Apache fährt automatisch down

[handeglo]

für egrep -v '#|^ *$' /etc/xinetd.conf

Code: Select all

defaults
{
        log_type        = FILE /var/log/xinetd.log
        log_on_success  = HOST EXIT DURATION
        log_on_failure  = HOST ATTEMPT
        instances       = 30
        cps             = 50 10
}
includedir /etc/xinetd.d

übrigens hab mal just for fun in die xinetd.log mal rein geschaut
diese IP von eben gerade
07/11/22@14:14:32: START: ftp from=209.200.228.37
07/11/22@14:14:32: EXIT: ftp status=0 duration=0(sec)

kommt mir unbekannt und es kommt aus USA .. wie versucht diese Mensch über den FTP einen Zugang zu verschafen :-)???? und wie könnte man sowas verhindern? eigentlich hat als AllowUsers nur ich den Zugang !!!

[floogy]

Ok, da ich hier eine andere inetd Implementierung verwende (openbsd-inetd), war mir nicht klar, dass alle Dienste, die der xinetd startet in dem Verzeichnis /etc/xinetd.d liegen.

Code: Select all

ls -l /etc/xinetd.d

Wie gesagt man xinetd lesen.

Du solltest Dich unbedingt mit den Grundlagen der Systemadministration beschäftigen, wenn Du weiterhin einen Server im Internet betreiben möchtest.
Im Grunde wäre ein managed Server, oder Webspace besser für Dich.

Einen Server richtig zu administrieren ist eine ernste Sache.
Wer weiß, ob Deiner schon Teil eines bot-Netzes ist, und was damit bereits alles so angestellt wird?

[handeglo]

Floogy du hast vollkommen Recht ...
ich weiss auch einiges und hab Informatik studiert :-)
ich bin eher ein Programmiere aber mit dem SystemAdmin hatte ich bis jetzt sehr wenig zu tun. Ich sehe zur Zeit auch in der /var/logs/messages keine Angriff. Ich hab den SSH port geändert habe keinen root login über einen SSH .. sowie nur einen Benutzer zugelassen, der sich sein Passwort ständig ändert... Man kann sich ebenfalls nur ein einziges mal Authentifizieren. Andere Benutzernamen werden so oder so nicht berücksichtigt, wenn sie überhaupt auf den Port kommen. Desweiteren ja wir haben einen CMS aber dafür bin ich nicht zuständig ... denen ist es auch klar dass ein CMS auch von Drupal Sichheritslücken haben kann....

hab hier noch was

Code: Select all

drwxr-xr-x   2 root root 4096 Nov 22 12:41 .
drwxr-xr-x  56 root root 4096 Nov 22 14:16 ..
-rw-r--r--   1 root root  293 Oct 22  2002 chargen
-rw-r--r--   1 root root  313 Oct 22  2002 chargen-udp
-rw-r--r--   1 root root  383 Nov 22 12:41 courier-imapd
-rw-r--r--   1 root root  313 Nov 22 12:41 courier-imapds
-rw-r--r--   1 root root  383 Nov 22 12:41 courier-pop3d
-rw-r--r--   1 root root  313 Nov 22 12:41 courier-pop3ds
-rw-r--r--   1 root root  409 May 24  2004 cvs
-rw-r--r--   1 root root  293 Oct 22  2002 daytime
-rw-r--r--   1 root root  313 Oct 22  2002 daytime-udp
-rw-r--r--   1 root root  285 Oct 22  2002 echo
-rw-r--r--   1 root root  304 Oct 22  2002 echo-udp
-rw-r--r--   1 root root  362 Mar 19  2005 finger
-rw-r--r--   1 root root  286 Mar 31  2006 ftp_psa
-rw-r--r--   1 root root  492 Mar 19  2005 netstat
-rw-r--r--   1 root root  279 Mar 19  2005 ntalk
-rw-r--r--   1 root root  357 Apr 20  2007 popa3d.rpmsave
-rw-r--r--   1 root root  336 Apr 20  2007 popa3ds.rpmsave
-rw-r--r--   1 root root  206 Apr 20  2007 poppassd_psa
-rw-r--r--   1 root root  207 Mar 22  2005 rsync
-rw-r--r--   1 root root  312 Oct 22  2002 servers
-rw-r--r--   1 root root  314 Oct 22  2002 services
-rw-r--r--   1 root root  362 Apr 20  2007 smtp_psa
-rw-r--r--   1 root root  363 Apr 20  2007 smtps_psa
-rw-r--r--   1 root root  277 Mar 29  2004 swat
-rw-r--r--   1 root root  536 Mar 19  2005 systat
-rw-r--r--   1 root root  278 Mar 19  2005 talk
-rw-r--r--   1 root root  319 Oct 22  2002 time
-rw-r--r--   1 root root  313 Oct 22  2002 time-udp

