Hallo,

mein Server bei Hosteurope ist seit einigen Tagen immer wieder Hackerangriffen ausgesetzt. Soweit ich das schnalle werden u.a. über meinen Server andere Server mit BruteForce-Attacken überschwemmt.

Teilweise ist mein Server dann auch sowas von lahm, dass ich mit PLESK nicht mehr arbeiten kann. auch ein einloggen via SSH ist dann nicht mehr möglich.

Leider habe den wohl den großen Fehler gemacht so einen Server zu mieten ohne den geringsten Plan von linux zu haben-das war nicht gerade clever-das weiß ich nun auch. Trotzdem muß ich irgendwie aus der Nummer wieder rauskommen. Jeden Abend den Server abschalten(die Angriffe erfolgen wohl meistens nachts) kann ja nicht die Lösung sein.

Ich habe jetzt seit 2 Tagen wohl so ziemlich jedes Forum durchforstet und viel zu SSH usw. gelsen. Da ich ja wohl erst mal die größeten Sicherheitslücken schließen muß habe ich zunächst mal den Port von 22 auf 2222 umgestellt. Dann wollte ich als nächstes einen User anlegen, dann in der sshd_config den Parameter PermitRootLogin auf NO setzen um mich dann als der neue User einloggen um mich dann über su - als root einzuloggen. Aber daran verzweifele ich schon. Ist der Weg überhaupt sinnvoll?

Was kann man tun oder wie kann man mein Problem lösen? welche detaillierten Infos barucht Ihr dafür?

Würde mich über jede Antwort freuen.

Hilfloser Gruß,
Heinz

P.S.: Sollte ich meine Frage in das falsche Themengebiet gestellt habe bitte ich um Entschuldigung

Hallo hein.duckdich,
erstmal willkommen im Forum!



Jeden Abend den Server abschalten(die Angriffe erfolgen wohl meistens nachts) kann ja nicht die Lösung sein.

Nein, aber den Server ganz abschalten und abmelden, dich mit Linux auseinandersezten, und wenn du dich auskennst, dann kannst du dir ja überlegen, ob du wirklich einen brauchst. (Nicht böse sein - das ist wäre besser für dich, und die leute, die über deinen rooty angegriffen werden. Aber andere können dir da bestimmt mehr erzählen. )

Ich muss gestehen, dass ich mich im server-bereich nicht wirklich auskenne. Aber mal ganz ehrlich: einmal gehackt, würde ich dir dringends, ja wirklich dringends raten (falls du den rooty nicht abschaltest, was das Beste ist) den server neu aufzusetzen; sonst kannst du imho nicht sicher gehen, dass es du bist, der Kontrolle über den Server hat, und nicht jemand anderes.

Vielleicht ist es besser, erstmal einen ManagedServer/Webspace zu mieten, bis Du Dir die nötigen Grundkenntnisse angeeignet hast.

Wie kommst Du darauf, daß Dein Server gehackt wurde? BruteForce-Attacken sind eigentlich normal und sollten den Server nicht lahmlegen.

BruteForce-Attacken sind eigentlich normal und sollten den Server nicht lahmlegen.
[QUOTE=hein.duckdich] über meinen Server andere Server mit BruteForce-Attacken überschwemmt. [QUOTE]
... das ist doch schon ein unterschied, oder? ... wobei mich interessieren würde, warum du das vermutest. (@hein)

Was ist da so wichtiges drauf das die Kiste so dermaßen bombatiert wird?
Oder wurde der Server vieleicht schon kompromitiert?
Mich wundert es jetzt schon das die Kiste nichtmal mehr erreichbar ist.
Hast du iptabes am laufen? Dann kannst du dir ja mal fail2ban anschauen.

Wenn er allerdings schon kompromitiert ist hilft nur noch platt machen;)

Erst mal danke für die Antworten. Der Support von HE vermutet das u.U. jemand ein Script eingeschleust hat. Ich bekomme Mails von Leuten die sich beschweren dass ich versuchen würde Ihren Server zu hacken. Das tue ich natürlich nicht.

