Hallo .)
Ich habe heute zu euch gefunden, weil mein Server Probleme macht. Ich weiß, um es vorwegzunehmen, man sollte eigentlich schon viel Wissen haben, bevor man einen Rootserver betreibt, doch hatte ich die ganze Zeit einen 'Server Administrator', der es vielleicht doch nicht so genau genommen hat mit der Sicherheit..
Erstmal die Daten des Servers, damit ihr euch ein Bild machen könnt:
Für Grafik hier klicken!
Alle Dienste zeigt er mir als 'Aktiv' an, beim 'Trojaner-Check' von ServerAdmin24 zeigt er keine auffälligen Dateien und auch im Portscan zeigt er mir offensichtlich nichts.
Gehe ich in ServerAdmin24 in den Menüpunkt 'Transfervolumen', so zeigt er mir den üblichen Traffic an, der eben so anfällt, von den Foren und Projekten. Der liegt allerdings im gesamten Dezember '06 bei nur 9 GB. Im Strato Kundencenter wird mir allerdings ein Traffic von 44,85 GB angezeigt. Der teilt sich auf in:
Eingehender IP-Traffic: 13,87 GByte
Ausgehender IP-Traffic: 30,98 GByte
Wie kommt dieser Traffic also nun zu stande? Ihr seht, der Server ist wohl nicht wirklich sicher und mit SuSe nicht gerade profihaft eingerichtet..
Wie kann ich sehen, für was mein Server da möglichweise 'missbraucht' wird? Ich werde jetzt erst einmal versuchen alle Projekte zu sichern, um dann neu installieren zu können - oder ist das nicht ratsam?
Ich fühle mich nun etwas alleingelassen, vielleicht findet sich jemand, der mir eine kleine Einführung geben kann und mir vllt alles auf den neuesten Stand bringt und mir dann sagt, wie ich den Server täglich sichern kann, das soll ja über Putty recht einfach sein, sagte mir mal jemand ;)
Als Gegenleistung kann man da sicher was finden, Webdesign, oder kleine Bezahlung (dran denken: Schüler^^)
Ihr seht also schon, ich bin ein Neuling, würde mich aber gern damit beschäftigen, bitte habt Nachsicht ,)
Vielen Dank schonmal und liebe Grüße,
Frederic
3GB Traffic pro Tag - das ist nicht normal..
-
Anonymous
Re: 3GB Traffic pro Tag - das ist nicht normal..
Danke für die Links,
werde also nun alles versuchen zu sichern und die Kiste neu zu installieren.
Das macht Strato ja automatisch und haut dann SuSe und ServerAdmin24 drauf - ist das sehr unsicher oder kann man das so lassen?
Wie kann ich eine Art Firewall installieren, damit sowas nicht vorkommt und gibt es Befehle, wie ich den Server einfach sicher halten kann? Das man irgendwas eingibt und der Server dann neueste Sicherheitsupdates macht? Wäre da um Hilfe sehr dankbar ;)
/Edit: Ich habe nun alle Daten vom FTP einfach runtergeladen, so auch die Daten der beiden wBB Foren.
Dann habe ich im Admin Control Panel vom wBB die MySQL Datenbank gesichert. - Ist das alles, was nötig war? Ich hatte da mal einfachere Erfahrungen gemacht, mit einem Programm namens Mysqldump, aber irgendwie ist mir derzeit nicht klar, wie ich das da zum laufen bekomme.
das wBB hat mir jetzt eine .sql datei zum download gegeben, wie bekomme ich die nachher wieder in die neue datenbank?
werde also nun alles versuchen zu sichern und die Kiste neu zu installieren.
Das macht Strato ja automatisch und haut dann SuSe und ServerAdmin24 drauf - ist das sehr unsicher oder kann man das so lassen?
Wie kann ich eine Art Firewall installieren, damit sowas nicht vorkommt und gibt es Befehle, wie ich den Server einfach sicher halten kann? Das man irgendwas eingibt und der Server dann neueste Sicherheitsupdates macht? Wäre da um Hilfe sehr dankbar ;)
/Edit: Ich habe nun alle Daten vom FTP einfach runtergeladen, so auch die Daten der beiden wBB Foren.
Dann habe ich im Admin Control Panel vom wBB die MySQL Datenbank gesichert. - Ist das alles, was nötig war? Ich hatte da mal einfachere Erfahrungen gemacht, mit einem Programm namens Mysqldump, aber irgendwie ist mir derzeit nicht klar, wie ich das da zum laufen bekomme.
das wBB hat mir jetzt eine .sql datei zum download gegeben, wie bekomme ich die nachher wieder in die neue datenbank?
Re: 3GB Traffic pro Tag - das ist nicht normal..
