cracked....
cracked....
Hi Forum,
es ist soweit... meine kleine und wie ich eigetlich dachte feine Debian Installation in einem RZ ist gekapert worden
Mühevoll hab' ich Denian (Kernel 2.4) installiert, mir angelesen wie ich Oracle zum laufen bringe, hab zwei Apache (einen für Port 80, einen für 443), einen jboss Server, exim und ein Metaframe System (tarantella) eingerichtet und war drauf uns dran mit meinen Services an den Markt zu gehen... und jetzt
Anybody out here der (ggf. gegen Honorar) in der Lage wäre, meinen nächsten Versuch in Fragen der Serversicherheitzu begleiten?
Merci
es ist soweit... meine kleine und wie ich eigetlich dachte feine Debian Installation in einem RZ ist gekapert worden
Mühevoll hab' ich Denian (Kernel 2.4) installiert, mir angelesen wie ich Oracle zum laufen bringe, hab zwei Apache (einen für Port 80, einen für 443), einen jboss Server, exim und ein Metaframe System (tarantella) eingerichtet und war drauf uns dran mit meinen Services an den Markt zu gehen... und jetzt
Anybody out here der (ggf. gegen Honorar) in der Lage wäre, meinen nächsten Versuch in Fragen der Serversicherheitzu begleiten?
Merci
hi.
was genau ist denn passiert (und woher weisst du dass)
ich nehme mal an es war der exploit für den 2.4.er, der das ganze erste
halbjahr um die welt geisterte. regelmässiges informieren über kernelbugs
und entsprechendes schnelles einspielen von patches sind da wohl
die bester herangehensweise.
aber nochmal zu deinem aktuellen problem: kannst du das etwas näher erläutern?
was genau ist denn passiert (und woher weisst du dass)
ich nehme mal an es war der exploit für den 2.4.er, der das ganze erste
halbjahr um die welt geisterte. regelmässiges informieren über kernelbugs
und entsprechendes schnelles einspielen von patches sind da wohl
die bester herangehensweise.
aber nochmal zu deinem aktuellen problem: kannst du das etwas näher erläutern?
Asche auf mein Haupt
Hi,
jaja... ich weiß - das Prob ist, dass ich Linux nach "Kochbuch" installiert hab'... will sagen - eigentlich hab ich von all dem nicht richtig Ahnung.
Aber es ging eben irgendwie und das auch noch recht stabil.
Gemerkt hab ich es zunächst an der Performance... die von jetzt auf gleich rapide abgestürzt ist. Dann konnte ich feststellen, dass mein ssh-Zugang nicht mehr existierte... zuhause hatte ich dann neben einer Mail des RZ ein gutes Dutzend Mails von netten Admins, die mich gefragt haben warum ich versuchte, per ssh in Ihre Server einzubrechen
Naja.. zum Glück kam ich über das Metaframe System noch auf den Server und hab ihn dann erst mal runtergefahren.
Aber das Problem ist, dass ich (mangels know how) sowas in Zukunft nicht verhindern kann - geschweige denn merken oder gar abwehren....
Daher: I need help - even professional
jaja... ich weiß - das Prob ist, dass ich Linux nach "Kochbuch" installiert hab'... will sagen - eigentlich hab ich von all dem nicht richtig Ahnung.
Aber es ging eben irgendwie und das auch noch recht stabil.
Gemerkt hab ich es zunächst an der Performance... die von jetzt auf gleich rapide abgestürzt ist. Dann konnte ich feststellen, dass mein ssh-Zugang nicht mehr existierte... zuhause hatte ich dann neben einer Mail des RZ ein gutes Dutzend Mails von netten Admins, die mich gefragt haben warum ich versuchte, per ssh in Ihre Server einzubrechen
Naja.. zum Glück kam ich über das Metaframe System noch auf den Server und hab ihn dann erst mal runtergefahren.
