Serversicherheit

Dieses Thema im Forum "Linux OS" wurde erstellt von feiz, 21.10.2008.

  1. #1 feiz, 21.10.2008
    Zuletzt bearbeitet: 21.10.2008
    feiz

    feiz Eroberer

    Dabei seit:
    21.03.2008
    Beiträge:
    67
    Zustimmungen:
    0
    Hallo.

    Ich möchte meinen Server besser absichern, da ich einen Einbruchversuch hatte, der Angreifer wollte meinen Server als Spamschleuder missbrauchen.
    Aufgrund der Firewall gelang es ihm aber nicht
    Die Firewall ist auf einem anderen System und kann von meinem Server aus nicht umgangen oder geändert werden. (Sie ist als separate Dienstleistung gebucht und hat ein eigenes Webinterface wo man alles einstellen kann)
    Zum Glück waren die Ports auch ausgehend so restiktiv eingestellt, dass keine Email rausging. Weil ich Postfix (und andere Sachen) nicht sicher konfigurieren kann, hatte ich einfach alle Ports (ausser HTTP, FTP, SSH) eingehend und ausgehend dicht gemacht, da email nicht benötigt wird. (reiner Webserver)
    (Habe Postfix nur installiert, weil er als Bedinung von anderen Programmen verlangt wurde)

    Jetzt möchte ich den Server sicherer machen.
    Folgende Maßnahmen habe ich bereits ergiffen:

    Administrationsaccount, login nur mit administrationsaccount möglich, weder mit root noch mit irgendetwas anderem. Um als Root zugriff zu bekommen muss ich erst mit dem Administrationsaccount einloggen und dann unter Angabe des Root-Passwort zu root wechseln.

    SSH habe ich von Port 22 auf einen anderen, vom standard abweichenden Port gelegt.
    Den SSH Zugang zu meinem Server habe ich über die externe Firewall auf mein IP-Subnet begrenzt (Ich habe quasi-statische IP beim Internetzugang, nur letzte Ziffer ändert sich gelegentlich)

    Cronjob für automaitisches Update eingerichtet, clamAV und chkrootkit installiert.

    Meine Linuxkenntnisse gehen so weit, dass ich, ausgehend von einem Minimalst-Linux (also nur KErnsystem mit SSH Zugang) einen Webserver mit php und mysql und allen weiteren benötigten Diensten nur über die Konsole installallieren und einrichten kann.
    Allerdings kenne ich mich nicht wirklich gut aus wenns ins Detail geht.

    Ich bin gut genug, das ganze funktionsfähig einzurichten.
    Allerdings ist das dann auch mehr eine Standard-Konfiguration, die etwa das bietet was man bei den Webhostern üblicherweise so als Standardpaket bekommt. Wenn mehr gefordert wird, komme ich aber auch schon ganz schön ins schwitzen. Ich kenne die Konfigurationsdateien nicht auswendig, und muss jedes mal Dokus oder HowTos lesen oder in Büchern nachschlagen.

    Den Sicherheitsaspekt habe ich leider immer etwas vernachlässigt, kenne auch nicht so die Sicherheitslöcher und die Schwachstellen.
    Da ich mich sicherheitsmäßig nicht so gut auskenne, habe ich auch die Firewall als externe Dienstleistung in Anspruch genommen, da ich mir selbst nicht zutraue, mit iptables und anderen Maßnahmen ein System schön dicht zu bekommen. Bisher war es auch einzig und alleine die separat gemietete Firewall, die den Server dann doch "sicher" gemacht hat. Ohne die professionell eingerichtete Firewall mit diversen sicherheitsfunktionen wär wohl viel schneller jemand in den Server eingedrungen, so hat es halt relativ lange gedauert.
    Hohe Mauer mit schwerem Stahltor ums Grundstück, aber dann ne marode Haustür ohne Schloss, so lässt sich die Situation beschreiben.

