cracked....

[bongout]

Hi Forum,

es ist soweit... meine kleine und wie ich eigetlich dachte feine Debian Installation in einem RZ ist gekapert worden

Mühevoll hab' ich Denian (Kernel 2.4) installiert, mir angelesen wie ich Oracle zum laufen bringe, hab zwei Apache (einen für Port 80, einen für 443), einen jboss Server, exim und ein Metaframe System (tarantella) eingerichtet und war drauf uns dran mit meinen Services an den Markt zu gehen... und jetzt

Anybody out here der (ggf. gegen Honorar) in der Lage wäre, meinen nächsten Versuch in Fragen der Serversicherheitzu begleiten?

Merci

[startx]

hi.

was genau ist denn passiert (und woher weisst du dass)
ich nehme mal an es war der exploit für den 2.4.er, der das ganze erste
halbjahr um die welt geisterte. regelmässiges informieren über kernelbugs
und entsprechendes schnelles einspielen von patches sind da wohl
die bester herangehensweise.

aber nochmal zu deinem aktuellen problem: kannst du das etwas näher erläutern?

[bongout]

Hi,

jaja... ich weiß - das Prob ist, dass ich Linux nach "Kochbuch" installiert hab'... will sagen - eigentlich hab ich von all dem nicht richtig Ahnung.

Aber es ging eben irgendwie und das auch noch recht stabil.

Gemerkt hab ich es zunächst an der Performance... die von jetzt auf gleich rapide abgestürzt ist. Dann konnte ich feststellen, dass mein ssh-Zugang nicht mehr existierte... zuhause hatte ich dann neben einer Mail des RZ ein gutes Dutzend Mails von netten Admins, die mich gefragt haben warum ich versuchte, per ssh in Ihre Server einzubrechen

Naja.. zum Glück kam ich über das Metaframe System noch auf den Server und hab ihn dann erst mal runtergefahren.

Aber das Problem ist, dass ich (mangels know how) sowas in Zukunft nicht verhindern kann - geschweige denn merken oder gar abwehren....

Daher: I need help - even professional

[tylerD]

Für die Suche nach proffesionellen Support ist das Forum wohl nicht wirklich gedacht und geeignet. Hier wird Leuten bei Problemlösungen geholfen die sie selber lösen wollen. Für prof Support kannst du eventuell hier [1] was finden. Oder du versuchst dein Glück über die Anfragen bei einem der Debian-Angels [2].

cu

[1] http://www.debian.de/consultants/
[2] http://www.debianforum.de/wiki/?page=Debian-Angels

[bongout]

Hey Forum,

danke!!!! Genau sowas hab# ich gesucht... (okok, vielleicht hab ich ein bissl gehofft, hier einem pro zu begegnen)

Aber die Linktipps sind schon na dran an dem, was ich suchte.

Das Forum hilft halt doch imemr,

Danke

[startx]

dass mein ssh-Zugang nicht mehr existierte... z

ich denke du meinst, dass jemand die zugangsdaten geändert hat, oder?

welcher kernel lieft denn auf dem server?

Aber das Problem ist, dass ich (mangels know how) sowas in Zukunft nicht verhindern kann - geschweige denn merken oder gar abwehren....

ja wozu hast du denn einen server? um dir das know how anzueigenen, eicht ja auch ein alter rechner zuhause, mit dem du server administration üben kannst
(also kernel kompilieren, etc.)

wenn du überhaupt wenig ahnung von unix/linux hast, bringt dir ein root server
doch im moment e nix. aber nochmal gefragt, was willst du denn damit machen,
oder ist es nur so zum spass ...?

[Bert]

ja wozu hast du denn einen server? um dir das know how anzueigenen, eicht ja auch ein alter rechner zuhause, mit dem du server administration üben kannst
(also kernel kompilieren, etc.)

wenn du überhaupt wenig ahnung von unix/linux hast, bringt dir ein root server
doch im moment e nix. aber nochmal gefragt, was willst du denn damit machen,
oder ist es nur so zum spass ...?

Nun, es soll Leute geben, die einen Server nicht seines Selbst willen betreiben, sondern als Grundlage für ihre Anwendungen(Entwicklung). Und da kann ich durchaus verstehen, das man sich nicht groß mit dem System selbst rumärgen will. Da hat man schon genug Ärger mit der Anwendung.

