hallo,

bin gerade im auszucken.

haben einige webserver beim provider stehen. 2 von diesen servern (suse 8.0 mit 2.4.18)


zuerst war noch suse 7.2 oben nach einem hack - wurde er neu aufgesetzt mit suse 8.0 mit 2.4.18 kernel. jetzt 3 wochen später wieder gehackt
jetzt habe ich wieder die ganze nacht verbracht den server einzurichten und habe neuen kernel 2.4.20 oben.

habe schon von mehren anderen sysadmins gehört das in letzter zeit hardcor hacking angesagt ist !?!?!?
hat da noch jemand ärgere erfahrung in letzter zeit?
gibt es kein bsd was so zimelich sicher ist? was ist mit OpenBSD bzw. FreeBSD, Debian?
sind die sicherer?
ich weiss sicher ist ein server solange er regelmässig mit updates gefüttert wird.

deine infos sind etwas karg - woher weisst du, dass du gehackt wurdest ? (wo sind logs etc.)

Hallo!

Ich denke, das wichtigste in diesem Fall ist wohl die Analyse der Ángriffe.
Man kann ein Problem nur effektiev lösen, wenn man es kennt. Du hast geschrieben, es sind Webserver. Vielleicht ein unsicheres Script auf einer Page? Datenbank?

OpenBSD gilt als sehr sicher. Die sind darauf bedacht, dass der Anwender gleich nach der Installation ein sicheres System hat.
Nur wenn du die Vorgehensweise des Crackers nicht analysierst, kann die das bei einem BSD System auch passieren, dass du gecrackt wirst.

viele Grüsse
Andy

Original geschrieben von Matzetronic
deine infos sind etwas karg
Ebenso die Überschrift.

sehr freundliche antworten hier ;-)

zur info,

es befand sich als letztes ein chrootkit namens ****_u darauf

davor , habe ich ebenfalls einiges geunfden. und nur über ssh konnnte man sich einloggen, und dann auch nimma. die ifconfig usw. wurde alles umgeschirben
habe übrings schon damals gepostet:
http://www.linuxforen.de/forums/showthread.php?s=&threadid=80995

also, so weit zur frage was mich so sicher maht.
abgeshen davon befanden sich am webserver zahlreiche virtualServer mit pornosachen usw.
email adrewsse usw.
bkeomme jetzt noch unzustellbar zurück, da der jenige auch unter meiner domian gesendet hat.


wegen OpenBSD, ja, das ist mir klar, das da quasi ein sehr grosses Team zusammen arbeitet und ständig updates rausbingt und man sie auch über eine instlalation informieren soll.

nur wie schnell sind die?
ich meie zum beispiel habe ich jetzt am lamp apache 2.0.46 oben und php 4.3.2
wie lange bruachen die, laut erfhaurngen das die auch auf diesem stnadart dann sind? ich weiss, entwickller und wird überpürft usw. und erfahurngen , aber wie weit liegen die im durchscnitt drunter?

also wenn du etwas sicheres willst, das nicht alzuviel pflege (updates) braucht, nimm openbsd.
ansonsten Debian GNU/Linux. Bei Debian solltest du dir aber ca. jede woche einmal (oder du liest sicherheitsmeldungen, und nur wenn eine auftritt) ein apt-get update udn apt-get upgade ausführen. Dann hast du die neusten Pacckete.
Eine Firewall, die nur die benötigten dienste durchlässt ist auch nicht verkehrt, ebenso wie ein ids (was dich aber nicht vor arbeit rettet).

ids ?? was ist das?

das mit debian habe ich schon gehört, aber das gilt nur für pakete die selbst über debian bezogen werden, oder?
ich meine wenn ich jetzt selbst z.b apache compli. dann geht das dann nicht, oder?

diese regelmässigen updates, kann man ja auch cron steuern,oder?
,oder, oder, oder,oder ? ;-))99:) :D

IDS steht für Intrusion Detection System.
Eine Software die die Angriffsweise eines Hackers/Crackers analysiert.
Wird oft in Verbindung mit einem Honeypot angewendet.

Google ?!?!

fg
Steve

du musst natürlich die vorkompilierten packete von debian nehmen, da nur diese upgedatet werden.
und ja per cron geht das auch

Hi,

Mir wurde auch eine Debian Maschine gehackt, irgendwie ist das net lustig. Das ist auch der Grund warum ich mir das Snort Buch besorgt hab.

Ciao, Bernie

da wurden die packete aber nicht aktuell gehalten oder?

ALso so wie ich das jetzt heraus höre und von mehren seiten höre ist suse - auch nürnberger windoes manchmal genannt eher ungeeignet für server sachen von der wsicherheit her, redhat ebenfalls.

mehr in richutng debian oder BSD gehen, oder?

Absoluter Schwachsinn.
Wenn ein Debian, ein RedHat und ein SuSE zB. einen 2.4er Kernel und Anwendungssoftware in gleicher Version betreiben ist es völlig gleich-"sicher".
Wichtig ist die korrekte Administration und gezielte Updates.
Woher nehmen manche Leute die FAkten für solche Behauptungen.
Das ist einfach nicht richtig.

