Hi,
Heute nacht um 4:25 wurde unser Server gehackt.
Als ich heute morgen meinen wöchentlichen "Kontrollcheck" machen wollte, hab ich im Bereich, wo sonst die webseiten warn nur ne leere HTML mit nem Blumentopf gefunden und alle Passwörter waren verstellt.
Nun gut, war auch nen bisschen meine eigene Schuld, ich hab Sicherheit auf unserm server nie so richtig groß geschrieben.
Glücklicherweise hab ich nen tag vorher grad nen backup des servers gemacht. Strato ermittelt schon gegen die IP.

Gibt es Programme, die den server sicherer machen. Wie sicher ist eigentlich die interne Firewall von Linux? Und wie kann ich Linux allgemein supersicher machen?

Ich verwende SuSe Linux 9.3 auf meinem root.

PS: Ich weiß, als root-server administrator sollte man sich mit linux bestens auskennen, ich sitze nun auch schon seit einiger zeit hinter linux und bin fleißig am lernen.. ;)

Danke.
Br41n

Strato ermittelt schon gegen die IP.

Frei nach Badesalz: "da mus isch ja ma' lache'"

Die Frage nach der Firewall lässt mich auch nur schmunzeln...
Wie dem auch sei: iptables.

gruß

Alex

Gibt es Programme, die den server sicherer machen. Wie sicher ist eigentlich die interne Firewall von Linux? Und wie kann ich Linux allgemein supersicher machen?

Lies das mal durch (insbesonders die Punkte 10. und 12.):

http://www.gentoo.org/doc/de/security/security-handbook.xml?part=0&chap=0

Ansonsten schau mal die Linkliste im Sicherheitsforum (http://www.linuxforen.de/forums/showthread.php?t=136651) an. Da liegt ne Menge Arbeit vor dir.

Das hat aber eigentlich gar nix mit einer Firewall zu tun...

Wie ist denn der Angreifer in das System eingedrungen? BF-Attacke?

Keine Ahnung, ich selber hatte noch keine möglichkeit, an die logs ganzen logs ranzukommen, weil strato den server noch untersucht.

Seit wann hat Strato Polizeibevollmächtigung? Anzeige wirste immernoch selbst erstellen müssen.

comrad

Sollte er (auch) Systeme von Strato selbte angriffen haben, wäre das okay.

Ja, sry, hab mich vorhin falsch ausgedrückt, ich meinte damit, dass strato die ip des angriffs rausgesucht hat. Nun erstelle ich ne Anzeige und strato setzt die ip rein, da sie mir die ip ja nich verraten darf.
Ich hab im Internet jetzt schon einen Haufen How-Tos gelesen, die helfen, den server sicherer zu machen und die werde ich demnächst abarbeiten.

Ich finde es immer wieder faszinierend. Irgendwie habe ich das Gefühl es werden mehr Linux- als Windows-Root Server geknackt.

Ich finde es immer wieder faszinierend. Irgendwie habe ich das Gefühl es werden mehr Linux- als Windows-Root Server geknackt.

Es gibt mehr Linux-Root-Server (Linux-Root-Server sind meist billiger)?
Geiz ist geil. Sicherheit ist out.

Keine Ahnung, ob du recht hast, aber jedenfalls ist das auf Dauer keine gute Linux-PR.

Ich finde es immer wieder faszinierend. Irgendwie habe ich das Gefühl es werden mehr Linux- als Windows-Root Server geknackt.

Falls du in einem Windows-Server Forum angemeldet seien solltest, könntest du ja mal Vergleiche ziehen.

Ich kann nur sagen, das 100% aller Server von denen ich hörte, sie wären gehackt worden, mit Linux betrieben werden. ;)

Hi,

ich betreue "nebenbei" ein paar Rootserver. Die laufen alle unter Linux und sind noch nie gehackt worden.

Was mache ich falsch?

Na ja, ich bin zumindest in keinem Windowsforum dauerhaft aktiv, so das ich da mal vergleiche ziehen könnte. Aber ich kenne eine größere DMZ in der ca. 115 Windows 2003 Server stehen und von denen ist noch keiner gehackt worden. Und Security-Patches werden nicht sofort eingespielt, sondern erst nach Test, Abnahme usw. Alles eine Frage wie gut man Systeme absichert. Aber wenn ich überlege wer sich alles einen Linux-Root Server holt und betreibt... besser nicht weiter darüber nachdenken.

