vServer angegriffen

[Bauergiesen]

Hmm - immer wieder das Gleiche mit Server, welche nichtmals semi-professionell administiert werden.

 

[asdfman]

Da du scheinbar von IT-Sicherheit im Linuxbereich keine Ahnung hast kann ich dir nur empfehlen den Server von deinem Provider komplett neu aufsetzen zu lassen.

Ihn dann kündigen und erstmal lernen, wie das geht, wäre der sofort folgende nächste Schritt.

 

[wedge47]

ok es scheint hier abzugleiten. ich danke für die nützlichen kommentare. Da die Quelle des Fehlers noch nicht gefunden wurde halte ich es für unfair mir zu unterstellen, mich nicht um die Sicherheit gekümmert zu haben.

 

[IceMatrix]

Da die Quelle des Fehlers noch nicht gefunden wurde halte ich es für unfair mir zu unterstellen, mich nicht um die Sicherheit gekümmert zu haben.

Hat hier kein Mensch so unterstellt. Aber dass du kein Fachmann für Linux-Server bist ist wohl kaum von der Hand zu weisen. Alles Weitere wäre nur Rumstochern im Kartoffelbrei mit zweifelhaftem Ergebnis.

 

[wedge47]

An was machst du das fest? Weil der Server gehackt wurde? Fachmann ist immer so ein schwammiger begriff. Ich beschäftige mich schon ein paar Jahre damit, würde mich also nicht als Neuling bezeichnen. Ich werde den Server sicher neu aufsetzen aber kündigen werde ich bestimmt nicht.

Ich habe mich wirklich mit dem absichern des Servers befasst und er läuft ja auch schon ein paar Jahre ohne Probleme. Is halt dumm gelaufen und ich wünsche es auch keinem. Hilfreich wären halt noch zusätzliche Tips. Ich hab mich seinerzeit gern an Tim Bormann und natürlich die debian, apache doku gehalten. Was würde denn hier noch dazu kommen?

- ssh Port > 20000
- root login ist verboten
- key login
- sudo
- nur die nötigsten dienste apache, mysql, vsftp, mail, teamspeak
- chrooted user, port>20000 und SFTP für ftp
- aktuelle patches

Will nicht nach Links betteln aber lehne sie auch nicht ab

 

[asdfman]

- ssh Port > 20000

Effekt nicht vorhanden. Portscan, kennste?

- root login ist verboten

Effekt nicht vorhanden, weil:

- sudo

Man benötigt ja gar keinen Rootlogin, wenn man dieses Sicherheitsunterwanderungstool benutzt.

- key login

Aber offensichtlich nicht ausschließlich

- nur die nötigsten dienste ... mysql

mysql von außen erreichbar? Bitte was?

€:
Außerdem vermute ich, da der Angreifer als www-data unterwegs war, dass du irgend eine Tür-Und-Tor-Webapplikation
eingesetzt hast. Vielleicht sowas wie Wordpress oder noch schlimmer. Offen wie ein Scheunentor und Sicherheit interessiert
die Entwickler einen Dreck. Immer Advisories lesen und die entsprechenden Mailinglisten abonniert haben.

 

[wedge47]

stimmt mysql ist natürlich nur localhost

 

[IceMatrix]

Will nicht nach Links betteln aber lehne sie auch nicht ab

Wenn du für so grundlegende Dinge schon nach Links fragst, dann schließt es "Fachmann" schonmal aus. Als solcher weiss man nämlich wie das funktioniert.

Auf der Liste fehlt außerdem:
- Firewall
- Jeder Dienst als eigener User
- FTP/vsftpd ist ein no-go
- Sichere Webapplications
- Sichere Einstellungen für alle Dienste
- Passwort-Authentifizerung für SSH komplett deaktivieren -> key login only.

Ein Laie kann nach meiner Einschätzung aber gar nicht beurteilen was eine sichere Einstellung ist, bzw. er kennt die Sicherheitsfunktionen auch nicht. In den Manuals zu den entsprechenden Diensten steht sowas meistens nur am Rande erwähnt.

 

[asdfman]

- FTP/vsftpd ist ein no-go

Vor allem ist es überflüssig, wenn man sshd laufen hat.

 

[dMopp]

Überflüssig? FTP? Naja jeh nach Anwendungszweck kann mans net mit ssh ersetzten... (Public Zugriff ohne ne verkappte extra Anwendung die wieder ne Tür öffnet...)

In seinem Fall vermute ich einfach nen Fehler in eine eingesetzten Webanwendung für den er VERMUTLICH NICHTS kann.

Jag doch mal nen rootkit scan drüber und lass clamav einmal rödeln... schaden tuts sicher nicht.

 

[ekin06]

Mal lastlog probiert?