[floogy]

Ich nehme mal an, das alle *_psa Dienste aus /etc/xinet.d gewünscht sind (?), da es sich um Plesk Dienste handelt (?), ohne die Plesk nicht funktioniert (?). Da ich Plesk nicht kenne, ist das geraten.

Über den status des xinetd kannst Du Dich womöglich (Distributionsabhängig ?) folgendermaßen informieren:

Code: Select all

service xinetd status

Im Informatikstudium hast Du bestimmt auch gelernt, wie man Handbücher und Dokumentationen zu Programmen liest. Ich jedenfalls habe keine Informatik studiert, Programmierer bin ich auch nicht...

chkconfig --list zeigt Dir womöglich an, welche Dienste beim reboot wieder gestartet werden.

[handeglo]

Ich nehme mal an, das alle *_psa Dienste aus /etc/xinet.d gewünscht sind (?), da es sich um Plesk Dienste handelt (?), ohne die Plesk nicht funktioniert (?). Da ich Plesk nicht kenne, ist das geraten.

puhhhhhhh, ich würde auch sagen ja... wobei dies nur ein Schlüssel zur Certifikation dient ?

ja beim wiederstarten werden die psa gestartet aber auch anscheinend qmailr

Code: Select all

qmail 0:off  1:off  2:off  3:off  4:on   5:off  6:off

oder auch nicht ?

[floogy]

Code: Select all

service qmail stop

gegebenenfalls man service konsultieren. Ich weiß ja immer noch nicht, ob Du OpenSuSE verwendest, oder was Deine Distribution ist.

Besorge Dir mal das passende Handbuch dazu.

Mit sysv-rc-conf o.ä. eventuell chkconfig kannst Du qmail im runlevel 4 auf off stellen, dan startet der nicht automatisch mit.

Aber wie ich schon erwähnte, solltest Du die qmail Konfiguration nach Sicherheitsaspekten überprüfen, die logs nach möglichen Angriffen in den Webanwendungen checken, und falls nötig den Rechner sichern, und vom Netz nehmen.

Was für ein CMS, in welcher Version ist denn installiert?

Haben die anderen Nutzer auch Zugang per ssh? Was sagt last, und was gibt w an? Deckt sich das mit Deinem Einloggen?

[handeglo]

mit dem qmail werde ich machen wusste nicht was das mit dem 4:on usw.

ich benutze Suse 9.3 (1&1 schrott)und das neueste denke ich von drupal mit den neuesten Modulen... wie gesag ich bin da nicht so zuständig deswegen !!!

w sagt :

Code: Select all

15:39:39 up 4 days,  5:02,  1 user,  load average: 0.01, 0.00, 0.00
USER     TTY        LOGIN@   IDLE   JCPU   PCPU WHAT
XXXX pts/0     15:19    0.00s  0.07s  0.08s sshd: XXXXX [priv]

wer sich zuletzt eingeloggt hat ('last')

Code: Select all

XXX pts/0        IP   (meine) Thu Nov 22 15:19   still logged in
XXX ftpd1354     IP   (meine) Thu Nov 22 14:54 - 14:59  (00:05)
XXX pts/1        IP  (meine)  Thu Nov 22 13:24 - 15:08  (01:43)
XXX ftpd22079    IP (meine)   Thu Nov 22 12:32 - 12:37  (00:05)
XXX ftpd20036    IP (meine)   Thu Nov 22 12:25 - 12:25  (00:00)
XXX ftpd19688    IP (meine)   Thu Nov 22 12:22 - 12:29  (00:06)
reboot   system boot  2.6.9-023stab044 Sun Nov 18 10:36         (4+05:08)
reboot   system boot  2.6.9-023stab044 Fri Nov 16 11:36         (1+23:00)
XXX ftpd11884    IP (meine)   Thu Nov 15 14:20 - 14:21  (00:01)

