PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Server unsicher?????



Gunther
12.05.04, 18:41
Hallo

ich hab auf meinem Suse Linux 7.3 Server einen Webserver laufen

jetzt hab ich die index seite im browser aufgerufen und jetzt hat jemand etwas an der seite geändert: port 139 schliessen steht da!


ich war das nicht,

wurde mein linux pc gehackt????

danke
gunther

bluesky666
12.05.04, 18:43
also ich tät mal deine Einstellungen überprüfen, so wie es aussieht läuft dein Samba Server auch auf dem externen Interface.
Wie wäre es mal mit ner Firewall sprich ein paar Ports schließen oder Deine Dienste richtig konfigurieren. :rolleyes:

Gunther
12.05.04, 18:48
bitte um erklärung:

so wie es aussieht läuft dein Samba Server auch auf dem externen Interface.

danke

und wie man das ändern kann

bluesky666
12.05.04, 18:57
also bei mir läuft kein Samba auf externen Interface, wie willst Du das sehen, da Port 137,138 und 139 nach außen zu sind, außerdem läuft mein Samba auf eth0, das interne Interface

bluesky666
12.05.04, 18:59
das einzige was bei mir extern läuft ist mein Webserver,Mailserver, Ftp Server und ssh Server

Gunther
12.05.04, 19:05
der samba server läuft auch nur auf der internen ip

Gunther
12.05.04, 19:09
der läuft schon 2 jahr so. :eek:

reicht es wenn ich dann in etc/services vor die port 137, 138, 139 eine "#" mache?

taylor
12.05.04, 19:09
Also hat jemand deinen HTTP Daemon kompromittiert.

Ansich sollte man die Kiste neu Installieren. Und diesesmal auf Sicherheits-Updates achten.

Gunther
12.05.04, 19:10
Also hat jemand deinen HTTP Daemon kompromittiert

sorry ich bin nicht so der linux profi, eher noob. was heißt das???

taylor
12.05.04, 19:13
"Dein Webserver wurde gehackt"


(und wehe jemand macht mich aufmerksam auf den Unteschied zwischen..... :p )

Gunther
12.05.04, 19:16
ok das hab ich verstanden, danke

was bringt dann die neuintallation???

ist es auch damit getan wenn ich den webserver einfach bende??? Ich brauch den pc im wesentlichen zum routen und als speicherplatz im netzwerk (samba)

taylor
12.05.04, 19:34
was bringt dann die neuintallation???

Das Problem besteht darin, dass jemand auf Deinen Server Zugriff hatte, und Du nun nicht sagen kannst, was er alles dort verändert hat.

Vieleicht hat er in Rootkit installiert. Oder sonst irgendwas, das muss ja nicht gleich auffallen.

Aus diesem Grund empfiehlt man, kompromittierte Server komplett neu aufzuspielen.

Gunther
12.05.04, 19:38
ok
eine neuinstallation ist zwar ein haufen arbeit und ich muss nachschauen wie das alles wieder geht, aber ........


wenn ich den server dann neu aufgesetzt hätte, reicht es dann das ich den webserver beende oder........ ?

taylor
12.05.04, 19:42
Klar, das ist sicher eine Menge Arbeit. Aber nur so kannst Du sichergehen, dass alles im Lot ist.

Einen Webserver kann man schon laufen lassen (siehe Internet :) ), nur muß immer die aktuellste Version eingespielt sein, und er muß richtig konfiguriert werden.

Sicherheitspatches!

Viel Erfolg!

Gunther
12.05.04, 19:53
aller gut, dann muss ich mir halt die zeit nehmen und das alles neu machen,


Danke
Gunther

Tuxist
12.05.04, 20:25
kleiner Tipp! ;)Webmin (http://www.webmin.com) vereinfacht die konfiguration erheblich .
Und mach von anfang ein Backup

fladi.at
12.05.04, 21:09
wie wäre es mal mit einer firewall?
wenn dir der eindringling schon den hinweis auf den port 139 hinterlässt, dann mach ihn doch bitte mal zu.
neuinstallation wird wohl unumgänglich sein, da ich annehme, dass du nicht in der lage bist (soll kein vorwurf sein), die integrität des systems zu verifizieren.

um samba nur auf das interne interface zu binden musst du foolgende zeilen in deiner smb.conf in der sektion [global] hinzufügen:

bind interfaces only = yes
interfaces = ethX

wobei ethX durch den namen deines internen interfaces zu ersetzen ist.
und nach der installation gleich eine firewall installieren (z.b. http://www.shorewall.net/) und dort alles dichtmachen, und nur die wirklich benötigten dienste freigeben.

RapidMax
12.05.04, 21:32
Netterweise hat dein ungebetener Besucher gleich auf den Fehler hingewiesen.