 

[asdfman]

In seinem Fall vermute ich einfach nen Fehler in eine eingesetzten Webanwendung für den er VERMUTLICH NICHTS kann.

Unwahrscheinlich, dass da jemand gezielt ihn für die Ausnutzung einer noch unbekannten Lücke ausgesucht hat. Ansonsten gibt es mit Sicherheit Advisories dazu, die er nicht gelesen hat. Also kann er doch was dafür.

Jag doch mal nen rootkit scan drüber und lass clamav einmal rödeln... schaden tuts sicher nicht.

Und wenn die nichts finden ist er um wieviel schlauer? Genau: Gar nicht.

 

[dMopp]

Und wenn die was finden ist er es.. Willst du hier maulen oder helfen ?

 

[BasCom]

Vor allem ist es überflüssig, wenn man sshd laufen hat.

schon mal große daten ueber sftp transferiert? das geht im zuckelmodus.
selbstverständlich sind hier noch einige mehr möglichkeiten drin. z.B. sshd über deny.hosts regeln oder mit iptables alle ip bereiche sperren, ausser jenen deines providers und und und.

Der Möglichkeitentopf ist da noch nicht ausgeschöpft. Wobei das ganze natuerlich nichts bringt, wenn das system bereits kompromittiert ist. also ran an den speck,
neu aufgesetzt und dann abgesichert.

 

[asdfman]

schon mal große daten ueber sftp transferiert? das geht im zuckelmodus.

scp lastet bei mir die Leitung voll aus. Und wenn FTP einen Geschwindigkeitsvorteil hätte, wäre mir der nicht wert, mich in Untersuchungshaft wiederzufinden.

 

[BasCom]

wer redet hier von untersuchungshaft o.ä. ? doch nur du? daran kann man ja lesen, was du so transferierst. und auch ftp lassen sich mti zertifikaten verschlüsseln.

 

[asdfman]

Nein es geht nicht darum, was ich transferiere. Sondern darum, dass jeder die Passwörter mitlesen kann
und dann strafrechtlich relevante dinge tun kann. FTP zu benutzen ist falsch. Wer es tut ist selbst schuld.

Und ein gültiges Zertifikat, das tatsächlich (unter Umständen) Sicherheit bietet, kostet einen haufen Geld
und es gibt immer noch genug Stricke, an denen man sich dabei aufhängen kann.

Sicherzustellen, dass ein SSL-Zertifikat tatsächlich gültig ist und überhaupt nützlich ist, ist fast ein Ding
der Unmöglichkeit. Ich empfehle hier auch diesen lustign (EDIT: schockierenden!) Vortrag:
http://mirror.fem-net.de/CCC/27C3/mp4-h264-HQ/27c3-4121-en-is_the_ssliverse_a_safe_place.mp4

SSH macht die Sache deutlich besser und einfacher und damit auch potentiell sicherer. Man klärt einmal
mit dem Admin ab, ob der Schlüsselfingerabdruck übereinstimmt und damit hat sich die Sache im Grunde.
Bei SSL im Gegensatz dazu... Himmel bewahre!

 

[wedge47]

Ich hab auch clamav und einen rootkitscanner drüber laufen lassen, da wurde nichts auffälliges gefunden. Im lastlog war damals auch nichts zu sehen. Aber wer Zugriff hat könnte sicher auch dort seine Spuren verwischen.

Nach der Analyse von einigen error und access logs im apache hab ich gesehen, dass geziehlt nach Applikationen gesucht wurde. Sehr interessante Liste die da durchprobiert wurde.

Letztlich war es eine injection im phpmyadmin. Um es den Spöttern vorweg zu nehmen: Ja meine Schuld. Da hatte ich wohl länger kein Update gemacht. Wie schon gesagt kann ich nicht sagen an welchen Stellen im System noch Unfug getrieben wurde, deshalb wird das System auch neu aufgesetzt.

 

[BasCom]

nunja, ich denke am ende jeder. wie er mag. ich persönlich z.b. mag nicht so egrne ueber all n stick mitm schlüssel rumschleppen, weil ich auch oft von anderen orten zugriff haben möchte. je nach situation, denke ich. ausserdem verlege ich sachen immer

 

[asdfman]

Am Ende muss natürlich jeder selbst wissen, wie er das handhaben möchte. Ich wollte nur mal deutlich sagen,
dass es nicht reicht, sich einfach ein Zertifikat zu besorgen und schon ist man sicher.

Wenn jeder Benutzer den Administrator kennt und ihn unproblematisch kontaktieren kann, falls sich der Schlüssel
geändert hat, ist das Prinzip von SSH halt meiner Meinung nach deutlich effektiver.

Natürlich hat SSL absolut seine Berechtigung, aber es ist sehr viel komplizierter, da durchzusteigen.