Server unter Beschuss, wie absichern?

[justmoon]

Mein Server spielt verrückt und ich weiß ehrlich gesagt nicht mehr weiter.

Alle paar Minuten bekomme ich von meiner Firewall die Meldung das ein Portscan meines Rechners versucht wurde. Ursprungs-IP ist die meines Rootservers.

Nach dieser Meldung ist mein Server für ca. 2 Minuten nicht zu erreichen, dann kommt er wieder als wäre nichts gewesen und nach einer Weile wiederholt sich das ganze Spielchen.

Das System ist ein Debian Sarge. Alle Patches die apt-get findet sind installiert. Außer dem Apache2 (mit PHP5), SSH und einem MySQL (per UNIX socket) läuft auf dem Server nur noch ein Minimal-Exim4, der aber am local interface bindet.

ps ax ist in Ordnung. Keine verdächtigen Prozesse.

An PHP Skripten gibt es eigentlich nur ein phpBB, aber auch aktuellste Version.

Der Apache besitzt auch mod-security2 mit aktuellen GotRoot-Regeln.

Was kann ich tun um die Sicherheitslücke zu finden?

Apache/2.0.54 apache2-mpm-prefork 2.0.54-5sarge1
PHP Version 5.2.1-0.dotdeb.1 [updated]
mod_security 2.1.1-rc1

Code: Select all

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 localhost.localdo:mysql *:*                     LISTEN -- MySQL 
tcp        0      0 localhost.localdo:11211 *:*                     LISTEN -- Memcached
tcp        0      0 *:sunrpc                *:*                     LISTEN
tcp        0      0 localhost.localdoma:793 *:*                     LISTEN
tcp        0      0 localhost.localdom:smtp *:*                     LISTEN -- Exim4
tcp6       0      0 *:*zensiert*            *:*                     LISTEN -- SSH
tcp6       0      0 *:www                   *:*                     LISTEN
-- Apache2
udp        0      0 *:sunrpc                *:*
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node Path
unix  2      [ ACC ]     STREAM     LISTENING     3838     /var/run/mysqld/mysqld.sock

Code: Select all

Apache Server Information

Server Settings, mod_userdir.c, mod_unique_id.c, mod_rewrite.c, mod_php5.c, mod_security2.c, mod_info.c, mod_cgi.c, mod_so.c, mod_alias.c, mod_dir.c, mod_negotiation.c, mod_autoindex.c, mod_status.c, mod_mime.c, http_core.c, prefork.c, mod_setenvif.c, mod_env.c, mod_logio.c, mod_log_config.c, mod_auth.c, mod_access.c, core.c

Server Version: NOYB
Server Built: Jul 28 2006 09:04:55
API Version: 20020903:9
Hostname/port: admin.*zensiert*.com:80
Timeouts: connection: 300    keep-alive: 300
MPM Name: Prefork
MPM Information: Max Daemons: 40 Threaded: no Forked: yes
Server Root: /etc/apache2
Config File: /etc/apache2/apache2.conf

..snip..

[justmoon]

Ok, das PHP wars. 5.1.6 hatte wohl die ein oder andere Sicherheitslücke, mit Dotdeb's 5.2.1 ist alles wieder in Butter.

[elch_mg]

Und jetzt lässt du das Ding einfach weiter vor sich hin laufen, bis die nächste Sicherheitslücke drin ist?

[oxygen]

Mal von Sicherheitslücken auf dem Server abgesehen, das Problem liegt wohl eher an deiner "Firewall" auf deinem Heim-PC.

[justmoon]

Zu früh gefreut. Anscheinend haben bloß die Angriffe zeitweilig aufgehört. Damit muss ich meinen Hilfeschrei leider nochmal erneuern.

Und jetzt lässt du das Ding einfach weiter vor sich hin laufen, bis die nächste Sicherheitslücke drin ist?

:( Das ist ja das Problem, wegen dem ich mich an euch wende. Was kann ich tun um a) die Lücke zu finden und b) den Server allgemein abzuhärten?

Mal von Sicherheitslücken auf dem Server abgesehen, das Problem liegt wohl eher an deiner "Firewall" auf deinem Heim-PC.

Wieso das denn? (Falls da echt was dran ist: Mit Firewall meine ich meine Personal Firewall: Outpost Firewall Pro; Davor ist eigentlich noch ein Router geschaltet, ein Vigor2910VGi, der theoretisch keine Ports durchrouten dürfte.)

Wahrscheinlich hab ich die Symptome schlecht erklärt.

Meine Theorie ist, dass der Server von einem Wurm angegriffen wird der irgendwelchen Code auf ihm ausführt. Dieser veranlasst ihn dazu alle ihm bekannten IPs nach offenen Ports zu scannen, womit sich der Wurm dann weiterverbreiten kann. Wie gesagt, nur mal meine Theorie, so gut kenne ich mich da nicht aus.