Habe mit wBB nicht eingehender gearbeitet, sollte aber reichen.El-Fred wrote:Ist das alles, was nötig war? Ich hatte da mal einfachere Erfahrungen gemacht, mit einem Programm namens Mysqldump, aber irgendwie ist mir derzeit nicht klar, wie ich das da zum laufen bekomme.
phpMyAdmin im Zweifelsfall. Vielleicht bietet WBB aber auch die Möglichkeit die File selbst wieder einzuspielen, wenn es schon das Feature des Sicherns in eine sql-File hat.das wBB hat mir jetzt eine .sql datei zum download gegeben, wie bekomme ich die nachher wieder in die neue datenbank?
Re: 3GB Traffic pro Tag - das ist nicht normal..
Ich hab in /etc/cron.daily ein kleines Skript der FormIch hatte da mal einfachere Erfahrungen gemacht, mit einem Programm namens Mysqldump, aber irgendwie ist mir derzeit nicht klar, wie ich das da zum laufen bekomme.
mysqldump -u user dbname > /home/backup/dbname.sql
um die Datenbank tägl. zu sichern. Die .sql-Datei wird ziemlich groß, da die Syntax zum Einspielen der Daten dort im Klartext steht. Zurückspielen geht auf der Kommandozeile oder auch mit phpmyadmin - vorher muß die leere Datenbank angelegt werden.
Die Shorewall-Firewall (http://www.shorewall.net) läuft bei mir seit einem Jahr, ist auch IMHO relativ einfach einzurichten.
Gruß von Franki.
Re: 3GB Traffic pro Tag - das ist nicht normal..
Definiere Firewall :?: :!: Wenn Du damit einen Paketfilter (Layer 3, z. B. IPTables und Konsorten) meinst: Die kann die populärste Form des Angriffs, nämlich über einen öffentlichen Dienst (z. B. HTTP, FTP, SMTP etc.) nicht verhindern. Eventuell dämmt sie noch den Schaden ein, weil der Angreifer, der bereits erfolgreich in Dein System eingedrungen ist, keine Verbindungen nach außen aufmachen kann - es sei denn, die "Firewall" läuft lokal auf der gehackten Maschine und er kann sie kurzerhand umkonfigurieren oder abschalten...El-Fred wrote:Wie kann ich eine Art Firewall installieren, damit sowas nicht vorkommt und gibt es Befehle, wie ich den Server einfach sicher halten kann?
Siehe oben, ist lokal auf dem Rootserver zwar nett (weil einfach einzurichten), aber absolut nutzlos und nur eine Ressourcenvergeudung.franki wrote:Die Shorewall-Firewall (http://www.shorewall.net) läuft bei mir seit einem Jahr, ist auch IMHO relativ einfach einzurichten.
Paketfilter sind dazu da, um Netzwerke zu schützen, nicht einzelne Rechner. Auf einem Einzelserver würde sich allerdings ein ALG (Layer-7-Filter) ganz gut machen - der würde noch greifen, bevor das Paket seinen Empfänger erreicht. Allerdings sind Application Level Gateways ziemliche Ressourcenfresser, und die Konfiguration ist deutlich trickreicher als bei einem simplen Paketfilter.
Unterm Strich sind eine saubere Konfiguration der Dienste, ein gutes Berechtigungskonzept, ein kontrollierter Aufbau des Linux-Systems (von einem Minimal-System ausgehend), ein gehärteter Kernel (z. B. mit PaX und GRSecurity oder RSBAC) und eine Abtrennung der verschiedenen Dienste (z. B. durch Virtualisierung oder einen Jail-Ersatz) eine deutlich bessere Investition in die Sicherheit eines Rootservers als die Installation eines Paketfilters (machen aber deutlich mehr Arbeit und erfordern ein tiefgreifenderes Verständnis der Funktionsweise eines Linux-Systems).
Re: 3GB Traffic pro Tag - das ist nicht normal..
In unserer Umgebung (Uni) greifen die meisten Nutzer per Samba auf den Server zu. Das kann ich per Firewall auf die IP-Adressbereiche und damit die Arbeitsplätze der Fachrichtung beschränken. SSH-Zugriff ist nur von einigen wenigen 'Admin-PCs' mit festen IP's möglich.aber absolut nutzlos
Gruß von Franki.
Re: 3GB Traffic pro Tag - das ist nicht normal..
Aha - damit stellt dieser Server also auch den Dienst eines Fileservers bereit. Ist es denn trotzdem ein Rootserver, der direkt ans Internet angeschlossen ist??In unserer Umgebung (Uni)
Re: 3GB Traffic pro Tag - das ist nicht normal..