Abschalten kann ich nicht komplett, da ich mir den Server mit ein paar Freunden teile und meine und deren Domains darüber laufen-die würden mir was erzählen.

Linux neu aufsetzen könnte ich natürlich kostenpflichtig vom HE-Support machen lassen aber damit wäre doch dann nur das Symptom und nicht die Ursache beseitigt. Ich muß doch davon ausgehen, dass in der Konfiguration wie der Server aufgestzt wird, wieder Sicherhetslöcher sind. Und alle paar Wochen/Monate alles platt zu machen kann doch auch keine Lösung sein.

Gibts es denn vielleicht jemanden hier, der mir sagen kann welche Sicherheitslücken generell zu schliessen sind? Es gibt doch zig Server die von außen nicht angreifbar sind und sicherlich auch Mechanismen die Zugriffe verhindern,

Gruß,
heinz

Abschalten kann ich nicht komplett, da ich mir den Server mit ein paar Freunden teile und meine und deren Domains darüber laufen-die würden mir was erzählen.
wirst du aber müssen. Du kannst nicht einfach so einen kompromierten server rumlaufen lassen ...


Linux neu aufsetzen könnte ich natürlich kostenpflichtig vom HE-Support machen lassen aber damit wäre doch dann nur das Symptom und nicht die Ursache beseitigt. Ich muß doch davon ausgehen, dass in der Konfiguration wie der Server aufgestzt wird, wieder Sicherhetslöcher sind.
Sehr richtig. Und da du dich selber anscheinend nicht gut genug auskennst, kann ich nur das wiederholen, was PierreS bereits gesagt hat: leg dir einen ManagedServer/Webspace zu. Das dürfte für dich wahrscheinlich das Beste sein.

Wenn ein Server erst ein mal kompromittiert ist, gibt es eigentlich KEINE Möglichkeit, ihn sicher zu "retten"...
Ein neu-aufspielen ist also sowieso unvermeidbar!
Bei der NEUEN Linux-Installation kann man dann die Sicherheit verbessern... Aber das dann bitte so schnell wie möglich...

Aber auch ich möchte dir raten, erstmal von dem root-Server ABSTAND zu nehmen.
Denn das ist ein gefährliches Spiel!

Außerdem hast du sehr viel zu beachten, wenn du deinen root-Server sicher machen willst:
1. Passwörter müssen eine gewisse komplexität haben
2. Man kann und sollte den SSH-Port woanders hin legen
3. Anwendungen/Dienste sollten auf den neuesten/sichersten Stand gehalten werden
4. Man sollte die Mailing-Listen von den Anwendungen/Diensten verfolgen, sich über deren Schwachstellen informieren, abwägen, ob Alternative Anwendungen besser wären, welche Konfiguration die größt-mögliche Sicherheit bringt...
5. Könnten auch evtl. Scripts von deinen Freunden Sicherheits-Lücken enthalten
6. Sollten NUR DIE Dienste nach außen angeboten werden, die wirklich verfügbar sein müssen
etc...
Ich denke, die Liste müsste noch viel länger sein...

Du siehst: Einen root-Server zu betreiben ist nicht ohne...

Ach ja... Wenn jemand über deinen komprommitierten root-Server Schaden anrichtet, kannst DU dafür verantwortlich gemacht werden...
Also NIMM DAS DING VOM NETZ oder lass es ZUMINDEST neu aufsetzen bevor evtl. noch schlimmere Sachen damit gemacht werden und dir vielleicht sogar evtl. Abmahnungen / Klagen in's Haus flattern!

Abschalten kann ich nicht komplett, da ich mir den Server mit ein paar Freunden teile und meine und deren Domains darüber laufen-die würden mir was erzählen.
Das absolut mindeste, was du tun musst, ist, den Server komplett plattzumachen. Das System ist in keinster Weise mehr vertrauenswürdig.
Also Daten deiner Freunde sichern, und den Support mit dem zurücksetzen des Servers beauftragen. Danach kannst du nach sorgfältiger Durchsicht der Daten (insbesondere php-Scripte) die Daten wieder zurückspielen und den Server neu einrichten.

