zu lernen!

(und bitte tu mir den gefallen sagen nicht es läuft Linux 11)

Sry, aber das hätteste dir echt sparen können. Man kann sich nicht überall 100%ig auskennen.

Und hätte mir jemand gesagt, dass er die Namen der benutzten Programme und des OS braucht, hätte ich das auch gepostet. Ich wollte erstmal nen generellen Überblick verschaffen wofür der Server da ist.

Ok, es wär wahrscheinlich cleverer gewesen erstmal klein anzufangen (mit nem Homeserver), aber nun ists passiert und ich brauche Hilfe. Deswegen wäre ich für neutrale Tipps dankbar.

Und was meintest du mit "lag mit Sicherheit am Passwort"? Falls du das root-pw meinst: Das war sicher.

//edit:

-_- Falsche baustelle Update haben rein gar nix mit Mailinglisten zu tun google ist dein Freund.

dann nochmal zum mitschreiben: Mailinglisten -> etwas über Sicherheitslücken erfahren -> Updates machen, wenn verfügbar

 

[chinamaschiene]

zu den sicherheitslücken: kuck dir bugtraq mal an

 

[Revolution]

Und hätte mir jemand gesagt, dass er die Namen der benutzten Programme und des OS braucht, hätte ich das auch gepostet. Ich wollte erstmal nen generellen Überblick verschaffen wofür der Server da ist.

Zwischen Apache 1 und Apache 2 sind halt nun mal welten von der Konfiguration her das ist in etwas geanu so als ob du Windows sagst von 3.11 bis Windows 7 kann hier auch alles sein.

Ok, es wär wahrscheinlich cleverer gewesen erstmal klein anzufangen (mit nem Homeserver), aber nun ists passiert und ich brauche Hilfe.

Deswegen auch hier immer noch mein Rat wenn ihr im November wieder vom vertrag wegkommt holt euch keinen root.

Deswegen wäre ich für neutrale Tipps dankbar.

Server Administriert man nicht mit Tipps. Du hast 6 Programme aufgezählt jedes dieses Programme hat sicherheitslücken und Schwachstellen. Die Programme konfugriert man über die conf daten dann so das man die Schwachstellen aumerzt und versucht sicherheitslücken zu durch ne relativ strikte konfig zu schliesen. Dann hast du PHP z.B. auch ganz vergessen das ist auf webservern meistens die Sicherheitlüche schlecht hin.

Für meinen letzen Webserver den ich konfiguriert hab hab ich kanpp zwei Tage an Arbeit hingelegt, um nen sicheren Server zu bekommen reichen Tips einfach nicht das ist wirklich arbeit mitunter auch einer der Gründe warum hier so gut wie keiner wirklich konkrete tipps gibt.

Und was meintest du mit "lag mit Sicherheit am Passwort"? Falls du das root-pw meinst: Das war sicher.

Nicht nur man kann auch mit anderen Usern und Weboberflächen schon so einiges auf nen Webserver einschäusen.

dann nochmal zum mitschreiben: Mailinglisten -> etwas über Sicherheitslücken erfahren -> Updates machen, wenn verfügbar

Mailinglisten ich kann mir nicht hlefen aber das ist und bleibt für mich immer so ein Meidum der IT Pioniere bin zwar auch in ein paar aber all zu viel halte ich davon einfach nicht. In deinem Fall sind eher die Updates wichtig wenn's nicht gerade ein Suse ist kannst du das mit apt-update und apt-upgrade aktuallisieren, wenns Suse ist hab ich auswenig keinen blassen schwimmer warscheinlich irgendwie über yast2. Sicherheitslüchen zu Stopfen die noch nicht dicht sind ist meinstens relativ schwierig. Aber nochmal der Hinweis nur updates mcahen einen Server nicht sicher.

 

[Fireball89]

Naja, dann lassen wir das hier.
Werd mich woanders weiterbilden.

Danke für alle Tipps!