B
bobo
Eroberer
-
Zuletzt bearbeitet:
Folge dem Video um zu sehen, wie unsere Website als Web-App auf dem Startbildschirm installiert werden kann.
Anmerkung: Diese Funktion erfordert derzeit den Zugriff auf die Seite über den integrierten Safari-Browser.
bobo schrieb:Tipps wie Server runterfahren brauche ich keine
DOCH!Man muß doch nicht gleich vom schlimmsten ausgehen.
bobo schrieb:@codc:Selten sowas arrogantes gesehen. Hier werd ich bestimmt nichts mehr fragen.
Man bekommt nur blöde Kommentare und Belehrungen von irgendwelchen Wichtigtuern.
Hauptsache Du bist der Fachmann, aber wahrscheinlich haste selbst keine Ahnung.
bobo schrieb:Hauptsache Du bist der Fachmann, aber wahrscheinlich haste selbst keine Ahnung.
bobo schrieb:Der Typ hat nur eine Datei hochgeladen in einen Ordner der nicht schreibgeschützt ist.
Logs belegen das er ansonsten nichts weiteres hochgeladen hat.
Ich bin zwar kein Admin kann aber lesen.
codc schrieb:Woher weisst du dass? Du bist kein Admin weshalb administrierst du die Kiste dann? Schon mal was von Rootkits gehört? Schon mal was davon gehört dass man Logfiles teilweise löschen kann?
Fahr die Kiste runter und kündige den Vertrag. Du und deine Einstellung ist gemeingefährlich.
kleine ftpserver - httpserver - verschiedene rootkits ... das ding kann für ALLES genutzt werden. Angefagen von kleinem Warezvertrieb bis hin für Kinderpornoringebobo schrieb:Ok, ich setze den Server neu auf.
Welche große Gefahr ausser Spamschleuder und das man den Server dazu
nutzt andere Systeme platt zu machen gibts denn noch.
Ganz klar Manpages und Google ...Ich wäre über konstruktive Hinweise erfreut.
Welche Lektüre empfiehlt denn der Fachmann.
Ich hoffe nicht für User root sondern einen anderen AccountIch hab ja schonmal keinen rootlogin mehr und ich kann nur mit nem pgp Schlüssel über ssl rein.
Den Schlüssel habe ich über WinSCP3 runtergeladen.
#!/bin/bash
# Dieses Firewall-Skript gibt SSH, SMTP, POP3, IMAP, HTTP und MySQL nach aussen frei
echo "Starting firewall"
LOGLIMIT=20
IPTABLES=/sbin/iptables
case "$1" in
start)
# alle alten Regeln entfernen
echo "Loesche alte Regeln"
$IPTABLES -F
$IPTABLES -X
$IPTABLES -t nat -F
### ERSTELLE NEUE KETTEN ###
# Chain to log and reject a port by ICMP port unreachable
$IPTABLES -N LOGREJECT
$IPTABLES -A LOGREJECT -m limit --limit $LOGLIMIT/minute -j LOG --log-prefix "FIREWALL REJECT " --log-level notice -
-log-ip-options --log-tcp-options
$IPTABLES -A LOGREJECT -j REJECT --reject-with icmp-port-unreachable
### PROC MANIPULATION ###
# auf Broadcast-Pings nicht antworten
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# halt die Klappe bei komischen ICMP Nachrichten
echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# Kicke den ganzen IP Spoofing Shit
# (Source-Validierung anschalten)
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# Setze Default-TTL auf 61 (Default fuer Linux ist 64)
echo 61 > /proc/sys/net/ipv4/ip_default_ttl
# sende RST-Pakete wenn der Buffer voll ist
echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow
# warte max. 30 secs auf ein FIN/ACK
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
# unterbreche Verbindungsaufbau nach 3 SYN-Paketen
# Default ist 6
echo 3 > /proc/sys/net/ipv4/tcp_syn_retries
# unterbreche Verbindungsaufbau nach 3 SYN/ACK-Paketen
# Default ist 6
echo 3 > /proc/sys/net/ipv4/tcp_synack_retries
### MAIN PART ###
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# im Loopback koennen wir jedem trauen
$IPTABLES -A INPUT -i lo -j ACCEPT
# erlaube Pings
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# erlaube SSH
$IPTABLES -A INPUT -p tcp --dport 22 --tcp-flags ALL SYN -j ACCEPT
# SMTP
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT
# POP3
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT
# IMAP
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT
# Webserver
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
# MYSQL
$IPTABLES -A INPUT -m state --state NEW -p tcp --dport 3306 -j ACCEPT
# Alle TCP Packete, die bis hier hin kommen, werden
# geloggt und rejected
# Der Rest wird eh per Default Policy gedroppt...
$IPTABLES -A INPUT -p tcp -j LOGREJECT
$IPTABLES -A FORWARD -p tcp -j LOGREJECT
;;
*)
echo "Usage: `basename $0` {start}" >&2
exit 64
;;
esac
exit 0