Ordner schützen

B

bobo

Eroberer
-
 
Zuletzt bearbeitet:
Deine Kiste im Internet direkt erreichbar wurde gehackt? Dann Kiste platt machen und neu und sicher aufsetzen. Wenn du es nicht kannst dann heuere einen echten Admin an der es auch kann.
 
Nimm den Server schnell vom Netz sonst mußt du noch Schadenersatz leisten ...
 
Wenn der in der Lage wa da einen SPAMbot reinzupflanzen kann er dir auch ein rootkit untergejubelt haben. Bist du Haftpflichtversichert?
 
Zuletzt bearbeitet:
Ich will Popcorn und einen Platz in der ersten Reihe!
 
bobo schrieb:
@codc:Selten sowas arrogantes gesehen. Hier werd ich bestimmt nichts mehr fragen.
Man bekommt nur blöde Kommentare und Belehrungen von irgendwelchen Wichtigtuern.
Hauptsache Du bist der Fachmann, aber wahrscheinlich haste selbst keine Ahnung.

Wird vielleicht besser sein ... Al Kaida sucht imho noch Leute ...

Du kannst einen Einbruch erkennen, aber weißt keinen Weg daraus? - Irgendwas stimmt bei dir nicht ;)

Ich tippe wirklich darauf das du nicht weißt was du tust - und da ist der vergleich von codc schon sehr passend ....
 
bobo schrieb:
Hauptsache Du bist der Fachmann, aber wahrscheinlich haste selbst keine Ahnung.

@bobo: Look at my signature - ich hab zumindest schon mal gezeigt dass ich was davon verstehe. Arrogant bist du - du ignorierst arrogant sämtliche gut gemeinte Tipps. Ich hoffe du hast eine Rechtsschutzversichung denn der Typ wird deine Kiste immer wieder besuchen weil im Zweifel offen wie ein Scheunentor.
 
*Kicher*

Lustiges Kerlchen der bobo. Leuten wie dir ist es zu verdanken, das das Medium eMail heutzutage fast nicht mehr zu gebrauchen ist.
 
bobo schrieb:
Der Typ hat nur eine Datei hochgeladen in einen Ordner der nicht schreibgeschützt ist.
Logs belegen das er ansonsten nichts weiteres hochgeladen hat.
Ich bin zwar kein Admin kann aber lesen.

Woher weisst du dass? Du bist kein Admin weshalb administrierst du die Kiste dann? Schon mal was von Rootkits gehört? Schon mal was davon gehört dass man Logfiles teilweise löschen kann?

Fahr die Kiste runter und kündige den Vertrag. Du und deine Einstellung ist gemeingefährlich.
 
codc schrieb:
Woher weisst du dass? Du bist kein Admin weshalb administrierst du die Kiste dann? Schon mal was von Rootkits gehört? Schon mal was davon gehört dass man Logfiles teilweise löschen kann?

Fahr die Kiste runter und kündige den Vertrag. Du und deine Einstellung ist gemeingefährlich.

Nana ...


@Bobo

Wissen schon, aber warum schließt du nicht die PHP Lücke ?
 
Ich hab die Faxen jetzt dicke, ich hab höflich angefragt und werde ausschliesslich von Usern die selbst scheinbar auch keine Ahnung haben nur belehrt.

Genau das wäre es was ich brauche wie schliesse ich die Lücke im php?


Gesetzten Fall ich klemme das Mailsystem komplett ab was für einen Schaden könnte man dann noch anrichten.
In erster Linie dient der Server nur als Gameserver.
 
Zuletzt bearbeitet:
allein deine schilderungen (chmod 777 und der phoese einbrecher kommt immer wieder) zeigen, daß du mit dem betrieb eines derartigen servers vermutlich noch etwas ueberfordert bist. da hilft jetzt auch kein schneller tip gegen das aktuelle problem weil ich zu 100% sicher bin daß da noch mehr etwas leichtfertige einstellungen vorhanden sind.

deswegen :
1.) server komplett neu aufsetzen.
2.) sich ein wenig ueber sicherheit informieren.
3.) entsprechende buecher kaufen/webversionen gucken und lesen.

@bashgob : *popcornreich*
 
Ok, ich setze den Server neu auf.

Welche große Gefahr ausser Spamschleuder und das man den Server dazu
nutzt andere Systeme platt zu machen gibts denn noch.