Das ist ja genau der Punkt, wo sich professionell (heißt bezahlter) Support gut macht

Gruß Bert

[maximo]

ich wunderer mich überhaupt dass einer der bazahlten support sucht hierher kommt.
es gibt wirklich wenige die sich richtig gut auskennen und die sitzen auch nicht in den foren
(das wahr meine allgemeine meinung dazu)

sonst wie schon einer sagte würde ich zu den quellen gehen.
bongout ist wohl nicht lange in der community?!

ich würde gelich zu den maintainer gehen
und vielleicht die mailinglisten durchfortsten:
http://www.debian.org/MailingLists/subscribe

oder noch besser zu einer seite wo security ganz oben steht
http://www.securityfocus.com
http://www.nsa.com


bei nsa weisst du wo du dein geld hingesteckt hast

oder wenn du es bißchen billiger haben willst geh auf eine security seite wo die auch solche sachen anbieten.
wenn du keine weisst geh auf meine seite und unter links wirst du findig

[startx]

es gibt wirklich wenige die sich richtig gut auskennen und die sitzen auch nicht in den foren

also bei den "hotlines" die ich bisher angerufen habe (t-onine zum Beispiel) sassen die
auch nicht. haben sich wohl gut versteckt ...

[maximo]

[Bert]

Es gibt sehr wohl Firmen, die sich mit der Absicherung von Fimen und den Betrieb von Servern auskennen. Hier in Dresden wäre das Schlittermann, die sind seit den Anfängen dabei. Und ichdene es wird in anderen Städten ähnliches geben.
Das sich Leutein Callcenter ncht mit sowas auskennen ist ja wohl klar.

Was soll er bei den Maintainern? Und wozu soll er Maillinglisten durchfortsen? Es gibt sowa wie Spezialisierung, die IT ist viel zu kompliziert um alles zu können. Und wenn ich mein Geld mit der Erstellung von Anwendungen verdienen will / muß, dann überlass ich die Absicherung des Grundsystems gern einem Spezilisten. Wenn das mein Hobby ist und viel Zeit hab, dann kann man sich da selbst einarbeiten. Ist aber eben nicht so effektiv.

Bert

[maximo]

naja wenn er hier ist, sucht er hier hilfe da kann er besser zu den mailinglisten gehen.
maintrainer weil er keine ahnung vom system hat und der auf jeden fall es profesinell macht.

[bongout]

Hi Forum,

also erst mal herzlichen Dank für die rege Beteiligung....

Tatsächlich bin ich nicht so der regelmäßigste Forennutzer. Aber ein Forum - und gerade dieses war bis jetzt immer die richtige Adresse für schnelle Hilfe.

Und das hat sich auch dieses Mal wieder bestätigt.

Mir ist jetzt deutlich geworden, an wen ich mich wohl wenden kann / soll. Ergo: Ziel erreicht!

Dass ich hier nicht die Lösung selbst, sondern nur den Weg gesucht und gefunden hab' ist dabei völlig in Ordnung (es wäre auch vermessen in der Kürze eines Forum zu lernen, wie ich einen Server absichere).

Daher, danke Debianforum!

bongout

[MacGyver031]

Hallo,
Ich hätt auch einen Frage: Wie kann ich feststellen ob jemand meinen Server kompromittiert hat?

TX

[Incom]

Ich kenn mich da zwar nicht aus, aber es gibt da chkrootkit und rkhunter die nach rootkits suchen. Allerdings, wenn der Server kompromittiert wurde kann man sich darauf auch nicht mehr verlassen.

MfG
Incom

[tylerD]

Hallo,
Ich hätt auch einen Frage: Wie kann ich feststellen ob jemand meinen Server kompromittiert hat?

TX

Mal wieder so ein Fall von "kann man so pauschal nicht beantworten". Je nachdem wie gut der Angreifer war, desto schwerer wird es sowas zu erkennen. Deswegen ist ja ein guter Admin mit viel Erfahrung + Wissen auch viel Wert.

Solche Sachen wie sie bongout beschreibt sind ja schon Recht krass und spätestens dann soltte man merken das jemand eingebrochen ist.