Schau doch mal in der /etc/samba/smb.conf nach, ob dort in der Sektion global folgendes steht:

[global]
# ...
interfaces = eth0
# ...
Aber du musst damit rechnen, dass du schon ziemlich jedes Root-Kit auf deinem Rechner hast, das es gibt :ugly:

Darum würde ich die Kiste neu aufsetzen. Und zwar gleich mit einem aktuelleren Linux, für das es noch Security-Updates gibt. (7.3 wird von SuSE nicht mehr unterstützt). Ich persönlich bevorzuge für Server Distributionen, die sich konfortabel per apt/emerge oder ähnlichen Tools updaten lassen. Je einfacher es geht um so öfter macht man es!

Gruss, Andy

Gunther
13.05.04, 20:29
danke für die vielen tips.

an rapidmax: was schlägst du für eine seververion vor???

an tuxist: danke das hab ich schon drauf, ist sehr gut.


an fladi.at: dass du nicht in der lage bist (soll kein vorwurf sein), die integrität des systems zu verifizieren.

ist kein vorwurf, und was heißt der letzt teil auf deutsch???


danke
gunther

Gunther
13.05.04, 20:33
bei der sache mit dem interface, das steht die interne ip und subnetzmaske


so sieht das aus:

[global]
netbios name = HOMER
interfaces = 149.149.210.200/255.255.0.0
encrypt passwords = Yes
character set = ISO8859-15
os level = 2
kernel oplocks = false
printing = sysv
security = user
keepalive = 120


[printers]
comment = All Printers
path = /var/tmp
create mask = 0600
printable = Yes
browseable = No

[Speicherplatz]
path = /Netzwerkordner
browseable = yes
writeable = yes
create mode = 0777
valid users = admin,root
invalid users = nobody

[Homepage]
path = /usr/local/httpd/htdocs
browseable = yes
writeable = yes
create mode = 0777
valid users = admin,root
invalid users = nobody

fladi.at
13.05.04, 21:43
füg doch noch das "bind interfaces only = yes" in der [global] sektion hinzufügen.
der ip-bereich, den du bei "interface" angegeben hast, ist ja imho nicht privat, sonder gehört zu den public-ips? gib dort doch einfach nur den namen deines internen interface an, z.b. eht0 oder eth1.

das mit dem system verifizieren meinte ich, dass du nicht die sicherheit des systems garantieren kannst, wenn dort einmal eingebrochen wurde. wer weis, was der eindringling hinterlassen hat.

slime
13.05.04, 21:55
hallo,
also ich tippe mal darauf das der tran2root exploit (oder ähnlich) gegen samba angewendet wurde. der liefert bei ein wenig gedult und falscher samba-version dem angreifer eine root-shell.
meines wissens ist suse 7.3 in der default-config verwundbar.
ein einspielen einer neueren samba-version oder schließen der ports sollte diese sicherheitslücke schließen.

mfg carsten

RapidMax
13.05.04, 21:55
Genau, wenn du zwei Interfaces hast (wovon ich ausgegangen bin), dann bindest du Samba an dieses Interface. Falls du nur ein Interface hast, dann bindest du Samba zumindest an dein internes Netz.

Wenn du den Server verifizieren willst, so musst du von einem sauberen System booten. Ich empfehle Knoppix oder gleich diese Variante hier (http://www.heise.de/security/artikel/46939).

Gruss, Andy

Schärple
13.05.04, 22:00
der läuft schon 2 jahr so. :eek:


Im Gegensatz zu einem Autofahrer, der "mit der Zeit" Erfahrung sammelt und sicherer fährt, wird ein Server mit zunehmender Betriebszeit nicht sicherer! Im Gegenteil. ;-)

Gunther
14.05.04, 07:06
so sieht das dann geändert aus:

[global]
netbios name = HOMER
bind interfaces only = yes
interfaces = eth0
encrypt passwords = Yes
character set = ISO8859-15
os level = 2
kernel oplocks = false
printing = sysv
security = user
keepalive = 120


an RapidMax:
ich hab 2 netzwerkkarten drin.

ich lad mir jetzt diese Knoppix std version. Wenn ich dann dies cd boote, kann ich dann das system so zu sagen auf viren und solche sachen durchsuchen lassen?

an alle:
danke
gunther

johnpatcher
14.05.04, 07:22
schau dir doch erstmal die logs an ...

tac /var/log/messages ...

bzw

cat /var/log/messages

kann dauern, bis man am ende angekommen ist. ;D

johnpatcher

Gunther
19.05.04, 16:47
wo soll ich suchen
ich ein log verzeichnis unter etc/var/log

da gibts samba und httpd und noch so sachen, ist das das richtige????



und nach was soll ich da suchen?????

was ist auffällig????