Iptable wie kann man damit Ports schließen?

[xamibor]

Hi,

ich würde es gerne mir selber erabeiten und auch nachlesen .... Problem ist nur das ich keine Zeit habe und in den nächsten Stunden reagieren muss um großes Unheli zu verhindern.

Meine Frage wie kann ich mit Iptable die Ports schließen das diese von keinem anderenm Tool genutzt werden können und nur die Ports offen sins die wichtig sind 80 22 etc.

Mein Problem ist nach wie vor das sich in /var/tmp jemand einschleicht und dort eine programminstatliiert welches z.B. über Port 6666 anfängt zu senden / evtl. zu spamen ....

Ich benötige einfach etwas welches verhindert .... das gesendet wird ... damit ich zeit habe die daten zu sichern und den server neu aufzusetzen.

weiter hin wäre intressant zu wissen wie ich es verhinder kann das wwrun cron jobs erzeugen kann..

Seid so freundlich und gebt mir ein paar tipps. Aussagen wie RTFM kann ich aus zeitlichen gründen nicht gebrauchen ....

Danke

[chris76]

Wer in der Lage ist dir unerwünscht Programme zu installieren, der wird dir auch Deine IP-Tables Konfiguration aushebeln

[suntzu]

Abgesehen davon, dass ich Chris zustimme:

http://iptables-tutorial.frozentux.net/ ... index.html

[xamibor]

in der Firma in der ich arbeite ..... sagte mir der Admin das der eingreifer nur in TMP gekommen ist und nicht weiter .... leider hat er keine Zeit um mir weitere tipps zu geben .... hat mit den 80 Servern genung zu tun die er betreut ....

Danke für den Tipp .... ich weiß auch schon wie sie rein gekommen sind .... ein fehlerhaftes script welches einen basedir / include rein zieht und nicht auf seiner herkunft über prüft wird.


Für weitere tipps bin ich immer dankbar.

[t0x1c]

Hi,
Seid so freundlich und gebt mir ein paar tipps. Aussagen wie RTFM kann ich aus zeitlichen gründen nicht gebrauchen ....

Es sollte wohl eher heissen "Aus zeitlichen gründen bin ich nicht in der Lage, einen Root-Server zu administrieren"..

[smash]

Hi,
Seid so freundlich und gebt mir ein paar tipps. Aussagen wie RTFM kann ich aus zeitlichen gründen nicht gebrauchen ....

Es sollte wohl eher heissen "Aus zeitlichen gründen bin ich nicht in der Lage, einen Root-Server zu administrieren"..

Ich denke nicht, dass er einen rootserver besitzt.

[suntzu]

Such hier im Forum mal nach Vorschlägen/Ideen bzgl. der Einteilung der Partitionen sowie den mount-Optionen, wie diese Partitionen eingebunden werden. Dann wirst du wohl schonmal das /tmp-Problem besser handlen können.

Wie mit iptables Ports gesperrt werden lässt sich ja dann obiger Anleitung entnehmen.

Und für die Zukunft empfehle ich dir die Lektüre von Artikel zum Thema Incident Response...

[lord_pinhead]

Is zwar ein bischen spät, aber in Zukunft:

Hi,

ich würde es gerne mir selber erabeiten und auch nachlesen .... Problem ist nur das ich keine Zeit habe und in den nächsten Stunden reagieren muss um großes Unheli zu verhindern.

man iptables und http://www.selflinux.org/selflinux/html/iptables.html

Mein Problem ist nach wie vor das sich in /var/tmp jemand einschleicht und dort eine programminstatliiert welches z.B. über Port 6666 anfängt zu senden / evtl. zu spamen ....

Kenn ich und kommt meist über falsch Konfigurierte Webserver bzw. XSS (Cross-Site Scripting). Lies dich mal in suPHP und suExec ein und leg für den Apache ein eigenes Temp-Directory an, dann weißt du wie weit der Angreifer (Bot) kommt. Installlier dir aber nen IDS System, sonst bringt dir das alles nix.

Ich benötige einfach etwas welches verhindert .... das gesendet wird ... damit ich zeit habe die daten zu sichern und den server neu aufzusetzen.

weiter hin wäre intressant zu wissen wie ich es verhinder kann das wwrun cron jobs erzeugen kann..

Seid so freundlich und gebt mir ein paar tipps. Aussagen wie RTFM kann ich aus zeitlichen gründen nicht gebrauchen ....
Danke

Wenn er schon Cronjobs angelegt hat würde ich dem System nimmer trauen. Hat es sich wieder gelegt und du hast deine Ruhe oder isses immernoch (denk hoffentlich net)

[kawfy]

weiter hin wäre intressant zu wissen wie ich es verhinder kann das wwrun cron jobs erzeugen kann..

Code: Select all

echo wwwrun >> /var/spool/cron/deny

Vgl. a. "man 1 crontab" (Vixie Cron, u. a. bei Suse Linux):

[...] If the allow file exists, then you must be listed therein
in order to be allowed to use this command. If the allow
file does not exist but the deny file does exist, then you
must not be listed in the deny file in order to use this
command. If neither of these files exists, then depending
on site-dependent configuration parameters, only the super
user will be allowed to use this command, or all users
will be able to use this command. [...]