Hi, ich mußte auf einem host (SLES 10) feststellen, daß zum einen die Firewall abgeschaltet war, und zum anderen auch die links in den /etc/init.d/rcx.d verschwunden waren, so daß bei einem Reboot die Firewall nicht automatisch startet. Ich kann mich nicht daran erinnern, eines von beiden getan zu haben, bin aber manchmal auch vergesslich. In der history war diesbzgl. nichts zu finden. Das heißt aber auch nicht unbedingt etwas. Wenn ich an der Konsole Eingaben mache und anschließend den host runterfahre, _ohne_ die Konsole mit exit vorher zu schließen, tauchen die Befehle dieser Sitzung nicht in der history auf (könnte auch mal gefixt werden). Also bin ich mal von einem Angriff ausgegangen und habe folgendes getan: - mit last nach Anmeldevorgängen irgendwelcher fremden IP's gesucht - nix - mit w geguckt, ob da irgendjemand angemeldet ist, der nicht da sein sollte - keiner da - mit netstat nach seltsamen Verbindungen geschaut - keine da - mit df geschaut, ob irgendwo auf einmal ein Verzeichnis zuläuft - läuft nix zu - mit top geschaut, ob irgendwelche ungewöhnlichen Prozesse Last erzeugen - nix gefunden - das habe ich alles mit binaries von einer CD gemacht, die statisch gelinkt waren Des weiteren: - Portscan von anderer Maschine - keine ungewöhnlichen Ports offen - In den logs von apache (Port 80 ist von außen zugänglich) nach Einbruchsversuchen gesucht. Gibt zwar Spuren von solchen (z.B. wird nach phpMyAdmin o.ä. gesucht), es deutet aber nichts auf einen erfolgreichen Einbruch hin Was könnte ich noch machen ? Mal die rpm-Pakete mit verify überprüfen, ob da ein binary verändert/ausgetauscht wurde ? Bernd -- Bernd Lentes Systemadministration Institut für Entwicklungsgenetik HelmholtzZentrum münchen bernd.lentes@helmholtz-muenchen.de phone: +49 89 3187 1241 fax: +49 89 3187 3826 http://www.helmholtz-muenchen.de/idg Wer Visionen hat, soll zum Hausarzt gehen Helmut Schmidt Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 18.06.2012 14:35, schrieb Lentes, Bernd:
Hi,
ich mußte auf einem host (SLES 10) feststellen, daß zum einen die Firewall abgeschaltet war, und zum anderen auch die links in den /etc/init.d/rcx.d verschwunden waren, so daß bei einem Reboot die Firewall nicht automatisch startet. Ich kann mich nicht daran erinnern, eines von beiden getan zu haben, bin aber manchmal auch vergesslich. In der history war diesbzgl. nichts zu finden. Das heißt aber auch nicht unbedingt etwas. Wenn ich an der Konsole Eingaben mache und anschließend den host runterfahre, _ohne_ die Konsole mit exit vorher zu schließen, tauchen die Befehle dieser Sitzung nicht in der history auf (könnte auch mal gefixt werden).
Also bin ich mal von einem Angriff ausgegangen und habe folgendes getan: - mit last nach Anmeldevorgängen irgendwelcher fremden IP's gesucht - nix - mit w geguckt, ob da irgendjemand angemeldet ist, der nicht da sein sollte - keiner da - mit netstat nach seltsamen Verbindungen geschaut - keine da - mit df geschaut, ob irgendwo auf einmal ein Verzeichnis zuläuft - läuft nix zu - mit top geschaut, ob irgendwelche ungewöhnlichen Prozesse Last erzeugen - nix gefunden - das habe ich alles mit binaries von einer CD gemacht, die statisch gelinkt waren
Des weiteren: - Portscan von anderer Maschine - keine ungewöhnlichen Ports offen - In den logs von apache (Port 80 ist von außen zugänglich) nach Einbruchsversuchen gesucht. Gibt zwar Spuren von solchen (z.B. wird nach phpMyAdmin o.ä. gesucht), es deutet aber nichts auf einen erfolgreichen Einbruch hin
Was könnte ich noch machen ? Mal die rpm-Pakete mit verify überprüfen, ob da ein binary verändert/ausgetauscht wurde ?
