Jörg schrieb:

...

Hi,

ich mußte auf einem host (SLES 10) feststellen, daß zum einen die Firewall abgeschaltet war, und zum anderen auch die

Am 18.06.2012 14:35, schrieb Lentes, Bernd: links in den /etc/init.d/rcx.d verschwunden waren, so daß bei einem Reboot die Firewall nicht automatisch startet. Ich kann mich nicht daran erinnern, eines von beiden getan zu haben, bin aber manchmal auch vergesslich. In der history war diesbzgl. nichts zu finden. Das heißt aber auch nicht unbedingt etwas. Wenn ich an der Konsole Eingaben mache und anschließend den host runterfahre, _ohne_ die Konsole mit exit vorher zu schließen, tauchen die Befehle dieser Sitzung nicht in der history auf (könnte auch mal gefixt werden).

...

Also bin ich mal von einem Angriff ausgegangen und habe

folgendes getan:

...

- mit last nach Anmeldevorgängen irgendwelcher fremden IP's gesucht - nix - mit w geguckt, ob da irgendjemand angemeldet ist, der nicht da sein sollte - keiner da - mit netstat nach seltsamen Verbindungen geschaut - keine da - mit df geschaut, ob irgendwo auf einmal ein Verzeichnis zuläuft - läuft nix zu - mit top geschaut, ob irgendwelche ungewöhnlichen Prozesse Last erzeugen - nix gefunden - das habe ich alles mit binaries von einer CD gemacht, die statisch gelinkt waren

Des weiteren: - Portscan von anderer Maschine - keine ungewöhnlichen Ports offen - In den logs von apache (Port 80 ist von außen zugänglich) nach Einbruchsversuchen gesucht. Gibt zwar Spuren von solchen (z.B. wird nach phpMyAdmin o.ä. gesucht), es deutet aber nichts auf einen erfolgreichen Einbruch hin

Was könnte ich noch machen ? Mal die rpm-Pakete mit verify überprüfen, ob da ein binary verändert/ausgetauscht wurde ?

Bernd

@Bernd: Sorry for pm... falsche Taste...

kein Problem.

Wenn Du absolut sicher gehen musst, mach ihn platt ;-(

Im Ernst, was für Dienste laufen im Normalfall: apache2, sshd, cupsd ... andere??? Was läuft im Webserver für Zeugs? Nur statisch?

Einen nackigen Webserver, cupsd und sshd zu hacken, ist auch ohne FW nicht so trivial, mindestens müßte der Indianer ja selbst verwundbar sein und eine Seite anbieten, der man was unterjubeln kann, ohne <form> und Verwandte geht da wenig ... am heikelsten ist wohl ein großes CMS, falls öffentliche upload-Möglichkeiten bestehen... Für sshd braucht man wohl eine Authentifizierung, an hacken ist da IMHO eher nicht zu denken, wenn Du halbwegs gescheite PWs hast, läuft da nix... passwortlose Authentifizierungen, da kenn ich mich nicht aus, wie sicher sowas ist... Cupsd ist evt. leichter zu hacken, aber sollte ja keine root-Rechte haben, da ist's auch nicht trivial...

Binaries und Bibliotheken checken ... kann hübsch aufwändig werden... hast Du ein Backup, was sicher noch mit eingeschalteter FW gezogen ist? ... vielleicht kannst Du dagegen prüfen...

Am Ende kommts drauf an, wie heikel das Ganze ist... Ich würde den Kasten, wenn ich nichts fände, vielleicht eine Weile im Auge behalten, checksummen, FW-Status, Apache-Logs...

Von außen ist nur Port 80 erreichbar. System wird 2x/Woche gepatcht. Ich habe noch eine Zeit lang den Netzwerkverkehr mitgesnifft und nicht unregelmäßiges gefunden. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Ulrich schrieb:

Am 18.06.2012 14:35, schrieb Lentes, Bernd:

...