[floogy]

[...]ich benutze Suse 9.3 (1&1 schrott)und das neueste denke ich von drupal mit den neuesten Modulen... wie gesag ich bin da nicht so zuständig deswegen !!!

Was ja nicht bedeutet, dass Du nicht verantwortlich bist!

[handeglo]

Nein also ich meinte wegen den Drupal geschichte ...
für den Vserver bin ich schon verantwortlich

[floogy]

Suse 9.3 (1&1 schrott)

OpenSuSE 10.3 ist aktuell, Du solltest unbedingt upgraden: Es gibt seit Juni keine Sicherheitsupdates mehr für SuSE 9.3!
http://lists.opensuse.org/opensuse-secu ... 00005.html

Wenn drupal auf Deinem vserver läuft, würde ich schon denken, dass Du auch verantwortlich bist, das könnte hier vielleicht mal jemand kommentieren, der da mehr Ahnung von der rechtlichen Seite hat.

Wenn Du qmail mal Grundsätzlich gegen den Mißbrauch als Open-Relay zum Spamversand 1) abgedichtet hast, kannst Du hier weitermachen (Anregung: Vorsicht vor Copy & Paste):
Mini-HOWTO: Spam-Abwehr für Plesk und qmail mit spamdyke
http://www.rootforum.org/forum/viewtopic.php?t=47641

1)
http://www.server-wissen.de/internet/hi ... esten.html
http://www.rootforum.org/faq/
http://www.rootforum.org/faq/category/3 ... -mtas.html
http://clausvb.de/doku_greylisting.htm

[cugar]

floggy wenn das mal so einfach wäre - 1und1 stellt nach wie vor nur suse 9.3 für die vserver parat......

ich hoffe das ändert sich bald......

[handeglo]

Du hast Recht ... Deshalb muss ich mich da ach einarbeiten...
am besten auch den Provider wecheln da Suse 9.3 einfach nicht mehr aktuell (gel cugar?) ist... Debian wäre mir um einiges lieber :-) oder floogy :-)?

[floogy]

Du hast Recht ... Deshalb muss ich mich da ach einarbeiten...
am besten auch den Provider wecheln da Suse 9.3 einfach nicht mehr aktuell (gel cugar?) ist... Debian wäre mir um einiges lieber :-) oder floogy :-)?

Falls 1und1 da nichts macht gibt es vielleicht die Möglichkeit über die recovery console ein neues System zu installieren.

Wenn Du besser mit debian klar kommst, könntest Du per debootstrap das installieren. Es gibt Haufenweise Tutorials und HOWTOs dazu im Netz.
http://www.google.com/search?q=1und1+%2 ... +debian%22
Für SuSE dürfte so etwas (Minimalsystem) auch möglich sein. Da sind hier die Anderen im Forum gefragt.
http://www.google.com/search?q=1und1+Su ... lr=lang_de

Inzwischen hat SuSE einige der früher notorisch kritisierten Schwächen im Griff, ich würde also eher sagen: Geschmackssache.

Ich habe vor SuSE 8 den Schritt auf Mandrake gemacht, und sehr bald bin ich von mandrake/cooker auf debian gewechselt. Damals sprach man noch von "dependency hell" und da kam mir dpkg und apt wie gerufen. Ich bin seit woody bei debian, und weiß daher schon garnicht mehr wie die rpm basierenden Distributionen so laufen (mag ignorant klingen, ist aber wohl eher Faulheit).

[handeglo]

:lol: :lol: :lol: :lol:
ja cool ich denke ich wechsele auch zu Debian ...
ich versuche einfach etwas mehr über Administration zu lesen und bei weiteren Apache-down werde ich mich melden müssen :-(

[floogy]

[...]
ja cool ich denke ich wechsele auch zu Debian ...