Aber das Problem ist, dass ich (mangels know how) sowas in Zukunft nicht verhindern kann - geschweige denn merken oder gar abwehren....
Daher: I need help - even professional
Für die Suche nach proffesionellen Support ist das Forum wohl nicht wirklich gedacht und geeignet. Hier wird Leuten bei Problemlösungen geholfen die sie selber lösen wollen. Für prof Support kannst du eventuell hier [1] was finden. Oder du versuchst dein Glück über die Anfragen bei einem der Debian-Angels [2].
cu
[1] http://www.debian.de/consultants/
[2] http://www.debianforum.de/wiki/?page=Debian-Angels
cu
[1] http://www.debian.de/consultants/
[2] http://www.debianforum.de/wiki/?page=Debian-Angels
support
Hey Forum,
danke!!!! Genau sowas hab# ich gesucht... (okok, vielleicht hab ich ein bissl gehofft, hier einem pro zu begegnen)
Aber die Linktipps sind schon na dran an dem, was ich suchte.
Das Forum hilft halt doch imemr,
Danke
danke!!!! Genau sowas hab# ich gesucht... (okok, vielleicht hab ich ein bissl gehofft, hier einem pro zu begegnen)
Aber die Linktipps sind schon na dran an dem, was ich suchte.
Das Forum hilft halt doch imemr,
Danke
ich denke du meinst, dass jemand die zugangsdaten geändert hat, oder?dass mein ssh-Zugang nicht mehr existierte... z
welcher kernel lieft denn auf dem server?
ja wozu hast du denn einen server? um dir das know how anzueigenen, eicht ja auch ein alter rechner zuhause, mit dem du server administration üben kannstAber das Problem ist, dass ich (mangels know how) sowas in Zukunft nicht verhindern kann - geschweige denn merken oder gar abwehren....
(also kernel kompilieren, etc.)
wenn du überhaupt wenig ahnung von unix/linux hast, bringt dir ein root server
doch im moment e nix. aber nochmal gefragt, was willst du denn damit machen,
oder ist es nur so zum spass ...?
Nun, es soll Leute geben, die einen Server nicht seines Selbst willen betreiben, sondern als Grundlage für ihre Anwendungen(Entwicklung). Und da kann ich durchaus verstehen, das man sich nicht groß mit dem System selbst rumärgen will. Da hat man schon genug Ärger mit der Anwendung.startx hat geschrieben: ja wozu hast du denn einen server? um dir das know how anzueigenen, eicht ja auch ein alter rechner zuhause, mit dem du server administration üben kannst
(also kernel kompilieren, etc.)
wenn du überhaupt wenig ahnung von unix/linux hast, bringt dir ein root server
doch im moment e nix. aber nochmal gefragt, was willst du denn damit machen,
oder ist es nur so zum spass ...?
Das ist ja genau der Punkt, wo sich professionell (heißt bezahlter) Support gut macht
Gruß Bert
Programmer: A biological machine designed to convert caffeine into code.
xmpp:bert@debianforum.de
xmpp:bert@debianforum.de
ich wunderer mich überhaupt dass einer der bazahlten support sucht hierher kommt.
es gibt wirklich wenige die sich richtig gut auskennen und die sitzen auch nicht in den foren
(das wahr meine allgemeine meinung dazu)
sonst wie schon einer sagte würde ich zu den quellen gehen.
bongout ist wohl nicht lange in der community?!
ich würde gelich zu den maintainer gehen
und vielleicht die mailinglisten durchfortsten:
http://www.debian.org/MailingLists/subscribe
oder noch besser zu einer seite wo security ganz oben steht
http://www.securityfocus.com
http://www.nsa.com
bei nsa weisst du wo du dein geld hingesteckt hast
oder wenn du es bißchen billiger haben willst geh auf eine security seite wo die auch solche sachen anbieten.