Ich wäre über konstruktive Hinweise erfreut.
Welche Lektüre empfiehlt denn der Fachmann.

Ich hab ja schonmal keinen rootlogin mehr und ich kann nur mit nem pgp Schlüssel über ssl rein.
Den Schlüssel habe ich über WinSCP3 runtergeladen.
 
bobo schrieb:
Ok, ich setze den Server neu auf.

Welche große Gefahr ausser Spamschleuder und das man den Server dazu
nutzt andere Systeme platt zu machen gibts denn noch.
kleine ftpserver - httpserver - verschiedene rootkits ... das ding kann für ALLES genutzt werden. Angefagen von kleinem Warezvertrieb bis hin für Kinderpornoringe :(

Ich wäre über konstruktive Hinweise erfreut.
Welche Lektüre empfiehlt denn der Fachmann.
Ganz klar Manpages und Google ...


Ich hab ja schonmal keinen rootlogin mehr und ich kann nur mit nem pgp Schlüssel über ssl rein.
Den Schlüssel habe ich über WinSCP3 runtergeladen.
Ich hoffe nicht für User root sondern einen anderen Account ;)
 
Ich kann leider deine ersten Posts nicht mehr lesen und weiss daher nicht genau, worum die Diskussion hier genau geht. Trotzdem muss ich auch sagen, dass deinen Posts zu entnehmen ist, dass du dir scheinbar nicht ueber die rechtlichen Pflichten eines Server-Administrators im klaren bist. Wenn dein Server gehackt wurde und dadurch andere User im Internet z.B. durch Spam u.ae. in Mitleidenschaft gezogen werden, kann das fuer dich extrem teuer werden. Gerade grosse Firmen z.B. lassen sich Unmengen Spam von einzelnen Servern selten gefallen und greifen zu rechtlichen Mitteln (vor allem, wenn diese Server in EU-Laendern stehen). Daher finde ich, dass du den Rat "Nimm den Server vom Netz" durchaus annehmen haettest koennen. Das ist naemlich das erste, wozu ein Admin in diesem Fall verpflichtet ist. Selbst wenn es ein Dedicated Server ist, solltest du in diesem Fall die Moeglichkeit des Zugriffs ueber eine serielle Konsole nutzen (deswegen sollte man niemals einen Rootserver ohne serielle Konsole mieten *find*)

http://aymanh.com/tips-to-secure-linux-workstation <- Hier geht es zwar um eine Workstation, aber das meiste kannst/solltest du auch bei Servern anwenden. Und dann hier noch ein paar allgemeine Hinweise (ich weiss jetzt nicht, welche auf der Seite schon erwaehnt wurden, aber ich zaehl einfach mal auf :) )

- Root-Login fuer SSH deaktivieren und SSH auf einen anderen Port legen
- Firewall aufsetzen, wobei z.B. das folgende Skript einfach entsprechend angepasst werden kann
Code:
#!/bin/bash

# Dieses Firewall-Skript gibt SSH, SMTP, POP3, IMAP, HTTP und MySQL nach aussen frei

echo "Starting firewall"

LOGLIMIT=20
IPTABLES=/sbin/iptables

case "$1" in
start)
        # alle alten Regeln entfernen
        echo "Loesche alte Regeln"
        $IPTABLES -F
        $IPTABLES -X
        $IPTABLES -t nat -F
        ### ERSTELLE NEUE KETTEN ###
        # Chain to log and reject a port by ICMP port unreachable
        $IPTABLES -N LOGREJECT
        $IPTABLES -A LOGREJECT -m limit --limit $LOGLIMIT/minute -j LOG --log-prefix "FIREWALL REJECT " --log-level notice -
-log-ip-options --log-tcp-options
        $IPTABLES -A LOGREJECT -j REJECT --reject-with icmp-port-unreachable

