On 23.12.05 12:25:49, Gerhard Gaussling wrote: > ich habe einen debian sarge server mit gepatchtem awstats 6.4, dass ich > durch .htacess vor unerlaubtem Zugriff schütze. Ich bekomme des öfteren > Meldungen wie diese, da war glaube ich auch mal ein linux-wurm dabei.
404 und 401 sind ja nur Meldungen deines Servers, dass die Seiten nicht gefunden wurden. Solange nicht jemand versucht damit ne DOS-Attacke zu fahren... > Daneben gibt es die üblichen ssh Angriffe, mitden blödsinnigsten > Benutzernamen. Root darf sich nicht anmelden, das läuft über sudo/su. > Wie habt ihr euren server abgesichert? Gegen das ssh-Anklopfen hilft den sshd auf nen anderen Port umzuziehen. Das ist genauso sicher/unsicher wie auf Port22 aber das Log wird nicht so zugeschuettet mit den ollen Script-Einbruchsversuchen... Ansonsten laeuft bei mir logwatch und ausser sshd momentan eh nichts weiter auf dem externen NIC. Demnaechst wird Apache angeschaltet, fuers erste wohl nur fuer ein Subversion-Repository. Da wirds dann nur https geben und Zugriff ueber Login. > Ich benutze logcheck - filtern geht hier nicht, logcheck produziert mir zuviel Output, da finde ich logwatch besser. Da sieht man immernoch Unregelmaessigkeiten, denke ich, und kann dann bei Bedarf direkt die Logdateien lesen. Beim logcheck-Output weiss ich das ich das nicht lange mitmache den jeden Tag zu lesen... > Womit untersucht ihr, ob der server noch "clean" ist? Bisher gar nicht. Man koennte wohl vllt. so ein checkrootkit-Dingens laufen lassen, mal schauen.. Andreas -- You prefer the company of the opposite sex, but are well liked by your own. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