Ich dachte immer mein Server wäre recht sicher konfiguriert. Da ist kein Paket zu viel drauf, kein unnötiger Dienst am Laufen. SSH auf einem nicht-Standard-Port mit Public-Key-Auth. Apache auf dem neuesten Stand, keine unsicheren PHP-Skripte, zusätzlich mod_security. Regelmäßige Scans mit Nessus. Was soll ich denn noch alles machen? (Ok, nächstes Mal aufpassen, dass das PHP per apt-get geupdatet wird, aber das war's ja leider nicht.)

Könnt ihr mir wirklich nicht einen kleinen Hinweis geben, was ich noch probieren könnte? Die Audit-Logs von mod_security liefern diverse Angriffe, die ich aber zeitlich nicht den Downtimes zuordnen kann. Muss dazu sagen, dass diese Angriffe seit Jahren zum Grundrauschen dazugehören und bisher nie erfolgreich waren.

[r. u. serious]

Nach dieser Meldung ist mein Server für ca. 2 Minuten nicht zu erreichen, dann kommt er wieder als wäre nichts gewesen und nach einer Weile wiederholt sich das ganze Spielchen.

Wie stellst du fest, dass ernich erreichbar ist? Nur von deinem Rechner aus? Ich glaube daher kam der Verweis auf deine Desktop-Firewall...

Hast du sowas wie munin o.ä., aus dem eindeutig hervorgeht, dass der server in den zwei Minuten gar keinen Traffic von der Außenwelt erhält, bzw, apache zugriffe verschwunden sind, und cpu-nutzung entweder im keller (oder durch den Dachboden) ist?

[blattlaus]

Ich wette das die Nichterreichbarkeit deines Servers durch deine "geniale" Personal Firewall zu Standen kommt.
Die Dreckssoftware erkennt einen "Angriff" und droppt einfach für eine bestimmte Zeit alle Pakete von der Adresse.

Möchtest du dagegenhalten?

[justmoon]

Habs jetzt geschnallt.

Und getestet...

Und ihr habt natürlich Recht.

Mein Weltbild ist zerstört. 8)

Heißt jetzt das Outpost Mist ist? Oder Personal Firewalls allgemein? Und warum hat die Firewall ausgerechnet was gegen meine Seite?

Naja, bin erstmal erleichtert, dass meine Seite in Wirklich durchgehend erreichbar war und ist. Hat ja auch was Gutes gehabt die ganze Aktion, dadurch hab ich doch nochmal die ein oder andere Sache an der Serversicherheit verbessert. :)

Danke für die Hilfe. Da wär ich so schnell nicht draufgekommen.

[elch_mg]

Personal Firewalls sind grundsätzlich Mist. Befrag mal Google dazu.... ;)

[blattlaus]

http://www.fefe.de/pffaq/

[stanglwirt]

und wieso meldet seine firewall, dass ausgerechnet sein rootserver auf ausgerechnet seinem rechner einen portscan macht?

wegen ner ssh-verbindung oder dergleichen??

[Joe User]

Weil seine PF dumm ist und vermutlich die Keep-Alive Antworten misinterpretiert...

[captaincrunch]

Hey, nichts gegen PF. ;)

[daemotron]

Aber Käpt'n, dass Joe nicht DEN pf, sondern DIE PF gemeint hat, ist doch schon über das Geschlecht klar ersichtlich :lol: (auch was das Verhalten angeht *duck*)

[Roger Wilco]

Aber Käpt'n, dass Joe nicht DEN pf, sondern DIE PF gemeint hat, ist doch schon über das Geschlecht klar ersichtlich :lol: (auch was das Verhalten angeht *duck*)

Über das Geschlecht von Joe ist sowas erkennbar? Wahnsinn! *duck*

[Joe User]

Patsch! Nicht tief genug geduckt 8)

[lord_pinhead]

Interessant zu lesen worunter PF geplagte User so leiden müssen :D

Da fällt mir nur das Outpost/Kerio/Norton/usw. Grundprinzip ein wie man solche "Logs" bekommt:

Code: Select all

#!/bin/bash
echo -n Starting firewall.
while true; do
  sleep 1
  echo -n .
  if [ $(($RANDOM%13)) -eq 2 ]; then
     break;
  fi
  done
  echo
  echo Your system is now secure!
while true; do
  sleep $(($RANDOM%53))
  echo "Blocked attack from host
	$(($RANDOM%256)).$(($RANDOM%256)).$(($RANDOM%256)).$(($RANDOM%255+1))
	on port $(($RANDOM%65535+1))!!!"
done
exit 0

@Joe
Woher weißt du das die Keep-Alive Pakete vom Server daran schuld sind? Hellseherisch veranlagt?

[Joe User]

@Joe
Woher weißt du das die Keep-Alive Pakete vom Server daran schuld sind? Hellseherisch veranlagt?

Nö, aber hin und wieder merke ich mir gelesene Probleme/Lösungungen über Jahre hinweg und wenn das nicht reicht, hilft fast immer Dr.Google weiter ;)