Wie gesagt: eher Geschmacksache, inzwischen gibt es z.B. APT for rpm, yum etc. und der upgradepfad ist seit 10.2 glaube ich auch stabil, und es gibt auch in debian so ein paar Voreinstellungen, die mit Vorsicht zu genießen sind...

Wie gesagt: Wenn Du eher Erfahrungen mit debian hast: versuche es über dbootstrap zu installieren. Backup nicht vergessen! Und vorher die möglichen Fallstricke abchecken!

Ein Neuaufsetzen Deines Servers ist in Deiner Situation sowieso angeraten!

ich versuche einfach etwas mehr über Administration zu lesen [...]

Das würde ich auch begrüßen ;-)

Für Debian kann ich folgendes empfehlen:
http://debiananwenderhandbuch.de/
http://www.debian.org/doc/manuals/secur ... ex.de.html

Allgemein:
http://www.oreilly.de/german/freebooks/runux5ger/

sshd absichern:
http://www.uni-köln.de/rrzk/kompass/106/k10613.html
http://debianhowto.de/doku.php/de:howtos:woody:ssh

[handeglo]

na da ist doch schon mal was :-)
hast du etwa weitere fragen :-) :lol: :lol: ???

[floogy]

Naja, liegt jetzt aber nicht an SuSE per se.

[floogy]

Vielleicht auch interessant:
http://serversupportforum.de/forum/virt ... hnung.html

[handeglo]

servus floogy ... danke für den links

bei mir habe ich heute was neues entdeckt ... du sagtest ich soll in die Log dateien mal rein schauen...

Code: Select all

[Fri Nov 23 16:07:25 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting

was ist das Problem zuviele Childprozess???
Apache nimmt MAX doch 256 oder muss ich das in der httpd.conf datei es so angeben:

MaxClients 256 ????

gruss

[floogy]

http://httpd.apache.org/docs/2.2/de/mod/worker.html
http://httpd.apache.org/docs/2.2/de/mod ... maxclients

Schon mal gegoogelt?
http://www.google.com/search?q=%22%5Ber ... etting+%22
http://www.rootforum.org/forum/viewtopic.php?t=39401
http://www.rootforum.org/forum/viewtopic.php?t=38845
http://www.rootforum.org/forum/viewtopic.php?t=44106
http://www.rootforum.org/forum/viewtopic.php?t=44044

Dazu kann ich gerade wenig sagen, es könnte sich aber um eine Denial of Service Attacke handeln, eventuell weil Dein server immer noch löchrig ist.

[handeglo]

achso ja danke hab auch einige sachen gefunden :-) aber mal ne ganz blöde frage ... konfiguriere ich den Modul in der httpd.conf etwa so ??? bitte nicht den Inhalt beachten!!!!!

Code: Select all

<IfModule worker.c>
   StartServers         2
   ThreadsPerChild     25
   MinSpareThreads     25
   MaxSpareThreads     75
   MaxClients         150
   MaxRequestsPerChild  0
 </IfModule>

[floogy]

Im Prinzip ja:
http://httpd.apache.org/docs/2.2/de/mod ... tsperchild
http://www.rootforum.org/forum/viewtopi ... 007#294007

[handeglo]

danke dir floogy ...
sehe heute noch ein weiter geschiche mit der log file und errror....

Code: Select all

[error] [client 65.55.212.237] File does not exist: 

und das mehrere male am Tag.....
esist gut möglich, dass über ne http nach verzeichnisen gesucht wird....
wie vermeide ich das... diese IP ändern sich ständig ....

[Joe User]

Lege in jedem VHost eine robots.txt und ein favicon.ico an, damit reduzierst Du die Anzahl der "File does not exist" Meldungen, verhindern kannst Du sie nicht.

[floogy]

Es kann zudem auf fehlerhaften .html oder .php code hindeuten (broken links, <img>, <object>).