Gibt zwar Spuren von solchen (z.B. wird nach phpMyAdmin o.ä. gesucht)

Das ist für einen von außen erreichbaren Webserver eigentlich normales Grundrauschen. Da solltest du dir eher Gedanken machen, wenn nichts derartiges mehr in den Logfiles steht. Wenn du sicher bist, dass die eingesetzten Anwendungen dicht sind und auf dem neuesten Stand, dürfte da nichts passieren. Das sind nur coole Hacker-Kids mit irgendwelchen selbstgeklauten Hackertools, von denen sie selber nicht wissen, wie sie funktionieren.

Das macht mir auch keine Sorgen. Eher, daß die Firewall runtergefahren war und auch so konfiguriert, daß sie bei Booten nicht mehr automatisch startet. Vielleicht hab ich das auch selbst gemacht und vergessen, wüßte aber auch nicht, warum ich sowas machen sollte. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Ulrich schrieb:

Am 18.06.2012 15:54, schrieb Lentes, Bernd:

...

Das macht mir auch keine Sorgen. Eher, daß die Firewall runtergefahren war und auch so konfiguriert, daß sie bei Booten nicht mehr automatisch startet. Vielleicht hab ich das auch selbst gemacht und vergessen, wüßte aber auch nicht, warum ich sowas machen sollte.

Sicher, dass die überhaupt schon mal on war? Beim Einrichten vergessen? Oder mal eben was getestet, wo das Ding im Weg war und dann über Yast deaktiviert? Dabei werden auch die Startup-Links entfernt.

Hi, ja, bin mir sicher daß die so konfiguriert war, daß sie beim Booten startet. Ich sehe die symbolischen links im backup bis zu einem best. Datum. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am 18.06.2012 16:52, schrieb Werner Flamme:

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Lentes, Bernd [18.06.2012 16:48]:

...

Ulrich schrieb:

...

Am 18.06.2012 15:54, schrieb Lentes, Bernd:

...

Das macht mir auch keine Sorgen. Eher, daß die Firewall runtergefahren war und auch so konfiguriert, daß sie bei Booten nicht mehr automatisch startet. Vielleicht hab ich das auch selbst gemacht und vergessen, wüßte aber auch nicht, warum ich sowas machen sollte.

Sicher, dass die überhaupt schon mal on war? Beim Einrichten vergessen? Oder mal eben was getestet, wo das Ding im Weg war und dann über Yast deaktiviert? Dabei werden auch die Startup-Links entfernt.

Hi,

ja, bin mir sicher daß die so konfiguriert war, daß sie beim Booten startet. Ich sehe die symbolischen links im backup bis zu einem best. Datum.

Und war der Tag oder der folgende ein Patchtag? Hat vielleicht ein Patch auch andere Einstellungen für die Runlevel mitgebracht?

Gruß Werner

Patches, die die Einstellungen in den Runleveln ändern? Da sei Linus vor! Gibt es sowas, ohne dass das umfassend (!) vorher angekündigt wird? Hab ich noch nie gehört... cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Lentes, Bernd [18.06.2012 15:54]:

Ulrich schrieb:

...

Am 18.06.2012 14:35, schrieb Lentes, Bernd:

...

Gibt zwar Spuren von solchen (z.B. wird nach phpMyAdmin o.ä. gesucht)

Das ist für einen von außen erreichbaren Webserver eigentlich normales Grundrauschen. Da solltest du dir eher Gedanken machen, wenn nichts derartiges mehr in den Logfiles steht. Wenn du sicher bist, dass die eingesetzten Anwendungen dicht sind und auf dem neuesten Stand, dürfte da nichts passieren. Das sind nur coole Hacker-Kids mit irgendwelchen selbstgeklauten Hackertools, von denen sie selber nicht wissen, wie sie funktionieren.

Das macht mir auch keine Sorgen. Eher, daß die Firewall runtergefahren war und auch so konfiguriert, daß sie bei Booten nicht mehr automatisch startet. Vielleicht hab ich das auch selbst gemacht und vergessen, wüßte aber auch nicht, warum ich sowas machen sollte.

