Schutz vor ein/ausgehende DOS-Attacken

Apache, Lighttpd, nginx, Cherokee
bennle
Posts: 77
Joined: 2005-06-09 17:56

Schutz vor ein/ausgehende DOS-Attacken

Post by bennle » 2007-08-12 22:47

Hallo
Ich möchte meine Firewall so konfigurieren, dass ich mich vor ein bzw. ausgehenden DOS-Attacken schützen kann.
Mir wird leider mein Server ständig gesperrt, weil eine DOS-Attacke davon raus geht. Ich gehe davon aus, das es sich um ein Perlscript des Kunden handelt. (denn es ist nicht regelmäßig)

Also wie kann ich mich am besten schützen und gleichzeitig es noch Loggen, damit ich es ausfindig machen kann??

Wäre echt super wenn ihr was empfehlen könntet.


Gruß
Benny

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Schutz vor ein/ausgehende DOS-Attacken

Post by lord_pinhead » 2007-08-13 19:41

Kurz und knapp:
Geht nicht

Langfassung:
Ausgehender DoS bedeutet das deine Kiste gerootet wurde, was nützt es dir wenn du auf einer kompromitierten Kiste eine Firewall laufen lässt? Genau nichts.

Eingehend kann im höchstfall der Provider blocken, aber die schalten meist einfach den Zugang/Port ab, weil ein Angriff von mehreren Hundert oder Tausend Clients kann man nicht blocken ohne nicht false postives zu haben. Ausserdem kommt nach wie vor der Traffic an deiner Kiste an, ob jetzt ein Paketfilter ihn mittes drop verwirft spielt keine Rolle, das Ziel des Angriffs ist erreicht: Verzehren deiner Bandbreite bzw. Auslasten der CPU. Keine Software kann das stoppen ausser die Router der Provider, und auch das ist nicht gerade leicht.

Lösung:
Beten das kein DDoS kommt. Klingt doof, ist aber so.

bennle
Posts: 77
Joined: 2005-06-09 17:56

Re: Schutz vor ein/ausgehende DOS-Attacken

Post by bennle » 2007-08-13 20:16

Hallo,
Ok, so schlau bin ich auch schon geworden.
Jedoch habe ich festgestellt das folgendes Skript lief m0rgan-w4s-h3r3.
Ich habe es natürlich gleich gekillt und mod_security installiert.

Jetzt stehe ich allerdings noch vor dem Problem, ob ich das Skript irgendwo auffinden und eliminieren muss oder ob ich damit das Problem gelöst habe.

Den Server neu aufsetzen würde ich äußerst ungern tun, aber wenn es nicht anders möglich ist, dann wird mir wohl keine Wahl bleiben.

Übrigens: Findet Clam auch Rootkits?

Gruß
Benny

aubergine
Posts: 471
Joined: 2005-09-10 17:52
Location: Frankfurt am Main

Re: Schutz vor ein/ausgehende DOS-Attacken

Post by aubergine » 2007-08-13 21:28

bennle wrote:Jetzt stehe ich allerdings noch vor dem Problem, ob ich das Skript irgendwo auffinden und eliminieren muss oder ob ich damit das Problem gelöst habe.


Nein, die Lücke in deiner Applikation und nicht vorhandene Sicherheit hinsichtlich der Konfiguration von Apache und PHP (mal abgesehen von der Änderung mit mod_security) sind das Problem.

bennle wrote:Übrigens: Findet Clam auch Rootkits?


Wenn es soweit ist bleibt dir nichts anderes übrig als neu zu installieren, weil das System soweit manipuliert ist dass nichts mehr vertrauenswürdig ist.

Helfer in diese Richtung sind rkhunter und chkrootkit welche das System auf typischen Symptome hinsichtlich gängigen rootkits prüfen.

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Schutz vor ein/ausgehende DOS-Attacken

Post by lord_pinhead » 2007-08-13 21:57

Kann mich Auberdine nur anschließen. Ich hab selbst immer versucht ein System sauber zu bekommen, allerdings haben 2 bekannte mich mal um Hilfe gebeten und nach etlichen Stunden war ich auch mit meinem Latein am Ende wie man die Aufspüren könnte, eine Neuinstallation mit aktuellerer Software (also aktuelle Forensoftware und Co.) war dann die Folge. Selbst die Forensik hat nicht geklappt, der Angreifer hat mittels shred oder dd die Logfiles mehrfach überschrieben wie es aussah. Installiere das System neu und mach es von Anfang besser, dann kannst du auch sicher sein das deine Kiste keine unliebsamen Mitbenutzer hostet. Mod_Security und Gotroot Rules sind schonmal ein guter Anfang. PHP als FastCGI ausführen und je andere Rechte geben, /tmp für Webuser sperren und dennen eigene Ordner geben und im Apachen eintragen, dann dürfte die Chance sehr gering sein das jemand erfolgreich über ein PHP Script auf den Server kommt.

bennle
Posts: 77
Joined: 2005-06-09 17:56

Re: Schutz vor ein/ausgehende DOS-Attacken

Post by bennle » 2007-08-14 11:23

Hallo,
Ich glaube das ich die Kiste wieder im Griff habe! Ein Rootkit hat sich auch nicht erwiesen.
Natürlich habe ich php mit suPhp am laufen und jeder hat seinen eigenen Benutzer. Ich denke leider wurde es trotzdem irgendwie umgangen.
Meine Firewall ist ebenfalls aktiv und es geht so gut wie nichts rein und raus.
Vorher ging leider alles raus was wollte, denn ich habe da ein Problem mit CGI/Perlanwendungen, welche auf einen entfernten Rechner zugreifen sollen.