Der Rest sind eventuell Einbruchversuche der Skript Kiddies, oder auch ernsthafte Versuche, die man lernen muss zu beurteilen (googeln hilft):

Code: Select all

[Fri Nov 23 23:58:31 2007] [error] [client 356.242.117.151] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.MSlog:)

ist z.B. ein scanner, dwer den Server auf Schwachstellen abscannt, und der als tool für admins nicht empfohlen wird: http://isc.sans.org/diary.html?storyid=900
http://www.google.de/search?q=w00tw00t
http://www.kallensee.info/journal/index ... sansdfind/

Code: Select all

[Fri Nov 23 14:02:55 2007] [error] [client 356.225.18.143] File does not exist: /var/www/munin/localdomain/localhost.localdomain-courier_mta_mailvolume-wee

Hier konnte mein munin-graph zum Monitoring die Datei wegen fehlender Server-Resourcen nicht erstellen, daher fehlt sie nun.

Code: Select all

Nov 23 10:05:52 pvXX postfix/sendmail[32106]: fatal: logcheck(109): unable to execute /usr/sbin/postdrop -r: Success

Postfix konnte wegen dem Resourcenproblem nicht komplett ausgeführt werden.

Code: Select all

Nov 23 10:05:54 pvXX /USR/SBIN/CRON[25652]: (logcheck) MAIL (mailed 475 bytes of output but got status 0x004b )

s.o.

Code: Select all

[Fri Nov 23 10:39:09 2007] [error] [client 356.120.186.58] File does not exist: /home/userxyz/www/docs/www.serverdomain.de/scripts/ie7/ie7-standard.js

Hier sollte ich nochmal in den code der Seite gucken, da dort wohl eine falscvhe referenz auftaucht.

Code: Select all

318.77.105.145 - - [23/Nov/2007:06:39:25 +0100] "x05x02" 501 - "-" "-"
318.77.105.145 - - [23/Nov/2007:06:39:36 +0100] "x04x01zx0cxc3xe1kx11firefox" 400 - "-" "-"
318.77.105.145 - - [23/Nov/2007:06:39:36 +0100] "CONNECT 395.225.107.17:31244 HTTP/1.0" 405 231 "-" "-"
[Fri Nov 23 06:39:25 2007] [error] [client 318.77.105.145] Invalid method in request \x05\x02
[Fri Nov 23 06:39:36 2007] [error] [client 318.77.105.145] Invalid URI in request x04x01zx0cxc3xe1kx11firefox

Dies scheint ein Angriffsversuch zu sein. http://www.google.de/search?q=Invalid+m ... 5%5C%5Cx02

Code: Select all

81.169.154.94 - - [23/Nov/2007:04:37:03 +0100] "HEAD / HTTP/1.1" 200 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; ODP entries t_st; http://tuezilla.de/t_st-odp-entries-agent.html)"

http://tuezilla.de/t_st-odp-entries-agent.html

Code: Select all

[Fri Nov 23 00:44:46 2007] [error] [client 389.110.46.102] request failed: URI too long

System Events
=-=-=-=-=-=-=
389.110.46.102 - - [23/Nov/2007:00:44:46 +0100] "SEARCH /CCCCCCCCCCCCCCC[...]CCCCCCCCCCCCCCCONCCCCCCCCCC[...]CCC

Angriff: http://www.google.de/search?q=+%22reque ... oo+long%22
http://apache.slashdot.org/article.pl?s ... 12/1927226

Code: Select all

312.95.252.16 - - [22/Nov/2007:18:20:25 +0100] "HEAD /spicons/apache_pb.gif HTTP/1.0" 404 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

Harmlos (?) http://www.google.de/search?q=HEAD+%2Fspicons%2F+404

Code: Select all

[Thu Nov 22 16:41:06 2007] [error] [client 317.225.24.251] File does not exist: /var/www/typo342/tyxpo3

Eingabefehler meinerseits.

