Wo informiert Ihr euch bezüglich Sicherheitsupdates

[landyphil]

Hallo Admins,

nachdem ich in diesem Jahr bereits 2 x gehäckt wurde musste ich schmerzvoll erfahren das ich das Thema Updates und Häckerschutz wohl viel zu lachs angegengen bin. War wohl nur gluck das ich die letzten 5 Jahre 0 (ZERO) erfolgreiche Hacks auf'm rechner hatte :?:
Es lag wohl auch daran das ich vorher keine weit verbreitete SW / CMS verwendet habe. Nun habe ich etliche Joomla CMS und 3rd Party Tools instaliert und muss mich sputen bei den Updates schnell zu sein damit der Hacker nicht vor mir auf dem Rechner ist.

Hier nun meine eigentliche Frage:

In welche Maillinglisten seit Ihr eingetragen um informiert zu sein?


Derzeit bin ich bei Heise in der Mailliste eingetragen und ein täglicher Besuch bei einschlägige Joomla Foren ist angesagt.

cu
Phil

[mattiass]

nachdem ich in diesem Jahr bereits 2 x gehäckt wurde

Wie tief gehackt?

BBs, Joomla und Co wird man in absehbarer Zeit kaum soweit bekommen, dass sie sich überhaupt nicht mehr missbrauchen lassen. Zudem wird es immer wieder Kunden geben, die grob fahrlässig alte oder selbst programmierte miserable Software einsetzen.

Man muss also dafür sorgen, dass ein Angreifer nicht allzu tief ins System kommt -- ein Kernel-Root-Exploit wäre hier der GAU. Möglichkeiten, die Folgen eines erfolgreichen Einbruchs zu beschränken, liegen unter anderem darin, keine Dienste direkt in der Host-Umgebung laufen zu lassen, sondern nach Möglichkeit fein granuliert mit Jails oder wenigstens Chroots zu arbeiten. Sauber gemacht, bleibt ein Angriff auf eine Kundenumgebung beschränkt und die kann man auch ohne großes Geschrei mal vom Netz nehmen...

Zurück zum Thema: ich lasse täglich "cvsup" durchlaufen und wenn irgendwelche Patches für das Basissystem mitkommen, baue ich es neu und verteile es via "rsync" an die anderen Server und in die Jails. Für kritische Lücken im Basissystem stellt FreeBSD.org einen Feed zur Verfügung, Debian tut ähnliches... Auch bei den Ports läuft einmal am Tag "portupgrade -na" und bei vorhandenen Updates ein Blick in das Changelog, in der Regel installiere ich gleich die angebotenen aktuellen Versionen. Auch hier werden Packages gebaut und via Rsync an die anderen Rechner verteilt...

[khark]

Ich habe Full-Disclosure abonniert mit entsprechenden Filter- und Highlighting-Regeln für von mir eingesetzte Software.

Dazu dann noch Heise, Heise Security, Slashdot (wobei das eher weniger Security ist) und ein paar Foren wo dann auch ab und zu mal ein Blick in die Security-Bereiche geworfen wird (Rootforum, Typo3-Forum u.a.).

Aber am besten ist es seine Logfiles im Auge zu behalten, sofern es sowenige sind, das man dies kann. Wenn man täglich mal kurz seine auth.log (SSH-Logdatei), access_log und error_log überfliegt sitzt man meistens in der 1. Reihe wenn der nächste große Wurm kommt.
- Reguläre Ausdrücke oder Tools wie "Logwatch" sind da auch hilfreich.

[bad_brain]

ich machs eigentlich genau umgekehrt, ich informiere mich nicht über die updates sondern über neue sicherheitslücken, bis ein patch verfügbar ist vergeht ja immer etwas zeit und im zweifelsfall kann man einen verwundbaren dienst erstmal komplett dichtmachen bis ein patch verfügbar ist (der dann bei mir eh automatisch per cronjob eingespielt wird).
als quellen benutze ich RSS feeds von:
packetstormsecurity.org
milw0rm.com
securityfocus.com