    Deswegen will ich jetzt mal den server selbst sicherer gestalten.
    Ich würde ihn am liebsten von grund auf neu aufsetzen und dann gleich von Anfang an auf Sicherheit achten (und nicht nur darauf, dass es funktioniert)

    Wie richtet man insbesondere die folgenen Programme sicher ein:
    Debian 4 Grundsystem mit: Apache 2, PHP 5, MySQL 5.1, Postfx, FTP-Server.
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 supersucker, 21.10.2008
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Da du es ja schon selber erkannt hast, spar ich mir mal den obligatorischen root-und-kein-plan-link....:devil:

    Zur Frage, auf die Schnelle:

    Generell:

    - Security-mailing-Liste von Debian mitlesen
    - IDS wie snort installieren
    - Software up-2-date halten

    Apache:

    - Puh, da gibt es vieles. Das DDOS-Modul von Apache ist sicher schon mal ein guter Anfang.

    Mysql:

    - Das hängt im Wesentlichen von der Applikation ab, die darauf zugreift -> Stichwort: SQL-Injection
    - Nur dem root-user ist ein "drop ...." erlaubt

    Kurze Auswahl weil ich keinen Bock hab mir einen Wolf zu tippen, andere tragen bestimmt auch noch einiges bei.
     
  4. Gast1

    Gast1 Guest

    Moment mal:

    Wenn ich das richtig verstehe, dann war der Angriff selbst aber erfolgreich und Dein System wurde kompromittiert.

    Wurden Mails vom System selbst versendet und dann "später" von der externen Firewall geblockt?

    Wenn ja, dann wurde das System kompromittiert.

    Dann hilft nur eines:

    => System runterfahren, Daten für Analyse sichern, Lücke ausfindig machen und schliessen, System abgesichert neu aufsetzen und erst dann wieder ans Netz nehmen.
     
  5. feiz

    feiz Eroberer

    Dabei seit:
    21.03.2008
    Beiträge:
    67
    Zustimmungen:
    0
    Ja. Das System versuchte ständig emails abzusetzten, aber die Firewall verhinderte dies. Postfix bekam keine Verbindung zu web.de, gmx, t-online und co um die mails da abzusetzen, und ich bekam das auch als x-tausendfache Fehlermeldung beim Log zu lesen.

    Die Firewall hat mir eine Warnung geschickt, darauf hin habe ich auch mal das Log vom Server gelesen.
     
  6. Gast1

    Gast1 Guest

    Dann ist das System kompromittiert worden und das Kind liegt im Brunnen.

    Maßnahmen stehen oben, nimm die Kiste vom Netz, wer weiß, was der Angreifer noch alles angestellt hat, was Du _nicht_ findest.

    HTTP und FTP sind offen? Schön, darüber (wahrscheinlich über den Webserver) kam der Angreifer rein und über diese Kanäle kommt er sicher auch wieder raus, und damit lässt sich genügend Schindluder treiben.
     
  7. feiz

    feiz Eroberer

    Dabei seit:
    21.03.2008
    Beiträge:
    67
    Zustimmungen:
    0
    Achja der Angreifer ist per SSH eingedrungen, er hat irgendwie das Root Passwort herausgefunden und dann irgend ein Bot oder so installiert.
     
  8. Gast1

    Gast1 Guest

    *AAAAAAAAAAAARGGHHHHHHHHHHHHHHH*

    Deine Kiste wurde also auch noch komplett "gerootet"?

    Schalt das DING ab!

    Und wenn man nicht mal seinen SSH-Login absichern kann, dann sollte man sie auch nicht mehr so schnell anschalten!
     
  9. #8 feiz, 21.10.2008
    Zuletzt bearbeitet: 21.10.2008
    feiz

    feiz Eroberer

    Dabei seit:
    21.03.2008
    Beiträge:
    67
    Zustimmungen:
    0
    Ja, webserver und FTP waren offen, irgendwie hat er dadurch dann wohl die ersten Maßnahmen ergriffen um später per SSH ganz gemütlich den rest zu machen.
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    Naja ich habe erst mal alle Ports in der Firewall gesperrt, will noch veruschen herauszufinden was der angreifer alles gemacht hat bevor ich den Recovery (neuinstallation mit Debian-Grundsystem) beauftrage.
     
  10. Gast1

    Gast1 Guest

    Und das geht auch sicher in der seriellen Konsole.

    Wenn "alle Ports" bedeutet http/ftp und ssh, dann geht es eh nur über diese.