Um sowas festzustellen gibt es viele Wege:
Serverlogs, Traffic beobachten, Prozesse beobachten, nach Rootkits suchen usw. Soetwas teilweise zu automatisieren versuchen IDS [1]. Sowas kann jedoch, wie immer bei Sicherheit, nur ein Baustein aus einem Konzept sein.

cu

[1] http://de.wikipedia.org/wiki/Intrusion_Detection_System

[startx]

Wie kann ich feststellen ob jemand meinen Server kompromittiert hat?

das kommt darauf an, was du mit "kompromittiert" bezeichnen will. wenn ich einen zugang zu deinem rechner als user bekomme, kann ich ne menge anstellen, aber halt nicht alles. wenn ich es schaffe auf root zu wechseln kann ich viel/alles anstellen (z.B: ihn als ausgangspunkt für angriffe auf andere systeme benutzen).

die programme, die rootkits suchen helfen da auch nicht unbedingt.

was du machen kannst ist regelmässig überprüden, ob prozesse und programme laufen, die dir nichts sagen oder ob dateien neuere daten tragen. ausserdem regelmässige blicke in die log-dateien (wobei auch die
natürlich verändert werden können)

es gibt natürlich auch ganz ausgefeilte "intrusion detection systeme", musst du mal bei google suchen.

absolute sicherheit gibt es nie, sicherheit ist relativ ...
<edit>oops, da war tylerD 10 sekunden schneller</edit>

[MacGyver031]

Hallo,
Danke, ich wusste schon dass man nicht soo leicht heraus findet ob jemand den Server gekarpert hat. Mein Syslog-datei hat fehgeschlagene Logins registriert, und ich habe keine erfolgreichen Login gesehen. Ich weiss schon dass der erfolgreiche Syslog-einträge manipulieren lassen.

Ich halte mich mit wöchentlich mit den Updates auf den neusten stand.

Code: Alles auswählen

grep "Failed password" /var/log/syslog | grep 211.233.15.51

ergibt

Code: Alles auswählen

Sep 18 11:24:09 Mac-6450 sshd[3668]: Failed password for illegal user test from 211.233.15.51 port 37541 ssh2
Sep 18 11:24:14 Mac-6450 sshd[3670]: Failed password for illegal user guest from 211.233.15.51 port 37653 ssh2
Sep 18 11:24:21 Mac-6450 sshd[3672]: Failed password for illegal user admin from 211.233.15.51 port 37767 ssh2
Sep 18 11:24:28 Mac-6450 sshd[3674]: Failed password for illegal user admin from 211.233.15.51 port 37883 ssh2
Sep 18 11:24:37 Mac-6450 sshd[3676]: Failed password for illegal user user from 211.233.15.51 port 38035 ssh2
Sep 18 11:24:42 Mac-6450 sshd[3678]: Failed password for root from 211.233.15.51 port 38198 ssh2
Sep 18 11:24:50 Mac-6450 sshd[3680]: Failed password for root from 211.233.15.51 port 38296 ssh2
Sep 18 11:24:59 Mac-6450 sshd[3682]: Failed password for root from 211.233.15.51 port 38445 ssh2
Sep 18 11:25:05 Mac-6450 sshd[3684]: Failed password for illegal user test from 211.233.15.51 port 38620 ssh2

Soll das mich beunruhigen?

[Hackmeck]

Anybody out here der (ggf. gegen Honorar) in der Lage wäre, meinen nächsten Versuch in Fragen der Serversicherheitzu begleiten?

Es gibt dazu auch ganz gute deutschsprachige Literatur auf debian.org:

Anleitung zum Absichern von Debian

[DeletedUserReAsG]

Soll das mich beunruhigen?

Prinzipiell nicht, wenn du sichere Passwörter benutzt. Ist ein Spielzeug der Scriptkiddies, mehr Infos incl. der Sourcen kann man z.B. hier finden.

cu
niemand

[maximo]

wie schon einer sagte ist das alles allgemein gesagt .
es hängt einfach ab ob der angreifer über gute kenntnisse verfügt
ob das system schon lange kompromittiert wird
ob man gute abwährmassnahmen eingesetzt hat.

1. es kann so sein dass alles was du machst und eintippst kompromittiert wird,
von ifconfig bist modconf dann hilft nur reboot und neuinstall
2. wenn du es gerade gemerkt hast würde ich das net schnell kappen und backup draufspielen. sonst kann man die configs rekonfigurieren . aber backup hab ich öffters gehört.
3. vorbeugen ist besser als neuinstallieren

[a gree]

Man muss ja nicht gleich runterfahren. Manchmal lagern ein paar nette Infos auch noch im Ram, und wenn da der Strom weg ist, oder diese Überschrieben werden, wärs doch schade drum.
Man kann ja auch einfach das Netzwerkkabel ziehen.

Mit dem rkhunter hab ich bei meinem, von mir selber kompromittierten (wenn man das so nennen kann ;-)) Rechner gute Erfahrungen gemacht, aber ich hab auch gehört, das man Dateien in auf der Festplatte als Bad markierten Sektoren verstecken kann. Ich weiß nur nicht wie.