Und ich würde mir die Scripte gut anschauen, denn wenn die ähnlich viel Plan vom Scripten haben, wie du von Linux, ist es recht wahrscheinlich, dass der Angreifer über eines dieser Scripte reingekommen ist.


ich muß doch davon ausgehen, dass in der Konfiguration wie der Server aufgestzt wird, wieder Sicherhetslöcher sind.
Bei sowas sind die Chancen für ein Doppelloch recht gut: zuerst ist der Apache nebst php nicht vernünfigt gesichert, und dann packen auch noch Leute php-Seiten auf den Server, die Löcher aufweisen.
Was die Sicherheitsseite am Server angeht: die aktuellen Security-Fixes mußt du natürlich selber einspielen. Deswegen werden sie ja von deinem Distributor bereitgestellt.

Und wenn der Kram dann wieder läuft, würde ich die Zeit nutzen, um mich nach dem schon oft erwähnten managed Server umzusehen.
Der ist zwar teurer, aber wesentlich billiger als das, was du zahlen darfst, wenn einer das nächste warez-Depot auf deinem Rechner findet.

Da Du schon Beschwerden bekommen hast: Server umgehend herunterfahren und die Domains auf vom Hoster verwalteten Webspace umziehen. Du kannst froh sein, daß Du überhaupt erstmal auf einen Angriff, der von Deinem Server ausgeht, hingewiesen wirst.

2. Man kann und sollte den SSH-Port woanders hin legen
Nö. Das erspart dir nur die zahllosen Logeinträge von automatisierten Einlogversuchen. Mit einem auch nur einigermassen sicheren Passwort kommt sowas nicht rein*.

Und jeder, der eine "echte" brute-Force Attacke versucht, findet den neuen Port in ungefähr 15 Sekunden raus.

"Security by obscurity" hilft rein gar nichts. Das Umlegen des Ports macht deine Logfiles übersichtlicher, aber sonst nichts.

Bei den restlichen Punkten stimme ich dir allerdings vorbehaltlos zu.

*) Eigentlich sollte eh' nur per Key eingelogt werden können.

Auch wenn das Kind schon in den Brunnen gefallen ist:
* Beende den Webserver
* Beende den MTA
* Durchsuche das System nach dir unbekannten Diensten, die an ein Netzwerk-Interface gebunden sind oder ausgehende Verbindungen offen haben (netstat ist dein Freund).
* Sichere deine Daten und vor allem alle Logdateien für eine spätere Analyse.

Die Kiste solltest du in jedem Fall plattmachen. Halbherziges kaputtreparieren bringt nichts mehr. Sieh es als Lehrgeld und nimm es wie ein Mann. ;)
Ansonsten haben die anderen Poster schon wichtige Hinweise gegeben.

[...]
Linux neu aufsetzen könnte ich natürlich kostenpflichtig vom HE-Support machen lassen aber damit wäre doch dann nur das Symptom und nicht die Ursache beseitigt. Ich muß doch davon ausgehen, dass in der Konfiguration wie der Server aufgestzt wird, wieder Sicherhetslöcher sind. Und alle paar Wochen/Monate alles platt zu machen kann doch auch keine Lösung sein.
[...]


Äh natürlich hast du dann die Ursache erstmal beseitigt. Ein komplett neu aufgesetzter Server auf dem aktuellsten Stand sollte nämlich zunächst mal keine gravierenden Lücken aufweisen, sonst würde ich mir Gedanken machen...

Ich kann mich den Vorrednern nur anschließen - mach das System auf der Stelle platt und lass es neu installieren. Einem kompromittierten System würde ich nicht mehr über den Weg trauen.

Danach beendest du bis auf den sshd alle Serverdienste und richtest die von dir benötigten ( Apache & Co. ) sorgfältig und gewissenhaft neu ein. Und dann kannst du die Sicherungen zurückspielen.

Das einzige was auf dem momentanen System noch sinnvoll ist ist eine Datensicherung und danach eine Neuinstallation. Jemand der dein System kompromittiert hat hat mit Sicherheit ein paar passende Hintertürchen eingebaut durch die er wieder reinkommt...

