Archiv verlassen und diese Seite im Standarddesign anzeigen : Server unsicher?????
Hallo
ich hab auf meinem Suse Linux 7.3 Server einen Webserver laufen
jetzt hab ich die index seite im browser aufgerufen und jetzt hat jemand etwas an der seite geändert: port 139 schliessen steht da!
ich war das nicht,
wurde mein linux pc gehackt????
danke
gunther
bluesky666
12.05.04, 18:43
also ich tät mal deine Einstellungen überprüfen, so wie es aussieht läuft dein Samba Server auch auf dem externen Interface.
Wie wäre es mal mit ner Firewall sprich ein paar Ports schließen oder Deine Dienste richtig konfigurieren. :rolleyes:
bitte um erklärung:
so wie es aussieht läuft dein Samba Server auch auf dem externen Interface.
danke
und wie man das ändern kann
bluesky666
12.05.04, 18:57
also bei mir läuft kein Samba auf externen Interface, wie willst Du das sehen, da Port 137,138 und 139 nach außen zu sind, außerdem läuft mein Samba auf eth0, das interne Interface
bluesky666
12.05.04, 18:59
das einzige was bei mir extern läuft ist mein Webserver,Mailserver, Ftp Server und ssh Server
der samba server läuft auch nur auf der internen ip
der läuft schon 2 jahr so. :eek:
reicht es wenn ich dann in etc/services vor die port 137, 138, 139 eine "#" mache?
Also hat jemand deinen HTTP Daemon kompromittiert.
Ansich sollte man die Kiste neu Installieren. Und diesesmal auf Sicherheits-Updates achten.
Also hat jemand deinen HTTP Daemon kompromittiert
sorry ich bin nicht so der linux profi, eher noob. was heißt das???
"Dein Webserver wurde gehackt"
(und wehe jemand macht mich aufmerksam auf den Unteschied zwischen..... :p )
ok das hab ich verstanden, danke
was bringt dann die neuintallation???
ist es auch damit getan wenn ich den webserver einfach bende??? Ich brauch den pc im wesentlichen zum routen und als speicherplatz im netzwerk (samba)
was bringt dann die neuintallation???
Das Problem besteht darin, dass jemand auf Deinen Server Zugriff hatte, und Du nun nicht sagen kannst, was er alles dort verändert hat.
Vieleicht hat er in Rootkit installiert. Oder sonst irgendwas, das muss ja nicht gleich auffallen.
Aus diesem Grund empfiehlt man, kompromittierte Server komplett neu aufzuspielen.
ok
eine neuinstallation ist zwar ein haufen arbeit und ich muss nachschauen wie das alles wieder geht, aber ........
wenn ich den server dann neu aufgesetzt hätte, reicht es dann das ich den webserver beende oder........ ?
Klar, das ist sicher eine Menge Arbeit. Aber nur so kannst Du sichergehen, dass alles im Lot ist.
Einen Webserver kann man schon laufen lassen (siehe Internet :) ), nur muß immer die aktuellste Version eingespielt sein, und er muß richtig konfiguriert werden.
Sicherheitspatches!
Viel Erfolg!
aller gut, dann muss ich mir halt die zeit nehmen und das alles neu machen,
Danke
Gunther
kleiner Tipp! ;)Webmin (http://www.webmin.com) vereinfacht die konfiguration erheblich .
Und mach von anfang ein Backup
wie wäre es mal mit einer firewall?
wenn dir der eindringling schon den hinweis auf den port 139 hinterlässt, dann mach ihn doch bitte mal zu.
neuinstallation wird wohl unumgänglich sein, da ich annehme, dass du nicht in der lage bist (soll kein vorwurf sein), die integrität des systems zu verifizieren.
um samba nur auf das interne interface zu binden musst du foolgende zeilen in deiner smb.conf in der sektion [global] hinzufügen:
bind interfaces only = yes
interfaces = ethX
wobei ethX durch den namen deines internen interfaces zu ersetzen ist.
und nach der installation gleich eine firewall installieren (z.b. http://www.shorewall.net/) und dort alles dichtmachen, und nur die wirklich benötigten dienste freigeben.
Netterweise hat dein ungebetener Besucher gleich auf den Fehler hingewiesen.