        ### PROC MANIPULATION ###
        # auf Broadcast-Pings nicht antworten
        echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
        # halt die Klappe bei komischen ICMP Nachrichten
        echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
        # Kicke den ganzen IP Spoofing Shit
        # (Source-Validierung anschalten)
        echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
        # Setze Default-TTL auf 61 (Default fuer Linux ist 64)
        echo 61 > /proc/sys/net/ipv4/ip_default_ttl
        # sende RST-Pakete wenn der Buffer voll ist
        echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow
        # warte max. 30 secs auf ein FIN/ACK
        echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
        # unterbreche Verbindungsaufbau nach 3 SYN-Paketen
        # Default ist 6
        echo 3 > /proc/sys/net/ipv4/tcp_syn_retries
        # unterbreche Verbindungsaufbau nach 3 SYN/ACK-Paketen
        # Default ist 6
        echo 3 > /proc/sys/net/ipv4/tcp_synack_retries

        ### MAIN PART ###
        $IPTABLES -P INPUT DROP
        $IPTABLES -P FORWARD DROP
        $IPTABLES -P OUTPUT ACCEPT
        $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
        # im Loopback koennen wir jedem trauen
        $IPTABLES -A INPUT -i lo -j ACCEPT
        # erlaube Pings
        $IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
        # erlaube SSH
        $IPTABLES -A INPUT -p tcp --dport 22 --tcp-flags ALL SYN -j ACCEPT
        # SMTP
        $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT
        # POP3
        $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT
        # IMAP
        $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT
        # Webserver
        $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
        # MYSQL
        $IPTABLES -A INPUT -m state --state NEW -p tcp --dport 3306 -j ACCEPT
        # Alle TCP Packete, die bis hier hin kommen, werden
        # geloggt und rejected
        # Der Rest wird eh per Default Policy gedroppt...
        $IPTABLES -A INPUT -p tcp -j LOGREJECT
        $IPTABLES -A FORWARD -p tcp -j LOGREJECT
        ;;
*)
        echo "Usage: `basename $0` {start}" >&2
        exit 64
        ;;
esac

exit 0
- nur Services nach aussen frei geben, die wirklich benoetigt werden. Nicht benoetigte Services am Besten deaktivieren
- Snort oder ein anderes IDS einsetzen um in Zukunft Einbrueche besser zurueckverfolgen zu koennen und die ueblichen Angriffe von vornherein zu unterbinden
- mit Tripewire, AIDE o.ae. kannst du die Datei-Integritaet sicher stellen, so dass du im Falle eines erfolgreichen Angriffs genau sehen kannst, welche Dateien der Angreifer im System evtl. veraendert/hinzugefuegt hat.
- Limits fuer alle User und Gruppen in /etc/security/limits.conf festlegen
- Shell fuer alle System-Accounts auf /bin/false, /bin/nologin o.ae. setzen (musst du sehen, was in deinem System existiert)
- grundsaetzlich sollte fuer User mit gueltiger Shell ein Passwort mit min. 12 Zeichen, bestehend aus Buchstaben (gross und klein), Zahlen und Sonderzeichen, gesetzt sein
- im Idealfall nutzt man einen Kernel mit Stack-Smashing-Protection (Stichworte: SELinux, Openwall)
- und wenn du dein System dann richtig gut kennst, nimmst du dir SELinux, wodurch zu den ueblichen Benutzer- und Gruppenrechten auch noch Rollen hinzukommen, wodurch ein "Fine-Tuning" der Benutzer-Rechte moeglich wird
- ausserdem solltest du per Cron mindestens einmal am Tag Tiger durchlaufen lassen (Dieses Tool checkt dein laufendes System auf Sicherheitsluecken durch und findet, sofern chkrootkit installiert ist, auch die meisten bekannten Rootkits, wenn eines "eingepflanzt" wurde. Es gibt zwar ab und an False-Positives (z.B. durch DHCPD), aber die lernt man im Laufe der Zeit zu erkennen und kann dann die Konfiguration von Tiger einfach entsprechend anpassen.)

Sicherlich kann man noch vieles mehr tun (siehe den Link), aber auf einen Server sollten die von mir aufgezaehlten Punkte das Minimum sein. *find*
 

Ähnliche Themen

Anti-Cheat-Software unter Linux: Immer weniger Spiele scheitern am Schutz vor Betrügern

Ubuntu Pro: Kostenlos mehr Sicherheit auch für Privatanwender (Update)

Ubuntu Pro: Kostenlos mehr Sicherheit auch für Privatanwender

Ubuntu Pro: Mehr Sicherheit auch für Privatanwender kostenlos

Ubuntu Pro: Mehr Sicherheit auch für Privatanwender kostenlos (Update)

Zurück
Oben