Wenn dir das zuviel Aufwand und Arbeit ist wirst du dir wohl einen Managed Server besorgen müssen - wer einen eigenen Server betreibt muss sich mit diesem eingehend auseinandersetzen und ihn warten und vor allem regelmäßig Updates einspielen ( ein potentielles Einfallstor kann nämlich auch eine alte Version einer Software gewesen sein ).

-hanky-

P.S.: Was den sshd angeht wurden ja bereits Hinweise gepostet: Public Key ist z.B. ein gutes Stichwort.

es hört sich an, als hättest du einen VPS von HE. du kannst mit plesk ein neues images des betriebssysems einspielen. kostenlos.

felix

1. Server nach Malware (Spambot/Würmer/Trojaner oder sonstige software der "Hacker) checken
2. Server nach Rootkits checken
3. SSH richtig konfigurieren am besten mit Schlüsse!
4. Dienste richtig konfigurieren (TCP Wrapper, VSFTP etc...)
5. Alle unnötigen Dienste deaktivieren
6. Log erweitern
7. Immer schön Updates einspielen
Done

Das selbe hab ich bei meinem Serverchen gemacht... Konnte in den Logs schön nachsehen wer es alles versucht hat und das alle gescheitert sind :)

Hier eine HOWTO damit SSH sicher ist.
http://archiv.debianhowto.de/de/sshconfig/c_sshconfig.html#sshconfig_intro

1. Server nach Malware (Spambot/Würmer/Trojaner oder sonstige software der "Hacker) checken
Nein! Bitte nicht... Wenn ein System erstmal kompromittiert ist, ist es NICHT MEHR VERTRAUENSWÜRDIG!
Man kann ein System so weit "infizieren", dass es jedes Scan-Programm umgeht/komprommitiert...


2. Server nach Rootkits checken
Wie schon gesagt: NEIN!
Server neu aufsetzen! Nur die Daten dürfen gesichert werden (aber die Daten dann bitte nochmal überprüfen)


3. SSH richtig konfigurieren am besten mit Schlüsse!
4. Dienste richtig konfigurieren (TCP Wrapper, VSFTP etc...)
5. Alle unnötigen Dienste deaktivieren
6. Log erweitern
7. Immer schön Updates einspielen

Das alles und vieles mehr... Aber bitte wieder erst auf einem sauberem, neu installiertem System!


Done
Jein....
Wer WIRKLICH sicher sein will, SOLLTE mehr machen...
Ich sage nur Mailing-Listen etc...


Das selbe hab ich bei meinem Serverchen gemacht... Konnte in den Logs schön nachsehen wer es alles versucht hat und das alle gescheitert sind :)
1. IST sein Server schon komprommitiert! Denn über SEINEN Server - ja ÜBER nicht AUF seinem Server - sind Bruteforce-Attacken ausgeführt worden
2. Wer sagt denn, dass die Logs auf einem komprommitierten System nicht bearbeitet wurden? Oder das überhaupt alles mitgeloggt wurde?


Hier eine HOWTO damit SSH sicher ist.
http://archiv.debianhowto.de/de/sshconfig/c_sshconfig.html#sshconfig_intro
Ja, sollte man schon machen...

Sorry, eventuell klingt der Beitrag etwas "harsch", aber ein komprommitiertes System IST nun mal kompromittiert und nicht mehr vertrauenswürdig!
Auf keinen Fall "kaputtreparieren", wie es hier schon jemand so schön gesagt hat...

Sorry, eventuell klingt der Beitrag etwas "harsch", aber ein komprommitiertes System IST nun mal kompromittiert und nicht mehr vertrauenswürdig!
Auf keinen Fall "kaputtreparieren", wie es hier schon jemand so schön gesagt hat...

Du willst nem Laien dazu bringen ohne Ahnung vom System zu haben, es neu aufzusetzen? :)

Dann kann er gleich nen neuen Server verlangen :)

Du willst nem Laien dazu bringen ohne Ahnung vom System zu haben, es neu aufzusetzen? :)
Bei den meisten Providern ist das genau ein Klick oder eine Mail.