Schau doch mal in der /etc/samba/smb.conf nach, ob dort in der Sektion global folgendes steht:
[global]
# ...
interfaces = eth0
# ...
Aber du musst damit rechnen, dass du schon ziemlich jedes Root-Kit auf deinem Rechner hast, das es gibt :ugly:
Darum würde ich die Kiste neu aufsetzen. Und zwar gleich mit einem aktuelleren Linux, für das es noch Security-Updates gibt. (7.3 wird von SuSE nicht mehr unterstützt). Ich persönlich bevorzuge für Server Distributionen, die sich konfortabel per apt/emerge oder ähnlichen Tools updaten lassen. Je einfacher es geht um so öfter macht man es!
Gruss, Andy
danke für die vielen tips.
an rapidmax: was schlägst du für eine seververion vor???
an tuxist: danke das hab ich schon drauf, ist sehr gut.
an fladi.at: dass du nicht in der lage bist (soll kein vorwurf sein), die integrität des systems zu verifizieren.
ist kein vorwurf, und was heißt der letzt teil auf deutsch???
danke
gunther
bei der sache mit dem interface, das steht die interne ip und subnetzmaske
so sieht das aus:
[global]
netbios name = HOMER
interfaces = 149.149.210.200/255.255.0.0
encrypt passwords = Yes
character set = ISO8859-15
os level = 2
kernel oplocks = false
printing = sysv
security = user
keepalive = 120
[printers]
comment = All Printers
path = /var/tmp
create mask = 0600
printable = Yes
browseable = No
[Speicherplatz]
path = /Netzwerkordner
browseable = yes
writeable = yes
create mode = 0777
valid users = admin,root
invalid users = nobody
[Homepage]
path = /usr/local/httpd/htdocs
browseable = yes
writeable = yes
create mode = 0777
valid users = admin,root
invalid users = nobody
füg doch noch das "bind interfaces only = yes" in der [global] sektion hinzufügen.
der ip-bereich, den du bei "interface" angegeben hast, ist ja imho nicht privat, sonder gehört zu den public-ips? gib dort doch einfach nur den namen deines internen interface an, z.b. eht0 oder eth1.
das mit dem system verifizieren meinte ich, dass du nicht die sicherheit des systems garantieren kannst, wenn dort einmal eingebrochen wurde. wer weis, was der eindringling hinterlassen hat.
hallo,
also ich tippe mal darauf das der tran2root exploit (oder ähnlich) gegen samba angewendet wurde. der liefert bei ein wenig gedult und falscher samba-version dem angreifer eine root-shell.
meines wissens ist suse 7.3 in der default-config verwundbar.
ein einspielen einer neueren samba-version oder schließen der ports sollte diese sicherheitslücke schließen.
mfg carsten
Genau, wenn du zwei Interfaces hast (wovon ich ausgegangen bin), dann bindest du Samba an dieses Interface. Falls du nur ein Interface hast, dann bindest du Samba zumindest an dein internes Netz.
Wenn du den Server verifizieren willst, so musst du von einem sauberen System booten. Ich empfehle Knoppix oder gleich diese Variante hier (http://www.heise.de/security/artikel/46939).
Gruss, Andy
der läuft schon 2 jahr so. :eek:
Im Gegensatz zu einem Autofahrer, der "mit der Zeit" Erfahrung sammelt und sicherer fährt, wird ein Server mit zunehmender Betriebszeit nicht sicherer! Im Gegenteil. ;-)
so sieht das dann geändert aus:
[global]
netbios name = HOMER
bind interfaces only = yes
interfaces = eth0
encrypt passwords = Yes
character set = ISO8859-15
os level = 2
kernel oplocks = false
printing = sysv
security = user
keepalive = 120
an RapidMax:
ich hab 2 netzwerkkarten drin.
ich lad mir jetzt diese Knoppix std version. Wenn ich dann dies cd boote, kann ich dann das system so zu sagen auf viren und solche sachen durchsuchen lassen?
an alle:
danke
gunther
johnpatcher
14.05.04, 07:22
schau dir doch erstmal die logs an ...
tac /var/log/messages ...
bzw
cat /var/log/messages
kann dauern, bis man am ende angekommen ist. ;D
johnpatcher
wo soll ich suchen
ich ein log verzeichnis unter etc/var/log
da gibts samba und httpd und noch so sachen, ist das das richtige????
und nach was soll ich da suchen?????
was ist auffällig????
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.