Bevor ich wieder Vergleiche aus der Windows-Welt heranziehe und mir überlege, welche Firewalls ( :ugly: ) es für Linux gibt, würde ich mir ein paar Gedanken dazu machen, wie der Hacker in das System eingedrungen ist.

Ich denke dass das in den seltensten Fällen direkt über Sicherheitslücken in irgendwelchen Services vorkommt.

-Hast du den sshd so eingestellt, das ein direkter root-login möglich ist? Das würde ich auf jeden Fall vermeiden. Ein normaler User-Zugang reicht, mit dem du wenn nötig, mittels "su" den Benutzer wechseln kannst; z.B. nach root.

-Ich würde Programme, mit denen man feststellen kann, wer sich auf der Maschine befinet, für diesen User sperren. Typische Kandidaten sind z.B. who oder finger.

-Das root-Passwort kann ruhig "23f5ZiO89J6h" sein, auch wenn man sich das nicht so gut wie "p4ssw0rt" merken kann. Das ist einfach gegen bruteforce-Attacken sicher.

-IPTables hält sicherlich auch Schädlinge fern, stellt aber keinesfalls den Mittelpunkt einer vernünftigen Server-Konfiguration dar.

-Dienste, die nicht zwingend benötigt werden, sind auf jeden Fall auszuschallten.

Gruß Stephan

Wie schön das manche Sachen für alle Betriebssysteme gelten.... btw: Eine Firewall ist nie ein Stück Hardware oder ein bisschen Software. Eine Firewall sollte man immer als Konzept verstehen. Ein Paketfilter, wie iptables, kann da immer nur ein Teil von sein.

So, also den direkten-root login hab ich jetzt abgeschaltet man kann sich also nur noch mit su -l als root einloggen.
Nun gibts aber ein Problem.. Wie kann ich jetz WinSCP3 verwenden? Das Programm kann sich ja jetzt nicht mehr als root einloggen. Ich hab schon nen benutzer mit namen scp erstellt, aber welche benutzergruppe muss ich ihm zuweisen, damit er auch auf den root-ordner zugriff hat?

Ich hab schon nen benutzer mit namen scp erstellt, aber welche benutzergruppe muss ich ihm zuweisen, damit er auch auf den root-ordner zugriff hat?Die Gruppe, der /root gehört.
Was natürlich Blödsinn ist, denn die ist root.

Wieso willst Du überhaupt von außen auf Daten zugreifen, die in diesem Verzeichnis liegen?

Weil ich die ganze Zeit den entscheidenen Fehler gemacht hab: ich bin IMMER als root reingegangen und deswegen sind alle programme usw. natürlich in den root ordner installiert.

Gibt es Programme, die den server sicherer machen. Wie sicher ist eigentlich die interne Firewall von Linux? Und wie kann ich Linux allgemein supersicher machen?

Am besten ist die Hardware-Lösung "Kneifzange 2.0" :-)

Es spricht nichts dagegen das im nachhinein zu ändern. Wenn du etwas scp´n willst, musst du wohl als normaler user es in dein homedir ablegen und anschließend per Hand verschieben.

Als root sollte man aber höchstens neue Software installieren.... Ich wüsste nicht, warum ich als root per (Win sowieso nich)scp was transferieren sollte...

Gruß Stephan

Weil ich die ganze Zeit den entscheidenen Fehler gemacht hab: ich bin IMMER als root reingegangen und deswegen sind alle programme usw. natürlich in den root ordner installiert.

/ != /root

Was meinst du mit "root ordner"? Meinst du damit "das Root", also /, oder meinst du damit /root, also das Homeverzeichnis des Benutzers "root"? Und warum sind da alle Programme installiert? Was hast du denn dahin installiert?

Ne, ich mein den Ordner users "root", wie gesagt, bin ich immer als root user reingegangen. Und da /root/ nunmal das homeverzeichnis des root users ist, hab ich die ganze software nach /root/ installiert.
Jetzt hab ich natürlich sofort für alle User des Servers eigene Konten eingerichtet.
Nun hab ich aber noch n problem, und zwar hat der hacker auch die passwörter der mysql-user geändert.. weiß einer, wo die gespeichert sind bzw. wie ich die wieder geändert bekomme?