wenn du keine weisst geh auf meine seite und unter links wirst du findig
es gibt wirklich wenige die sich richtig gut auskennen und die sitzen auch nicht in den foren
(das wahr meine allgemeine meinung dazu)
sonst wie schon einer sagte würde ich zu den quellen gehen.
bongout ist wohl nicht lange in der community?!
ich würde gelich zu den maintainer gehen
und vielleicht die mailinglisten durchfortsten:
http://www.debian.org/MailingLists/subscribe
oder noch besser zu einer seite wo security ganz oben steht
http://www.securityfocus.com
http://www.nsa.com
bei nsa weisst du wo du dein geld hingesteckt hast
oder wenn du es bißchen billiger haben willst geh auf eine security seite wo die auch solche sachen anbieten.
wenn du keine weisst geh auf meine seite und unter links wirst du findig
Es gibt sehr wohl Firmen, die sich mit der Absicherung von Fimen und den Betrieb von Servern auskennen. Hier in Dresden wäre das Schlittermann, die sind seit den Anfängen dabei. Und ichdene es wird in anderen Städten ähnliches geben.
Das sich Leutein Callcenter ncht mit sowas auskennen ist ja wohl klar.
Was soll er bei den Maintainern? Und wozu soll er Maillinglisten durchfortsen? Es gibt sowa wie Spezialisierung, die IT ist viel zu kompliziert um alles zu können. Und wenn ich mein Geld mit der Erstellung von Anwendungen verdienen will / muß, dann überlass ich die Absicherung des Grundsystems gern einem Spezilisten. Wenn das mein Hobby ist und viel Zeit hab, dann kann man sich da selbst einarbeiten. Ist aber eben nicht so effektiv.
Bert
Das sich Leutein Callcenter ncht mit sowas auskennen ist ja wohl klar.
Was soll er bei den Maintainern? Und wozu soll er Maillinglisten durchfortsen? Es gibt sowa wie Spezialisierung, die IT ist viel zu kompliziert um alles zu können. Und wenn ich mein Geld mit der Erstellung von Anwendungen verdienen will / muß, dann überlass ich die Absicherung des Grundsystems gern einem Spezilisten. Wenn das mein Hobby ist und viel Zeit hab, dann kann man sich da selbst einarbeiten. Ist aber eben nicht so effektiv.
Bert
Programmer: A biological machine designed to convert caffeine into code.
xmpp:bert@debianforum.de
xmpp:bert@debianforum.de
danke - danke - danke
Hi Forum,
also erst mal herzlichen Dank für die rege Beteiligung....
Tatsächlich bin ich nicht so der regelmäßigste Forennutzer. Aber ein Forum - und gerade dieses war bis jetzt immer die richtige Adresse für schnelle Hilfe.
Und das hat sich auch dieses Mal wieder bestätigt.
Mir ist jetzt deutlich geworden, an wen ich mich wohl wenden kann / soll. Ergo: Ziel erreicht!
Dass ich hier nicht die Lösung selbst, sondern nur den Weg gesucht und gefunden hab' ist dabei völlig in Ordnung (es wäre auch vermessen in der Kürze eines Forum zu lernen, wie ich einen Server absichere).
Daher, danke Debianforum!
bongout
also erst mal herzlichen Dank für die rege Beteiligung....
Tatsächlich bin ich nicht so der regelmäßigste Forennutzer. Aber ein Forum - und gerade dieses war bis jetzt immer die richtige Adresse für schnelle Hilfe.
Und das hat sich auch dieses Mal wieder bestätigt.
Mir ist jetzt deutlich geworden, an wen ich mich wohl wenden kann / soll. Ergo: Ziel erreicht!
Dass ich hier nicht die Lösung selbst, sondern nur den Weg gesucht und gefunden hab' ist dabei völlig in Ordnung (es wäre auch vermessen in der Kürze eines Forum zu lernen, wie ich einen Server absichere).