Hallo Bernd, ich wüsste nun wieder nicht, warum ich das nicht machen sollte... Zwischen dem pöhsen Internet und dem guten Webserver steht eine Unternehmensfirewall, die nur Zugriffe über Ports 80 und 443 zulässt. Welche zusätzliche Sicherheit bringt mir da eine lokale Firewall, zumal wenn es "nur" die SuSEfirewall2 ist, die ja nur mit iptables arbeitet, also keine Paket/inhalts/untersuchungen vornimmt? Vielleicht hast Du das ja beim Einrichten auch schon mal überlegt ;-) Gruß Werner - -- -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.18 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iEYEARECAAYFAk/fNkgACgkQk33Krq8b42PDzQCfYHnwq6EvJQWyCQ0eM7DIL9lp qDoAmQHvcQ5Vygybnu7J/UKM68ykWd3s =mKRh -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am 18.06.2012 15:54, schrieb Lentes, Bernd:

Das macht mir auch keine Sorgen. Eher, daß die Firewall runtergefahren war und auch so konfiguriert, daß sie bei Booten nicht mehr automatisch startet. Vielleicht hab ich das auch selbst gemacht und vergessen, wüßte aber auch nicht, warum ich sowas machen sollte.

Wir haben uns hier angewöhnt ein einer Liste alle Änderungen einzutragen. Ist lästig aber es geht nichts über eine gute Doku in die man noch nach 5 Jahren was wieder findet. Gruß Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 E-Mail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling Aufsichtsrat Otto Prange (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 Für die Erstellung unserer Dokumente benutzen wir die Produkte aus dem Microsoft Office 2007 Paket. Sollte sich ein Anhang in der Mail befinden, der mit einer älteren Office Version nicht geöffnet werden kann, installieren Sie bitte das Compatibility Pack für Office 2007. http://www.microsoft.com/downloads/details.aspx?FamilyID=941b3470-3ae9-4aee-8f43-c6bb74cd1466&DisplayLang=de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am 18.06.2012 17:41, schrieb Martin Schröder:

Am 18. Juni 2012 16:10 schrieb Ralf Prengel:

...

Wir haben uns hier angewöhnt ein einer Liste alle Änderungen einzutragen.

Sowieso. Ich erhöhe um sudo mit Logging. :-)

Bin dabei mit history deaktiviert. Kann echt lässtig sein hat aber auch den Vorteil das unberechtigte Dritte eine Informatiosnquelle wenige haben. Gruß Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 E-Mail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling Aufsichtsrat Otto Prange (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 Für die Erstellung unserer Dokumente benutzen wir die Produkte aus dem Microsoft Office 2007 Paket. Sollte sich ein Anhang in der Mail befinden, der mit einer älteren Office Version nicht geöffnet werden kann, installieren Sie bitte das Compatibility Pack für Office 2007. http://www.microsoft.com/downloads/details.aspx?FamilyID=941b3470-3ae9-4aee-8f43-c6bb74cd1466&DisplayLang=de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

Am 18. Juni 2012 15:54 schrieb Lentes, Bernd :

Vielleicht hab ich das auch selbst gemacht und vergessen, wüßte aber auch nicht, warum ich sowas machen sollte.

Dann solltest Du mal mit den letzten Backups vergleichen. Achja: Systemadministration kann man lernen. Dazu gibt's Bücher und Kurse. Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org

On Mon, Jun 18, 2012 at 05:49:36PM +0200, Lentes, Bernd wrote:

Martin schrieb:

...

Am 18. Juni 2012 15:54 schrieb Lentes, Bernd :

...

Vielleicht hab ich das auch selbst gemacht und vergessen, wüßte aber auch nicht, warum ich sowas machen sollte.

Dann solltest Du mal mit den letzten Backups vergleichen. Achja: Systemadministration kann man lernen. Dazu gibt's Bücher und Kurse.

Ich hatte bereits geschrieben, daß ich das mit den backups verglichen habe, und erkennen kann, daß die Sysmlinks bis zu einem best. Tag (10. März) da sind und dann nicht mehr. Achja: ich lese Bücher und belege Kurse.

Im Zweifelsfall wars man meist selber der was kaputt gemacht hat ;) Das klingt schon nach Adminfehler wenn alle gleichzeitig weg sind. Dadurch ist dann auch die Firewall abgeschaltet, weil die auch von Scripten da gestartet wird. Ciao, Marcus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org