Hast du die Kiste nicht neu installiert? Man installiert auch keine Software ins Homeverzeichnis (oder zumindest selten). Für eigene Software gibt es /usr/local und /opt.

Ne, wir hatten noch nen backup von gestern abend, dass wir nur geladen haben. Aber ich bin grad dabei, die ganzen programme zu löschen und in den richtigen ordnern neuzuinstallieren..
Hat noch jemand ne Idee bzgl. meines SQL-Problems?

Wenn du ein Backup eingespielt hast, sollte doch das ursprüngliche Kennwort vorhanden sein. War das ganze System im Backup enthalten, oder nur Daten? Wenn nur Daten -> Kiste plätten, da sie verseucht sein könnte.

Also ich denk mal, bei dem backup wurde das ganze system wiederhergestellt, also samt einstellungen und passwörter. Aber ich komm nicht in unsere Datenbank rein, obwohl ich schon alle passwörter ausprobiert hab, die ich mal benutzt hab. Gibts nicht ne Möglichkeit, um das root-pw von mysql herauszufinden?

Du denks das im Backup alles drin war? Bitte prüfen. Wenn die DB auf dem gleichen Server lag und die DB mit im Backup war, dann muss auch wieder das alte Kennwort drin sein. MySQL speichert die User, Kennwörter und Rechte in einer eigenen Datenbank (DB heißt "mysql").

Du denks das im Backup alles drin war? Bitte prüfen. Wenn die DB auf dem gleichen Server lag und die DB mit im Backup war, dann muss auch wieder das alte Kennwort drin sein. MySQL speichert die User, Kennwörter und Rechte in einer eigenen Datenbank (DB heißt "mysql").


In der Tat, der Angreifer könnte zum Beispiel ein Rootkit installiert haben, das wirst du weder zu sehen bekommen noch entfernen können und trotzdem kann sich ein Fremder vollen Zugriff zu deinem Rechner verschaffen. Darum muss der Server unbedingt neu aufgesetzt werden. Das einspielen des Backups hat hier gar nichts zu sagen (ausser es wäre ein Systembackup gewesen).

Und wie blazilla schon schrieb, eine Firewall ist nur ein Teil eines Sicherheitskonzeptes, viel wichtiger ist es schon auf Prozess- Benutzer- und Dateiebene zu beginnen. Und gerade hierfür gibt es so tolle Sachen wie Linux-vserver oder chrootuid.

Wenn du dich mit solchen Technologien nicht auskennst dann wäre es besser jemand 3ten beizuziehen der dir bei der Einrichtung des Servers hilft, auch wenn es ein paar €uro kostet.

Und BTW, verwendet hier niemand RSA-Keys? Oder sagt aussenstehenden dass es sowas gibt?

Und BTW, verwendet hier niemand RSA-Keys? Oder sagt aussenstehenden dass es sowas gibt?

Doch, ich. Für meine SSH Public-Key Authentifizierung an meinem Server.

wenn du mich fragst reagierst du panisch und somit falsch.

den rechner mit den selben passwörtern wieder aufzusetzen ist das nächste risiko, wenn man mal in betracht zieht, dass der hacker ja schon passwörter geknackt hat, kannst du ihm gleich eine mail schicken, er kann wieder kommen, es ist alles wie vorher.

bevor du alles wieder herstellst sollte dein sicherheitskonzept stehen und funktionieren, sonst ist der rechner fertig und so offen wie zuvor.

mein tip, nimm einen managed server, das ist besser für dich und steig dann um, wenn du alles beisammen hast und wenn alles funktioniert.

man installiert nicht standardmässig in root, kaum ein script macht das, wenn man make und make install aufruft. da muss man selber pfade angeben, da ist was faul oder ich verstehe was falsch. apt und/oder yast machen das auch nicht, wie kommen also programme ins root verzeichnis ??

sql passwort, da hilft google. ca 10.000 anleitungen dazu gibt es schon.

wenn du nicht mal weisst, was für ein backup du hast, wie soll man da helfen. im zweifelsfall komplett platt machen das ding.

zur windows-linux frage.
woran liegt es, dass fast 100% aller firmenserver, die gehackt wurden windows maschinen sind? vielleicht daran, dass root server auf linux laufen und firmenrechner fast ausschliesslich auf windows basis?

kneifzange 2.0 war zwar gut, aber nutzlos !