Daher, danke Debianforum!
bongout
- MacGyver031
- Beiträge: 628
- Registriert: 18.08.2003 11:24:49
- Wohnort: Wiedlisbach, Schweiz
-
Kontaktdaten:
Mal wieder so ein Fall von "kann man so pauschal nicht beantworten". Je nachdem wie gut der Angreifer war, desto schwerer wird es sowas zu erkennen. Deswegen ist ja ein guter Admin mit viel Erfahrung + Wissen auch viel Wert.MacGyver031 hat geschrieben:Hallo,
Ich hätt auch einen Frage: Wie kann ich feststellen ob jemand meinen Server kompromittiert hat?
TX
Solche Sachen wie sie bongout beschreibt sind ja schon Recht krass und spätestens dann soltte man merken das jemand eingebrochen ist.
Um sowas festzustellen gibt es viele Wege:
Serverlogs, Traffic beobachten, Prozesse beobachten, nach Rootkits suchen usw. Soetwas teilweise zu automatisieren versuchen IDS [1]. Sowas kann jedoch, wie immer bei Sicherheit, nur ein Baustein aus einem Konzept sein.
cu
[1] http://de.wikipedia.org/wiki/Intrusion_Detection_System
das kommt darauf an, was du mit "kompromittiert" bezeichnen will. wenn ich einen zugang zu deinem rechner als user bekomme, kann ich ne menge anstellen, aber halt nicht alles. wenn ich es schaffe auf root zu wechseln kann ich viel/alles anstellen (z.B: ihn als ausgangspunkt für angriffe auf andere systeme benutzen).Wie kann ich feststellen ob jemand meinen Server kompromittiert hat?
die programme, die rootkits suchen helfen da auch nicht unbedingt.
was du machen kannst ist regelmässig überprüden, ob prozesse und programme laufen, die dir nichts sagen oder ob dateien neuere daten tragen. ausserdem regelmässige blicke in die log-dateien (wobei auch die
natürlich verändert werden können)
es gibt natürlich auch ganz ausgefeilte "intrusion detection systeme", musst du mal bei google suchen.
absolute sicherheit gibt es nie, sicherheit ist relativ ...
<edit>oops, da war tylerD 10 sekunden schneller</edit>
- MacGyver031
- Beiträge: 628
- Registriert: 18.08.2003 11:24:49
- Wohnort: Wiedlisbach, Schweiz
-
Kontaktdaten:
Hallo,
Danke, ich wusste schon dass man nicht soo leicht heraus findet ob jemand den Server gekarpert hat. Mein Syslog-datei hat fehgeschlagene Logins registriert, und ich habe keine erfolgreichen Login gesehen. Ich weiss schon dass der erfolgreiche Syslog-einträge manipulieren lassen.
Ich halte mich mit wöchentlich mit den Updates auf den neusten stand.
ergibt
Soll das mich beunruhigen?
Danke, ich wusste schon dass man nicht soo leicht heraus findet ob jemand den Server gekarpert hat. Mein Syslog-datei hat fehgeschlagene Logins registriert, und ich habe keine erfolgreichen Login gesehen. Ich weiss schon dass der erfolgreiche Syslog-einträge manipulieren lassen.
Ich halte mich mit wöchentlich mit den Updates auf den neusten stand.
