Hi,
ich würde es gerne mir selber erabeiten und auch nachlesen .... Problem ist nur das ich keine Zeit habe und in den nächsten Stunden reagieren muss um großes Unheli zu verhindern.
Meine Frage wie kann ich mit Iptable die Ports schließen das diese von keinem anderenm Tool genutzt werden können und nur die Ports offen sins die wichtig sind 80 22 etc.
Mein Problem ist nach wie vor das sich in /var/tmp jemand einschleicht und dort eine programminstatliiert welches z.B. über Port 6666 anfängt zu senden / evtl. zu spamen ....
Ich benötige einfach etwas welches verhindert .... das gesendet wird ... damit ich zeit habe die daten zu sichern und den server neu aufzusetzen.
weiter hin wäre intressant zu wissen wie ich es verhinder kann das wwrun cron jobs erzeugen kann..
Seid so freundlich und gebt mir ein paar tipps. Aussagen wie RTFM kann ich aus zeitlichen gründen nicht gebrauchen ....
Danke
Iptable wie kann man damit Ports schließen?
-
chris76
- Moderator
- Posts: 2015
- Joined: 2003-06-27 14:37
- Location: Germering
Re: Iptable wie kann man damit Ports schließen?
Wer in der Lage ist dir unerwünscht Programme zu installieren, der wird dir auch Deine IP-Tables Konfiguration aushebeln
Last edited by chris76 on 2005-02-04 10:59, edited 1 time in total.
Gruß Christian
BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error
BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error
-
suntzu
- RSAC
- Posts: 698
- Joined: 2002-12-20 19:47
- Location: Mönchengladbach
-
xamibor
- Posts: 211
- Joined: 2003-03-11 16:52
Re: Iptable wie kann man damit Ports schließen?
in der Firma in der ich arbeite ..... sagte mir der Admin das der eingreifer nur in TMP gekommen ist und nicht weiter .... leider hat er keine Zeit um mir weitere tipps zu geben .... hat mit den 80 Servern genung zu tun die er betreut ....
Danke für den Tipp .... ich weiß auch schon wie sie rein gekommen sind .... ein fehlerhaftes script welches einen basedir / include rein zieht und nicht auf seiner herkunft über prüft wird.
Für weitere tipps bin ich immer dankbar.
Danke für den Tipp .... ich weiß auch schon wie sie rein gekommen sind .... ein fehlerhaftes script welches einen basedir / include rein zieht und nicht auf seiner herkunft über prüft wird.
Für weitere tipps bin ich immer dankbar.
-
t0x1c
- Posts: 127
- Joined: 2003-10-09 19:59
- Location: Nähe Kiel
Re: Iptable wie kann man damit Ports schließen?
Es sollte wohl eher heissen "Aus zeitlichen gründen bin ich nicht in der Lage, einen Root-Server zu administrieren"..xamibor wrote:Hi,
Seid so freundlich und gebt mir ein paar tipps. Aussagen wie RTFM kann ich aus zeitlichen gründen nicht gebrauchen ....
-
smash
- Posts: 32
- Joined: 2004-12-27 16:53
- Location: Hessen
Re: Iptable wie kann man damit Ports schließen?
Ich denke nicht, dass er einen rootserver besitzt.t0x1c wrote:Es sollte wohl eher heissen "Aus zeitlichen gründen bin ich nicht in der Lage, einen Root-Server zu administrieren"..xamibor wrote:Hi,
Seid so freundlich und gebt mir ein paar tipps. Aussagen wie RTFM kann ich aus zeitlichen gründen nicht gebrauchen ....
-
suntzu
- RSAC
- Posts: 698
- Joined: 2002-12-20 19:47
- Location: Mönchengladbach
Re: Iptable wie kann man damit Ports schließen?
Such hier im Forum mal nach Vorschlägen/Ideen bzgl. der Einteilung der Partitionen sowie den mount-Optionen, wie diese Partitionen eingebunden werden. Dann wirst du wohl schonmal das /tmp-Problem besser handlen können.
Wie mit iptables Ports gesperrt werden lässt sich ja dann obiger Anleitung entnehmen.
Und für die Zukunft empfehle ich dir die Lektüre von Artikel zum Thema Incident Response...
Wie mit iptables Ports gesperrt werden lässt sich ja dann obiger Anleitung entnehmen.
Und für die Zukunft empfehle ich dir die Lektüre von Artikel zum Thema Incident Response...
-
lord_pinhead
- RSAC
- Posts: 830
- Joined: 2004-04-26 15:57
Re: Iptable wie kann man damit Ports schließen?
Is zwar ein bischen spät, aber in Zukunft:
man iptables und http://www.selflinux.org/selflinux/html/iptables.htmlxamibor wrote:Hi,
ich würde es gerne mir selber erabeiten und auch nachlesen .... Problem ist nur das ich keine Zeit habe und in den nächsten Stunden reagieren muss um großes Unheli zu verhindern.
Kenn ich und kommt meist über falsch Konfigurierte Webserver bzw. XSS (Cross-Site Scripting). Lies dich mal in suPHP und suExec ein und leg für den Apache ein eigenes Temp-Directory an, dann weißt du wie weit der Angreifer (Bot) kommt. Installlier dir aber nen IDS System, sonst bringt dir das alles nix.Mein Problem ist nach wie vor das sich in /var/tmp jemand einschleicht und dort eine programminstatliiert welches z.B. über Port 6666 anfängt zu senden / evtl. zu spamen ....
Wenn er schon Cronjobs angelegt hat würde ich dem System nimmer trauen. Hat es sich wieder gelegt und du hast deine Ruhe oder isses immernoch (denk hoffentlich net)Ich benötige einfach etwas welches verhindert .... das gesendet wird ... damit ich zeit habe die daten zu sichern und den server neu aufzusetzen.
weiter hin wäre intressant zu wissen wie ich es verhinder kann das wwrun cron jobs erzeugen kann..
Seid so freundlich und gebt mir ein paar tipps. Aussagen wie RTFM kann ich aus zeitlichen gründen nicht gebrauchen ....
Danke
-
kawfy
- Posts: 307
- Joined: 2002-08-08 23:45
Re: Iptable wie kann man damit Ports schließen?
xamibor wrote:weiter hin wäre intressant zu wissen wie ich es verhinder kann das wwrun cron jobs erzeugen kann..
Code: Select all
echo wwwrun >> /var/spool/cron/deny[...] If the allow file exists, then you must be listed therein
in order to be allowed to use this command. If the allow
file does not exist but the deny file does exist, then you
must not be listed in the deny file in order to use this
command. If neither of these files exists, then depending
on site-dependent configuration parameters, only the super
user will be allowed to use this command, or all users
will be able to use this command. [...]