Hallo liebe Leute,
ich betreue einen kleinen Server auf dem ich allerhand teste.
Habe da jetzt das Tool "monit"installiert mit dem ich sehr zufrieden bin, schickt mir eine Mail, wenn mal was mit einem Daemon nicht reibungslos läuft.
Wie aber kriege ich raus ob ich angegriffen werde? Also ob jemand meinen Server kapern will (z.B. über ssh, oder auf andere Art und Weise).
Gibt es da auch ein Tool was so etwas registriert?
Danke im Voraus, Kai
P.S. Arbeite auf Debian Etch
Wie erkenne ich ob mein Server angegriffen wird?
Re: Wie erkenne ich ob mein Server angegriffen wird?
Das kommt drauf an, welche Dienste laufen etc. Oberste Priorität sollte aber sein, dass trotz Angriffsversuchen deine Services nicht kompromittiert werden. Beispiel SSH: Root-Login verbieten, sichere Passwörter und im Optimalfall Login via PubKey-Auth. Dann sollten dich Bruteforce-Attacken von irgendwelchen Scriptkiddies oder anderweitig kompromittierten Hosts einfach nicht stören.
Ansonsten gibt es da noch das Programm snort, ein Packetsniffer, den mit ordentlichen Rulesets viele Unregelmäßigkeiten im Datenverkehr aufzeichnet. Aber auch der sichert dich natürlich nicht ab. Ganz praktisch für das Nachvollziehen von Angriffen, wenn deine Kiste schon geknackt wurde, aber zur Prävention kaum geeignet - so wenig wie jede andere Software.
Die meisten Angreifer kommen sowieso über undichte Stellen in Webapplikationen rein. Das kannst du mit nichts überwachen, weil keine Software der Welt all die Möglichkeiten, die es bei Angriffen gibt, berücksichtigen kann - zumal die meisten in ihrer Form dann auch noch einmalig und evtl. bis dato unbekannt sind.
Es gibt so'n Zeug wie fail2ban, was dein Beispiel mit SSH angeht, aber wenn du SSH richtig abgesichert hast, benötigst du es eh nur, um deine Logfiles klein zu halten. Außerdem bietet auch fail2ban selbst viel Angriffsfläche, wie anderswo im Forum schon erläutert.
Devise: Alles von der Kiste runterschmeißen, was du nicht zwingend brauchst - und wenn du die Dienste, die du brauchst, genügend absicherst, brauchst du kein Tool, das dir sagt, was passiert.
Ansonsten: Regelmäßig durch die Logfiles schauen.
Ansonsten gibt es da noch das Programm snort, ein Packetsniffer, den mit ordentlichen Rulesets viele Unregelmäßigkeiten im Datenverkehr aufzeichnet. Aber auch der sichert dich natürlich nicht ab. Ganz praktisch für das Nachvollziehen von Angriffen, wenn deine Kiste schon geknackt wurde, aber zur Prävention kaum geeignet - so wenig wie jede andere Software.
Die meisten Angreifer kommen sowieso über undichte Stellen in Webapplikationen rein. Das kannst du mit nichts überwachen, weil keine Software der Welt all die Möglichkeiten, die es bei Angriffen gibt, berücksichtigen kann - zumal die meisten in ihrer Form dann auch noch einmalig und evtl. bis dato unbekannt sind.
Es gibt so'n Zeug wie fail2ban, was dein Beispiel mit SSH angeht, aber wenn du SSH richtig abgesichert hast, benötigst du es eh nur, um deine Logfiles klein zu halten. Außerdem bietet auch fail2ban selbst viel Angriffsfläche, wie anderswo im Forum schon erläutert.
Devise: Alles von der Kiste runterschmeißen, was du nicht zwingend brauchst - und wenn du die Dienste, die du brauchst, genügend absicherst, brauchst du kein Tool, das dir sagt, was passiert.
Ansonsten: Regelmäßig durch die Logfiles schauen.
-
rudelgurke
- Posts: 409
- Joined: 2008-03-12 05:36
Re: Wie erkenne ich ob mein Server angegriffen wird?
Neben dem was genannt wurde, eventuell noch ein IDS installieren dass die Dateien überwacht und bei Änderungen Alarm schlägt.
Dass kann natürlich auch wieder kompromitiert werden - ich weiß. Nur den Webroot - wenn sich dort nichts weiter ändert - falls irgendein Script Kiddie eine PHP Shell ablegen will.
Dass kann natürlich auch wieder kompromitiert werden - ich weiß. Nur den Webroot - wenn sich dort nichts weiter ändert - falls irgendein Script Kiddie eine PHP Shell ablegen will.
-
kai-behncke
- Posts: 17
- Joined: 2007-10-05 15:05
Re: Wie erkenne ich ob mein Server angegriffen wird?
Ok, vielen lieben Dank erstmal.
Re: Wie erkenne ich ob mein Server angegriffen wird?
Hiho,
deinen SSH Port umzulegen bringt auch eine ganze Menge.
mfg
Asse
deinen SSH Port umzulegen bringt auch eine ganze Menge.
mfg
Asse
Re: Wie erkenne ich ob mein Server angegriffen wird?
Nicht unbedingt in Bezug auf Sicherheit (wer wirklich rein will, wird sowieso als allerersten Schritt einen Portscan durchführen), aber bei den meisten automatisierten Attacken von kompromittierten Systemen ist das durchaus insofern hilfreich, als deine Logfiles nicht mit fehlgeschlagenen Anmeldeversuchen vollgemüllt werden.
Um das nochmal explizit zu sagen: SSH-Port umlegen ist KEIN Schutz gegen Angriffe. Wer seinen SSH-Port umlegt und trotzdem root-Login erlaubt und als root-Passwort "54321" hat, ist wesentlich gefährdeter als jemand, der SSH abgesichert und dafür den Port nicht umgelegt hat.
Um das nochmal explizit zu sagen: SSH-Port umlegen ist KEIN Schutz gegen Angriffe. Wer seinen SSH-Port umlegt und trotzdem root-Login erlaubt und als root-Passwort "54321" hat, ist wesentlich gefährdeter als jemand, der SSH abgesichert und dafür den Port nicht umgelegt hat.