*kopfschüttel*

Die einzige Ausnahme ist vielleicht OpenBSD.

fG
Steve

OpenBSD ist kein allheilmitteln. Ein unstrittiger Punkt ist wohl, dass es in der Default konfiguration ziemlich sicher ist (was niemanden wundern sollte, da nur SSH installiert wird).

Wenn nun jemand meint, er muss ftp, smtp, dns, http, https, mysql und was weiss ich noch alles installieren, der wird auch dieses System schrotten.

PS: ich hoffe die Anspielung kam an
PPS: auch SuSE verfügt über eine update Funktion, ein Blick ins Handbuch sollte das klären.

jo jo, bleibts cool leute. kein rund so in die höhe zu gehen :p

es war keine anschuldigung oder so, es war eine reine frage, was für contra auf diese aussagen gebt.
es ist klar, habe ich auch in mienem ersten post geschireben das es auf die securitys der einzelenen daemons ankommt. es geht ums prinzip.
es geht ja auch darum, das bei suse sehr viel dazu installiert wird, auch beim textbasierenden, was beim bsd erst als zusatz ist. das herisst bsd ist um einiges nakter als suse.
sicher mann kan beim yast auch div. pakete deinstallieren, aber eine minimal bei suse sieht anders aus als bei bsd.
und somit dneke ich, das diese sachen vielelicht auch eventuelle sicherheitslöcher darstellen, oder?

p.s. habe blicke in die handbücher sehr wohl schon geworfen. und wenn ich mich nicht täusche handelt es hier um ein forum und keine oberfläche wo man sich gegenseitig angeht. ich stelle nur eine frage, bzw. gehörte aussage in den raum und man wird gleich angegangen. ein forum dient um fragen gegenseitig zu beantowrten und kein gegenander "angehen". :ugly:

OpenBSD ist kein allheilmitteln.


Hast recht.

fG
Steve

Da du anscheinend die Server professional betreibst, würde ich dir raten dich ein wenig mit Sicherheit auseinanderzusetzen. (Siehe Buchtipps hier im Forum bezüglich Linux Sicherheit).

Das System nach dem Angriff zu plätten ist keine gute Idee. Du solltest zuerst den Angriffspunkt finden und wenn möglich auch den Eindringlich identifizieren um rechtliche Schritte einzuleiten.

Dazu solltest du nach einem Angriff zuerst nichts machen, als das Netzwerkkabel ziehen (sofern zu Zugriff auf die Kiste hast, sonst überlass das deinem Hoster).

Jetzt kannst du die Laufenden Prozesse analysieren und wenn möglich den Ram-Inhalt sichern. Danach stellst du die Kiste ab und machst mittels einer Boot-CD/Disk eine Image der Partitionen, damit du in aller ruhe analysieren kannst, was geschehen ist. Womöglich findest du ja noch einen vom Eindringlich nicht angerührten Log-Eintrag. Ich will hier jetzt aber nicht den ganzen Massnahmen-Katalog aufzählen.

Wichtig ist natürlich dass du wie schon beschrieben die Kiste schützt und so gar nicht erst gehackt wirst.

Der Eindringlich hat anscheinend Spam versendet, jetzt bist du erst einmal auf den Blacklists - pech :(

Gruss, Andy

hi ..

wieso .. ist doch eine gesunde Diskussion hier ... sehe nichts von angehen etc...

also mal zum Thema:
wenn ihr SuSE im Einsatz habt, nimm eine aktuelle Version (8.2) installiere diese
in einer Version die für dich am geeignetsten ist. Da hast du ja beim Installationsverlauf
genug Möglichkeiten, dir dein System einzurichten oder eben nur ein Minimalsystem
aufzusetzen. SuSE 8.2 führt am Ende der Installation ein Onlineupdate durch und
die Standardkonfigurationen sind schon recht ok, das ist nicht grossartig was freigeschaltet,
was du wieder einfangen musst. Also halte dein System auf dem neuesten Stand.

Dein Apache und PHP hast du ja auf dem neuesten Stand (Zugriffsrechte ok bei apache ?),
leider sehe ich keine Infos, was du noch so an services auf der Kiste laufen hast,
was ein Eindringen in dein System möglich gemacht hat (samba, ssl, telnet, ftp ...)
auch das auf dem neuesten Stand halten oder besser
gar nicht freischalten oder auf eine sichere Kommunikationsart bringen.

Empfehlenswerte Programme, auch hier schon genannt.
Intrusion Detection - Snort (mit mySQl/ACID)
Tripwire
chkrootkit
...
Vielleicht auch mal nessus oder nmap zum checken des Systems benutzen.

Ein gutes deutsches Buch hierzu :
Spenneberg - Intrusion Detection für Linux Server
oder die jeweilige Programmdokumentation

Wenn schon in dein System eingebrochen wurde, mal ein bisschen mit dem
Thema Forensic beschäftigen um wenigstens mal nachvollziehen zu können,
was auf deinem System so halbwegs "getrieben" wurde.

grüsse,