Iptable wie kann man damit Ports schließen?

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
xamibor
Posts: 211
Joined: 2003-03-11 16:52

Iptable wie kann man damit Ports schließen?

Post by xamibor » 2005-02-04 10:46

Hi,

ich würde es gerne mir selber erabeiten und auch nachlesen .... Problem ist nur das ich keine Zeit habe und in den nächsten Stunden reagieren muss um großes Unheli zu verhindern.

Meine Frage wie kann ich mit Iptable die Ports schließen das diese von keinem anderenm Tool genutzt werden können und nur die Ports offen sins die wichtig sind 80 22 etc.

Mein Problem ist nach wie vor das sich in /var/tmp jemand einschleicht und dort eine programminstatliiert welches z.B. über Port 6666 anfängt zu senden / evtl. zu spamen ....

Ich benötige einfach etwas welches verhindert .... das gesendet wird ... damit ich zeit habe die daten zu sichern und den server neu aufzusetzen.

weiter hin wäre intressant zu wissen wie ich es verhinder kann das wwrun cron jobs erzeugen kann..

Seid so freundlich und gebt mir ein paar tipps. Aussagen wie RTFM kann ich aus zeitlichen gründen nicht gebrauchen ....

Danke

chris76
Moderator
Moderator
Posts: 2015
Joined: 2003-06-27 14:37
Location: Germering

Re: Iptable wie kann man damit Ports schließen?

Post by chris76 » 2005-02-04 10:55

Wer in der Lage ist dir unerwünscht Programme zu installieren, der wird dir auch Deine IP-Tables Konfiguration aushebeln
Last edited by chris76 on 2005-02-04 10:59, edited 1 time in total.
Gruß Christian

BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error

suntzu
RSAC
Posts: 698
Joined: 2002-12-20 19:47
Location: Mönchengladbach

Re: Iptable wie kann man damit Ports schließen?

Post by suntzu » 2005-02-04 10:56

Abgesehen davon, dass ich Chris zustimme:

http://iptables-tutorial.frozentux.net/ ... index.html

xamibor
Posts: 211
Joined: 2003-03-11 16:52

Re: Iptable wie kann man damit Ports schließen?

Post by xamibor » 2005-02-04 11:01

in der Firma in der ich arbeite ..... sagte mir der Admin das der eingreifer nur in TMP gekommen ist und nicht weiter .... leider hat er keine Zeit um mir weitere tipps zu geben .... hat mit den 80 Servern genung zu tun die er betreut ....

Danke für den Tipp .... ich weiß auch schon wie sie rein gekommen sind .... ein fehlerhaftes script welches einen basedir / include rein zieht und nicht auf seiner herkunft über prüft wird.


Für weitere tipps bin ich immer dankbar.

t0x1c
Posts: 127
Joined: 2003-10-09 19:59
Location: Nähe Kiel

Re: Iptable wie kann man damit Ports schließen?

Post by t0x1c » 2005-02-04 12:26

xamibor wrote:Hi,
Seid so freundlich und gebt mir ein paar tipps. Aussagen wie RTFM kann ich aus zeitlichen gründen nicht gebrauchen ....
Es sollte wohl eher heissen "Aus zeitlichen gründen bin ich nicht in der Lage, einen Root-Server zu administrieren"..

smash
Posts: 32
Joined: 2004-12-27 16:53
Location: Hessen

Re: Iptable wie kann man damit Ports schließen?

Post by smash » 2005-02-04 14:17

t0x1c wrote:
xamibor wrote:Hi,
Seid so freundlich und gebt mir ein paar tipps. Aussagen wie RTFM kann ich aus zeitlichen gründen nicht gebrauchen ....
Es sollte wohl eher heissen "Aus zeitlichen gründen bin ich nicht in der Lage, einen Root-Server zu administrieren"..
Ich denke nicht, dass er einen rootserver besitzt.

suntzu
RSAC
Posts: 698
Joined: 2002-12-20 19:47
Location: Mönchengladbach

Re: Iptable wie kann man damit Ports schließen?

Post by suntzu » 2005-02-04 18:59

Such hier im Forum mal nach Vorschlägen/Ideen bzgl. der Einteilung der Partitionen sowie den mount-Optionen, wie diese Partitionen eingebunden werden. Dann wirst du wohl schonmal das /tmp-Problem besser handlen können.

Wie mit iptables Ports gesperrt werden lässt sich ja dann obiger Anleitung entnehmen.

Und für die Zukunft empfehle ich dir die Lektüre von Artikel zum Thema Incident Response...

lord_pinhead
RSAC
Posts: 830
Joined: 2004-04-26 15:57

Re: Iptable wie kann man damit Ports schließen?

Post by lord_pinhead » 2005-04-30 00:50

Is zwar ein bischen spät, aber in Zukunft:
xamibor wrote:Hi,

ich würde es gerne mir selber erabeiten und auch nachlesen .... Problem ist nur das ich keine Zeit habe und in den nächsten Stunden reagieren muss um großes Unheli zu verhindern.
man iptables und http://www.selflinux.org/selflinux/html/iptables.html
Mein Problem ist nach wie vor das sich in /var/tmp jemand einschleicht und dort eine programminstatliiert welches z.B. über Port 6666 anfängt zu senden / evtl. zu spamen ....
Kenn ich und kommt meist über falsch Konfigurierte Webserver bzw. XSS (Cross-Site Scripting). Lies dich mal in suPHP und suExec ein und leg für den Apache ein eigenes Temp-Directory an, dann weißt du wie weit der Angreifer (Bot) kommt. Installlier dir aber nen IDS System, sonst bringt dir das alles nix.
Ich benötige einfach etwas welches verhindert .... das gesendet wird ... damit ich zeit habe die daten zu sichern und den server neu aufzusetzen.

weiter hin wäre intressant zu wissen wie ich es verhinder kann das wwrun cron jobs erzeugen kann..

Seid so freundlich und gebt mir ein paar tipps. Aussagen wie RTFM kann ich aus zeitlichen gründen nicht gebrauchen ....
Danke
Wenn er schon Cronjobs angelegt hat würde ich dem System nimmer trauen. Hat es sich wieder gelegt und du hast deine Ruhe oder isses immernoch (denk hoffentlich net)

kawfy
Posts: 307
Joined: 2002-08-08 23:45

Re: Iptable wie kann man damit Ports schließen?

Post by kawfy » 2005-04-30 02:00

xamibor wrote:weiter hin wäre intressant zu wissen wie ich es verhinder kann das wwrun cron jobs erzeugen kann..

Code: Select all

echo wwwrun >> /var/spool/cron/deny
Vgl. a. "man 1 crontab" (Vixie Cron, u. a. bei Suse Linux):
[...] If the allow file exists, then you must be listed therein
in order to be allowed to use this command. If the allow
file does not exist but the deny file does exist, then you
must not be listed in the deny file in order to use this
command. If neither of these files exists, then depending
on site-dependent configuration parameters, only the super
user will be allowed to use this command, or all users
will be able to use this command. [...]