    Und das "Recovery" setzt Dir die Kiste spätestens dann mit der selben Lücke wieder ins Netz, wenn Du die selbe SW wieder draufknallst, die schon lief, das muss nicht das Grundsystem sein, aber es wäre möglich.

    Dann kommt der (selbe?) böse Bube über die selbe Lücke wieder rein, Deine IP dürfte inzwischen auf gewissen Listen wahrscheinlich weit oben stehen.

    Vorherige, _komplette_ Sicherung des jetzigen Systems zur "Post Mortem"-Analyse ist nicht vorgesehen?

    Falls nein, eine sehr törichte Idee.
     
  11. #10 Bâshgob, 21.10.2008
    Bâshgob

    Bâshgob freies Radikal

    Dabei seit:
    29.07.2004
    Beiträge:
    2.334
    Zustimmungen:
    0
    Ort:
    Hannover
    In der Tat. Sei dir sicher, feiz, Geschädigte werden erstmal auf dich zukommen mit eventuellen Schadenersatzansprüchen usw. Nur auf dich und niemand anderen.
     
  12. #11 feiz, 21.10.2008
    Zuletzt bearbeitet: 21.10.2008
    feiz

    feiz Eroberer

    Dabei seit:
    21.03.2008
    Beiträge:
    67
    Zustimmungen:
    0
    Hi.

    Also serielle Konsole geht leider nicht, habe keinen pysikalischen Zugriff auf den Server.
    Eine komplette Sicherung werd ich auf jeden Fall machen und mir das Image dann runterladen und auf dem PC analysieren.
    Das Recovery ist ein vorgefertigtes Image vom Provider, wie sicher dieses ist kann ich nicht sagen.

    Vielleicht kündige ich den Server aber auch, und hol mir nen normalen Webspace, ist zwar teurer (wenn ich keine Abstriche bei der Speicherkapazität mache) und weniger flexibel aber ich habe weniger Arbeit und Probleme damit.
     
  13. #12 supersucker, 21.10.2008
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Ich tippe ja mal eher stark darauf, das das Image ok war / ist, jedoch durch nachfolgende Änderungen vom TE eben eine Lücke entstanden ist.

    Wenn nämlich das Image des Providers fehlerhaft wäre, wäre das schon lange in einschlägigen Kreisen bekannt und entsprechende Angriffsversuche wären schon lange gestartet -> so was schlägt Wellen bzw. bleibt nicht unbemerkt.

    Von daher denke, ist es etwas "über-paranoid" das image selber für fehlerhaft zu halten.

    Auch wenn das zugegebenermaßen natürlich trotzdem möglich ist.
     
  14. Gast1

    Gast1 Guest

    Es geht eher um die Frage wie aktuell diese Images sind und ob da auch zumindest nach dem Recovery gleich die neusten Patches noch eingespielt werden oder ob das in der Verantwortung des Kunden liegt (und da es um Debian geht, sage ich nur SSL, mehr nicht).

    Sollte z.B. die Erstinstallation vor dem Patchen der Lücke gewesen sein und der TE keine Updates eingespielt haben, dann wissen wir ja, wieso wahrscheinlich das Root-PW "erraten" wurde.
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. #14 feiz, 21.10.2008
    Zuletzt bearbeitet: 21.10.2008
    feiz

    feiz Eroberer

    Dabei seit:
    21.03.2008
    Beiträge:
    67
    Zustimmungen:
    0
    Also dass ich den Server aufgesetzt habe ist schon länger her. Ein Update hatte ich im April gemacht. Wann war denn der besagte Patch?

    Und wie oft sollte man updaten? Wöchentlich?
    Reicht eine automatische Updateroutine via Cronjob oder muss man irgendwo noch selbst Hand anlegen?

    Achja, die Programme wie Apache, PHP, usw habe ich per Apt-Get installiert und dann das meißte in der Standardeinstellung belassen, nur funktional wichtige Dinge hab ich dann angepasst.
    Weiß bei vielen Optionen aber auch nicht, was sie überhaupt bewirken und muss mich auf verschiedene Tutorials und so verlassen.
     
  17. Gast1

    Gast1 Guest

    Anhand Deiner letzten Postings ist das hier

    die einzig vernünfige Idee.

    Das ist nicht böse sondern ernst gemeint.
     
Thema:

Serversicherheit