Dann kann er gleich nen neuen Server verlangen :)
Oder besser den alten kündigen.

Oder so ^^

Hab noch nie nen Rootserver gemietet :)

Bei mir stehen alle Serverchen zuhause an ner 5000/500 Leitung reicht für meine Bedürfnisse :)

ich hab meinen Server auch zuhause und von host erope ein webpacket für dns

Was hat man denn davon die Kiste zu Hause zu haben? Stromverbraucht, Brandgefahr, Ausgabe für Hardware usw. Wenn ich mir das durchrechnte, fahre ich mit einem Root-Server immer besser. Außer mir sind Dinge wie Performance, Verfügbarkeit usw. egal.

Was hat man denn davon die Kiste zu Hause zu haben? Stromverbraucht, Brandgefahr, Ausgabe für Hardware usw. Wenn ich mir das durchrechnte, fahre ich mit einem Root-Server immer besser. Außer mir sind Dinge wie Performance, Verfügbarkeit usw. egal.
Aber als Root-server besitzer musst du auf den Traffic achten und hast keine Hardware-Kontrolle. Stimmt Performance ist dank DSL etwas geringer.

Aber als Root-server besitzer musst du auf den Traffic achten und hast keine Hardware-Kontrolle. Stimmt Performance ist dank DSL etwas geringer.

Du hast den ganzen Ärger mit der Hardware (Garantie, Defekte), du bist für die Verfügbarkeit der Infrastruktur (Strom, Kühlung, Netzwerk) verantwortlich usw. Ein ziemlich hoher Preis dafür, daß man seine eigene Hardware verwenden will.

Das selbe hab ich bei meinem Serverchen gemacht... Konnte in den Logs schön nachsehen wer es alles versucht hat und das alle gescheitert sind

Das Problem sind ja nicht die Angriffe, die geloggt werden, sondern die, von denen Du gar nicht erfährst, daß sie stattgefunden haben... ;)

Also: Platt machen!

Gruß se

Was hat man denn davon die Kiste zu Hause zu haben? Stromverbraucht, Brandgefahr, Ausgabe für Hardware usw. Wenn ich mir das durchrechnte, fahre ich mit einem Root-Server immer besser. Außer mir sind Dinge wie Performance, Verfügbarkeit usw. egal.

Ganz einfach...

Ich komm an alle meine Daten ran und mehr :)

Ganz einfach...Ich komm an alle meine Daten ran und mehr :)

An meine Daten auf einem Root-Server komme ich nicht dran, oder wie? Es gibt ja auch noch Co-Location.

An meine Daten auf einem Root-Server komme ich nicht dran, oder wie? Es gibt ja auch noch Co-Location.

Am hast du auf deinem Rootserver alle deine Alben, Filme, Urlaubsbilder, Dokumente etc? :)

Am hast du auf deinem Rootserver alle deine Alben, Filme, Urlaubsbilder, Dokumente etc? :)

Also ich glaube nicht das jemand Fileservices auf einem Root-Server anbietet.... Ich bin davon ausgegangen das wir hier alle über Webservices, Mailservices usw. reden. :rolleyes: Es macht natürlich kein Sinn solche Dinge auf einen Root-Server zu legen. Diese Sachen werden aber selten von Außen angefordert, was z.B. die Internetanbindung völlig nebensächlich werden lässt.

Also ich glaube nicht das jemand Fileservices auf einem Root-Server anbietet.... Ich bin davon ausgegangen das wir hier alle über Webservices, Mailservices usw. reden. :rolleyes: Es macht natürlich kein Sinn solche Dinge auf einen Root-Server zu legen. Diese Sachen werden aber selten von Außen angefordert, was z.B. die Internetanbindung völlig nebensächlich werden lässt.

LAMP, VSFTPD, Sendmail etc sind natürlich auch vorhanden ;)

Du legst also auf Deinen Server eine ganze Menge Deiner Daten ab (Alben, Filme, Urlaubsbilder, Dokumente), stellst ihn dann ins Netz und bietest "nebenbei" noch Webdienste an? :confused: :ugly: :eek:

Poste mal bitte Deinen Domainnamen! :D

Gruß se