Code: Alles auswählen
grep "Failed password" /var/log/syslog | grep 211.233.15.51
Code: Alles auswählen
Sep 18 11:24:09 Mac-6450 sshd[3668]: Failed password for illegal user test from 211.233.15.51 port 37541 ssh2
Sep 18 11:24:14 Mac-6450 sshd[3670]: Failed password for illegal user guest from 211.233.15.51 port 37653 ssh2
Sep 18 11:24:21 Mac-6450 sshd[3672]: Failed password for illegal user admin from 211.233.15.51 port 37767 ssh2
Sep 18 11:24:28 Mac-6450 sshd[3674]: Failed password for illegal user admin from 211.233.15.51 port 37883 ssh2
Sep 18 11:24:37 Mac-6450 sshd[3676]: Failed password for illegal user user from 211.233.15.51 port 38035 ssh2
Sep 18 11:24:42 Mac-6450 sshd[3678]: Failed password for root from 211.233.15.51 port 38198 ssh2
Sep 18 11:24:50 Mac-6450 sshd[3680]: Failed password for root from 211.233.15.51 port 38296 ssh2
Sep 18 11:24:59 Mac-6450 sshd[3682]: Failed password for root from 211.233.15.51 port 38445 ssh2
Sep 18 11:25:05 Mac-6450 sshd[3684]: Failed password for illegal user test from 211.233.15.51 port 38620 ssh2
Sincerely your
MacGyver
SysInfo:
Intel Centrino 1.3GHz, 1GB, ATI M9, 1400x1050.
2.6.23, xorg-x11 7.2 Fluxbox 1.0.0 and many more.
MacGyver
SysInfo:
Intel Centrino 1.3GHz, 1GB, ATI M9, 1400x1050.
2.6.23, xorg-x11 7.2 Fluxbox 1.0.0 and many more.
- Hackmeck
- Beiträge: 1397
- Registriert: 22.10.2002 19:14:02
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Düsseldorf
-
Kontaktdaten:
Re: cracked....
Es gibt dazu auch ganz gute deutschsprachige Literatur auf debian.org:bongout hat geschrieben:Anybody out here der (ggf. gegen Honorar) in der Lage wäre, meinen nächsten Versuch in Fragen der Serversicherheitzu begleiten?
Anleitung zum Absichern von Debian
wie schon einer sagte ist das alles allgemein gesagt .
es hängt einfach ab ob der angreifer über gute kenntnisse verfügt
ob das system schon lange kompromittiert wird
ob man gute abwährmassnahmen eingesetzt hat.
1. es kann so sein dass alles was du machst und eintippst kompromittiert wird,
von ifconfig bist modconf dann hilft nur reboot und neuinstall
2. wenn du es gerade gemerkt hast würde ich das net schnell kappen und backup draufspielen. sonst kann man die configs rekonfigurieren . aber backup hab ich öffters gehört.
3. vorbeugen ist besser als neuinstallieren
es hängt einfach ab ob der angreifer über gute kenntnisse verfügt
ob das system schon lange kompromittiert wird
ob man gute abwährmassnahmen eingesetzt hat.
1. es kann so sein dass alles was du machst und eintippst kompromittiert wird,
von ifconfig bist modconf dann hilft nur reboot und neuinstall
2. wenn du es gerade gemerkt hast würde ich das net schnell kappen und backup draufspielen. sonst kann man die configs rekonfigurieren . aber backup hab ich öffters gehört.
3. vorbeugen ist besser als neuinstallieren
Man muss ja nicht gleich runterfahren. Manchmal lagern ein paar nette Infos auch noch im Ram, und wenn da der Strom weg ist, oder diese Überschrieben werden, wärs doch schade drum.
Man kann ja auch einfach das Netzwerkkabel ziehen.
Mit dem rkhunter hab ich bei meinem, von mir selber kompromittierten (wenn man das so nennen kann ;-)) Rechner gute Erfahrungen gemacht, aber ich hab auch gehört, das man Dateien in auf der Festplatte als Bad markierten Sektoren verstecken kann. Ich weiß nur nicht wie.
Man kann ja auch einfach das Netzwerkkabel ziehen.
Mit dem rkhunter hab ich bei meinem, von mir selber kompromittierten (wenn man das so nennen kann ;-)) Rechner gute Erfahrungen gemacht, aber ich hab auch gehört, das man Dateien in auf der Festplatte als Bad markierten Sektoren verstecken kann. Ich weiß nur nicht wie.
...ceterum censeo TCG (TCPA) esse delendam!
Nicht Klicken!
Nicht Klicken!