Danach wäre mein Server @home auch ein Rootserver weil für ein paar Ports ein forwarding existiert. Jedenfalls in den meisten Unis die ich kenne ist am Gateway eine Firewall die einen haufen Ports filtert schon alleine um Filesharing zu verhindern und DAU PCs mit schwachsinnigen Freigaben zu schützen.mc5000 wrote: Aha - damit stellt dieser Server also auch den Dienst eines Fileservers bereit. Ist es denn trotzdem ein Rootserver, der direkt ans Internet angeschlossen ist??
Auf einem Rootserver schützt dich normalerweise nichts vor irgendetwas und du musst für deinen Schutz selber sorgen.
Re: 3GB Traffic pro Tag - das ist nicht normal..
Bevor das hier der 4711. Thread zum Sinn oder Unsinn von Paketfiltern wird: IP-Tables ist nützlich. Wer damit umzugehen versteht, kann sich damit Spezialkonfigurationen oder Netzbeschränkungen zurechtbiegen, die sich eben anders nicht aufbauen lassen. Aber auf einem 0-8-15-Rootie mit HTTP, FTP und 'n bissl Mail bringt ein Paketfilter nur eines: der "Admin" wiegt sich in Sicherheit, hat ja schließlich 'ne Firewall gegen die bösen Hacker... einen umfassenden Schutz für und gegen alles, wie ihn sich der OP vorstellt, bietet ein PF jedenfalls nicht.
Re: 3GB Traffic pro Tag - das ist nicht normal..
Das gibt es bei einigen Fachrichtungen, meist dort, wo die Fachrichtungen eigene Gebäude haben. Hier nicht, da in dem großen Gebäude hier verschiedene Fachrichtungen sitzen und man das in der Gebäudeverkabelung nicht auseinanderhalten könnte. Man müßte da das ganze Gebäude durch eine große Firewall schützen, wäre Sache des Rechenzentrums der Uni.Jedenfalls in den meisten Unis die ich kenne ist am Gateway eine Firewall die einen haufen Ports filtert schon alleine um Filesharing zu verhindern und DAU PCs mit schwachsinnigen Freigaben zu schützen.
(Sorry für OT)
Gruß von Franki.
Re: 3GB Traffic pro Tag - das ist nicht normal..
Die Firewalls von Rechenzentren an Universitäten kann man vergessen. Ein paar Filesharing-Ports, der Microsoft-Timeserver, sonst geht alles.
Das Subnetz darf ich nicht schützen, weil das Rechenzentrum Schwierigkeiten machen würde. Also muss man selbst für ein wenig Schutz sorgen. Daher halte ich einen Paketfilter in diesem Fall für sinnvoll.
Außerdem läuft auch bei uns auf dem Webserver gleichzeitig Samba. Durch die Konfiguration von Samba lasse ich nur das Subnetz zu. Iptables setze ich dazu ein, die Kiste und erst recht den Samba-Dienst zu schützen.
Ein Restrisiko bleibt eben immer. Aber es dürfte verdammt schwierig sein, ernsthaften Schaden anzurichten.
Das Subnetz darf ich nicht schützen, weil das Rechenzentrum Schwierigkeiten machen würde. Also muss man selbst für ein wenig Schutz sorgen. Daher halte ich einen Paketfilter in diesem Fall für sinnvoll.
Außerdem läuft auch bei uns auf dem Webserver gleichzeitig Samba. Durch die Konfiguration von Samba lasse ich nur das Subnetz zu. Iptables setze ich dazu ein, die Kiste und erst recht den Samba-Dienst zu schützen.
Ein Restrisiko bleibt eben immer. Aber es dürfte verdammt schwierig sein, ernsthaften Schaden anzurichten.
Re: 3GB Traffic pro Tag - das ist nicht normal..
Ui, darf ich das mit Autorenangabe so an unser ReZe weiterleiten? Die haben da bestimmt ne tolle Meinung zu ;)Mad Cow wrote:Die Firewalls von Rechenzentren an Universitäten kann man vergessen. Ein paar Filesharing-Ports, der Microsoft-Timeserver, sonst geht alles.
Kann es sein, dass euer ReZe... suboptimal arbeitet?Das Subnetz darf ich nicht schützen, weil das Rechenzentrum Schwierigkeiten machen würde. Also muss man selbst für ein wenig Schutz sorgen. Daher halte ich einen Paketfilter in diesem Fall für sinnvoll.
Dann packt man eine Firewall _davor_. Das Prinzip funktioniert im echten Leben am Besten und auf dem Computer auch.Außerdem läuft auch bei uns auf dem Webserver gleichzeitig Samba. Durch die Konfiguration von Samba lasse ich nur das Subnetz zu. Iptables setze ich dazu ein, die Kiste und erst recht den Samba-Dienst zu schützen.
Sowieso.Ein Restrisiko bleibt eben immer. Aber es dürfte verdammt schwierig sein, ernsthaften Schaden anzurichten.