Ist da nicht der Port 80/443/21 zuständig?? Könnte mir jemand mal vielleicht einen iptables befehl für die Freigabe geben?

Ebenfalls würde ich gerne ein Timeout für die Anwendungen setzen. Gibt es eine Perlconfig??

MfG
Benny

rsr
Posts: 11
Joined: 2007-08-14 11:35
Location: St. Tropez

Re: Schutz vor ein/ausgehende DOS-Attacken

Post by rsr » 2007-08-14 11:57

Hi Benni!

Es wird wohl kein Rootkit sein sondern eher ein Bot der sich über irgendeine Schwachstelle eines PHP-Progis oder zB über das mod_rewrite des Apache eingeschlichen hat. Welche Apache-Version fährst Du?

Liegen merkwürdige Dateien in Deinem tmp-Verzeichnis? Stoppe mal den Apache und schaue Dir an, welche Prozesse noch laufen unter dem Apache-User. Das sollte Aufschluss geben, denn eigentlich sollten keine Prozesse des Apache-Users mehr laufen.

Dein Problem ist ja, das die Sachen von Deinem Server RAUSgehen und nicht reinkommen, somit bringt die Firewall nicht wirklich etwas. Du musst das Problem an den Wurzeln suchen.

Gibt es irgendwelche CRON-Jobs für den Apache-Benutzer?

Ein par Infos können nicht schaden.

timeless2
Posts: 416
Joined: 2005-03-04 14:45
Location: Paris

Re: Schutz vor ein/ausgehende DOS-Attacken

Post by timeless2 » 2007-08-14 12:12

bennle wrote:Ich glaube das ich die Kiste wieder im Griff habe! Ein Rootkit hat sich auch nicht erwiesen.

Also wenn jemand Zugriff auf dein System hatte, kannst du ihm nicht mehr trauen. Selbst wenn du alles im Griff zu haben glaubst, du weißt es nicht. Vielleicht ist doch noch irgendwo ein Hintertürchen.

bennle
Posts: 77
Joined: 2005-06-09 17:56

Re: Schutz vor ein/ausgehende DOS-Attacken

Post by bennle » 2007-08-14 12:31

Hallo,
Ich gebe dir da natürlich vollkommen recht, jedoch ist das System so gesichert, dass es fast unmöglich ist nochmal rein zu kommen und noch was anzustellen.

Ich Logge natürlich derzeit verstärkt! Und ich bekomme jeden Schritt mit! Sollte sich nur etwas auffälliges Zeigen, wird es gleich zur nichte gemacht.

Natürlich wenn ich merke das es nur 1% nicht überschaubar ist, dann würde ich auch neu installieren! Aber das sollte man doch überblicken können.

Gruß
Benny

PS: Bei nächsten Vorfall ist die Kiste gleich aus ;D

sledge0303
Posts: 695
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: Schutz vor ein/ausgehende DOS-Attacken

Post by sledge0303 » 2007-08-14 12:42

Hallo,

die Jungs von der Gegenseite haben auch so ihre kleinen Tricks um Aktivitäten zu verschleiern... Ist der Server einmal kompromittiert worden kann man ihn nicht mehr trauen. Er muss ja nicht jetzt missbraucht werden, kann auch Wochen oder gar Monate später passieren, wenn der Störenfried ihn für seine Spam oder DDoS Attacken braucht. Blos dann ist es zu spät...

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Schutz vor ein/ausgehende DOS-Attacken

Post by lord_pinhead » 2007-08-14 15:53

Der Punkt ist, der Angreifer kann Syslog verändern und das Logging für seine Aktivitäten ausschliessen ohne das du es merkst. Es kann ja auch sein, das jemand eine PHP oder Perlscript so verändert hat um seine aktivitäten auch nach Entdeckung des Einbruches fortführen zu können. Wenn ein Spammer z.B. auf deiner Kiste war, dann kann er ja einfach mail() nutzen und du wirst es nicht merken und auch mod_sec nicht. Da liegt auch das Problem mit dem Datensichern.

Du müsstest im Betrieb alle Librarys und Programm neuinstallieren, und einige davon werden zu 100% soviel ärger machen das es zum Heulen ist. Den Kernel mit GRSec Patchen damit du sicher sein kannst das er auch Sauber ist, und das auf einem wirklich sauberen System.

Klingt etwas übertrieben, aber denk daran das du haftest für deinen Rechner, und das Lahmlegen eines anderen Servers oder Netzwerks dürfte dann ziemlich viel Geld kosten. Ist ja dein Bier was du machst, aber wie auch bei Windows gibt es keinen 100% Schutz das dein System auch nach dem "säubern" wirklich sauber ist. Schonmal ein Portscan von aussen gemacht?