Code: Select all

Nov 22 08:00:28 pvXX /usr/bin/crontab[32727]: (root) LIST (nobody)

Chkrootkitlauf > The chkrootkit program causes this entry.
http://www.google.de/search?q=%22%28roo ... body%29%22

Code: Select all

194.72.238.62 - - [22/Nov/2007:03:21:36 +0100] "HEAD / HTTP/1.0" 200 0 "http://www.netcraft.com/survey/" "Mozilla/4.0 (compatible; Netcraft Web Server Survey)"
89.48.9.204 - - [23/Sep/2007:04:34:36 +0200] "HEAD / HTTP/1.1" 200 0 "-" "Xenu Link Sleuth 1.2g"

Netcraft, google & Co.

Code: Select all

EACCELERATOR: Open for write failed for "/tmp/eaccelerator/e/4/eaccelerator-94963.053584864": No such file or directory

Eaccelerator-Optcache-Fehler

Code: Select all

[Thu Sep  6 13:29:23 2007] [error] [client 311.233.58.152] File does not exist: /var/www/phpmyadmin/main.php
[Mon Aug 20 02:38:51 2007] [error] [client 362.81.224.167] File does not exist: /var/www//README
[Mon Aug 20 02:38:51 2007] [error] [client 362.81.224.167] File does not exist: /var/www/horde//README
[Mon Aug 20 02:38:51 2007] [error] [client 362.81.224.167] File does not exist: /var/www/horde2//README
[Mon Aug 20 02:38:51 2007] [error] [client 362.81.224.167] File does not exist: /var/www/horde3//README
[Mon Aug 20 02:38:52 2007] [error] [client 362.81.224.167] File does not exist: /var/www/horde-3.0.9//README
[Mon Aug 20 02:38:52 2007] [error] [client 362.81.224.167] File does not exist: /var/www/Horde//README
[Mon Sep 10 01:57:35 2007] [error] [client 367.19.130.66] File does not exist: /var/www/mail//README
[Mon Sep 10 01:57:36 2007] [error] [client 367.19.130.66] File does not exist: /var/www/email//README
[Mon Sep 10 01:57:36 2007] [error] [client 367.19.130.66] File does not exist: /var/www/webmail//README
[Mon Sep 10 01:57:37 2007] [error] [client 367.19.130.66] File does not exist: /var/www/newmail//README
[Mon Sep 10 01:57:37 2007] [error] [client 367.19.130.66] File does not exist: /var/www/mails//README
[Mon Sep 10 01:57:37 2007] [error] [client 367.19.130.66] File does not exist: /var/www/mailz//README

Zu der Zeit gab es wohl exploits für horde, und man schaute nach, ob ich die unsichere Version dieser Webapplikation installiert habe.

Code: Select all

Sep  7 09:42:56 pvXX sshd[30169]: Failed password for ftp from 310.0.143.13 port 2827 ssh2
Sep  7 09:43:00 pvXX sshd[30337]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=310.0.143.13
Sep  7 09:38:07 pvXX sshd[13990]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=310.0.143.13  user=root
Sep  7 09:38:10 pvXX sshd[13990]: Failed password for root from 310.0.143.13 port 2211 ssh2

"Bruteforce" Attacke auf den sshd. sshd sollte unbedingt sicher konfiguriert sein, am Besten ohne Passwortabfrage, zumindest mit einem sicheren Passwort, und eventuell an einem Port >10000 lauschen (weniger wegen der Sicherheit, als wegen des Rauschens in den logfiles).

logcheck und watchlog senden Dir entsprechende emails zu, wenn etwas außergewöhnliches passiert.

Ganz wichtig ist, die installierten Webanwendungen auf Sicherheitslücken zu überprüfen (versionen mit den aktuellen Sicherheitsreleases vergleichen, eigene Skripts nach Schwächen untersuchen), und die PHP-Konfiguration sicher machen, z.B.: http://www.rootforum.org/forum/viewtopic.php?t=36346

Unter den Weblinks dieses wikipediaartikels findest Du einige Anlaufstellen, um Dich über die Sicherheitslage zu informieren:
http://de.wikipedia.org/wiki/Sicherheit ... e#Weblinks
Und hier kannst Du dann weiterlesen:
http://www.rootforum.org/forum/viewtopic.php?t=349

Frage: gibt es so etwas wie den Maui Security Scanner - Webanwendungsscanner auch als OpenSource-Lösung. Ok, über den Sinn läßt sich streiten...