RootForum Community

Ab und an passiert es, dass eine Webseite eines Kunden gehackt wird. Wenn wir dann innert kurzer Zeit eine oder mehrere Abuse-Mails bekommen, haben wir noch Glück gehabt und können der Sache nachgehen - ohne schwerwiegendere Folgen.
Meine Frage ist, ob jemand ein Tool oder eine Vorgehensweise kennt, selber frühzeitig solche Aktivitäten zu entdecken.

Wir verwenden SuUE 11.4, PLESK, Apache

Eine dedizierte Firewall.

Sorry, ich habe nicht erwähnt, dass unsere Webserver bei STRATO stehen. Deshalb muss ich nach einer andern Lösung suchen.

Den Webusern per SELinux/AppArmor/whatever das Erzeugen von Sockets unterbinden.

danu wrote:Sorry, ich habe nicht erwähnt, dass unsere Webserver bei STRATO stehen. Deshalb muss ich nach einer andern Lösung suchen.

Eben, Du musst Dir eine andere Lösung suchen. Die nächste sinnvolle und effektivste Lösung ist ein entsprechendes Colocoation und eine Firewall davor klemmen. Der Rest hilft Dir nur so weit, wie der Angreifer unbedarft ist.

Wenn sich bei "einem" Kunden regelmässig löcher öffnen und genutzt werden, dann sind da erwartungsgemäss auch ein paar findige Kollegen auf dem Radar.

Colocations und Firmennetzwerk sind wir laufend am optimieren. Dabei haben wir von einer Partnerfirma -zig Hostingkunden übernommen, u.a. mit älteren Joomla's, in "vergessenen" Subdomains.
Ja, ich danke euch schon mal für die paar Tips. Ich sehe jedenfalls eine Menge Arbeit vor mir.

Also als quick Tipps und Stichworte:

Snort, IDS, logwatch.

Das bringt Dir aber nur etwas, wenn Du es zeitnah auswertest und sehr kurzfristig reagieren kannst.

Generell würde ich ein Monitoring aufsetzen, dass ggf. bei deutlich stärkerem Netzwerktraffik etc. alarm schreit und dich schnellstmöglich informiert.

Das ganze macht leider aber erst dann Sinn, wenn es auf externe Systeme aufsetzt und an externen Messpunkten misst. z.B. den Traffic (Menge und Art) an der Firewall oder Switch etc.

Generell würde ich jedoch ausgehenden Datenverkehr erstmal blocken.
Für einzelne Dienste lässt sich das nur schwehr bewerkstelligen, aber hier kann man dann auf eine Drosselung z.B. eingehen um das schlimmste wenigstens zu mildern.

Hier fängt es halt leider an, dass Rootserver bei hostern nicht die notwendige Möglichkeiten bieten.
Ich habe allerdings bei deinem Provider lange auf vlans gesetzt und in der Tat auch hierüber den ausgehenden Netzwerktraffik durch einen davor liegendes Gateway (rootsever im vlan) gefiltert, analysiert und bei bedarf auch geblockt.