Hallo, ich möchte dir nicht zu nahe treten aber offensichtlich fehlt die das absolute Basiswissen wie man ich solchen Fällen vorzugehen hat. Jeder halbwegs ordentliche Hack sorgt doch als erstes dafür das er mit Bordmitteln nicht zu erkennen ist. Daher in Kurtform: 1) System abschalten 2) Platte mittels Bootmedium kopieren 3) Auf der Kopie mit einschlägigen Tools prüfen was passiert sein könnte. Nur nebenbei: Ich würde mir an dieser Stelle Hilfe von aussen holen weil mir dazu definitv das Wissen fehlt. Gruß Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 E-Mail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling Aufsichtsrat Otto Prange (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 Für die Erstellung unserer Dokumente benutzen wir die Produkte aus dem Microsoft Office 2007 Paket. Sollte sich ein Anhang in der Mail befinden, der mit einer älteren Office Version nicht geöffnet werden kann, installieren Sie bitte das Compatibility Pack für Office 2007. http://www.microsoft.com/downloads/details.aspx?FamilyID=941b3470-3ae9-4aee-8f43-c6bb74cd1466&DisplayLang=de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 18.06.2012 14:35, schrieb Lentes, Bernd:
Hi,
ich mußte auf einem host (SLES 10) feststellen, daß zum einen die Firewall abgeschaltet war, und zum anderen auch die links in den /etc/init.d/rcx.d verschwunden waren, so daß bei einem Reboot die Firewall nicht automatisch startet. Ich kann mich nicht daran erinnern, eines von beiden getan zu haben, bin aber manchmal auch vergesslich. In der history war diesbzgl. nichts zu finden. Das heißt aber auch nicht unbedingt etwas. Wenn ich an der Konsole Eingaben mache und anschließend den host runterfahre, _ohne_ die Konsole mit exit vorher zu schließen, tauchen die Befehle dieser Sitzung nicht in der history auf (könnte auch mal gefixt werden).
Also bin ich mal von einem Angriff ausgegangen und habe folgendes getan: - mit last nach Anmeldevorgängen irgendwelcher fremden IP's gesucht - nix - mit w geguckt, ob da irgendjemand angemeldet ist, der nicht da sein sollte - keiner da - mit netstat nach seltsamen Verbindungen geschaut - keine da - mit df geschaut, ob irgendwo auf einmal ein Verzeichnis zuläuft - läuft nix zu - mit top geschaut, ob irgendwelche ungewöhnlichen Prozesse Last erzeugen - nix gefunden - das habe ich alles mit binaries von einer CD gemacht, die statisch gelinkt waren
Des weiteren: - Portscan von anderer Maschine - keine ungewöhnlichen Ports offen - In den logs von apache (Port 80 ist von außen zugänglich) nach Einbruchsversuchen gesucht. Gibt zwar Spuren von solchen (z.B. wird nach phpMyAdmin o.ä. gesucht), es deutet aber nichts auf einen erfolgreichen Einbruch hin
Was könnte ich noch machen ? Mal die rpm-Pakete mit verify überprüfen, ob da ein binary verändert/ausgetauscht wurde ?
Bernd
@Bernd: Sorry for pm... falsche Taste... Wenn Du absolut sicher gehen musst, mach ihn platt ;-( Im Ernst, was für Dienste laufen im Normalfall: apache2, sshd, cupsd ... andere??? Was läuft im Webserver für Zeugs? Nur statisch? Einen nackigen Webserver, cupsd und sshd zu hacken, ist auch ohne FW nicht so trivial, mindestens müßte der Indianer ja selbst verwundbar sein und eine Seite anbieten, der man was unterjubeln kann, ohne <form> und Verwandte geht da wenig ... am heikelsten ist wohl ein großes CMS, falls öffentliche upload-Möglichkeiten bestehen... Für sshd braucht man wohl eine Authentifizierung, an hacken ist da IMHO eher nicht zu denken, wenn Du halbwegs gescheite PWs hast, läuft da nix... passwortlose Authentifizierungen, da kenn ich mich nicht aus, wie sicher sowas ist... Cupsd ist evt. leichter zu hacken, aber sollte ja keine root-Rechte haben, da ist's auch nicht trivial... Binaries und Bibliotheken checken ... kann hübsch aufwändig werden... hast Du ein Backup, was sicher noch mit eingeschalteter FW gezogen ist? ... vielleicht kannst Du dagegen prüfen... Am Ende kommts drauf an, wie heikel das Ganze ist... Ich würde den Kasten, wenn ich nichts fände, vielleicht eine Weile im Auge behalten, checksummen, FW-Status, Apache-Logs... cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Jörg schrieb:
Hi,
ich mußte auf einem host (SLES 10) feststellen, daß zum einen die Firewall abgeschaltet war, und zum anderen auch die
Am 18.06.2012 14:35, schrieb Lentes, Bernd: links in den /etc/init.d/rcx.d verschwunden waren, so daß bei einem Reboot die Firewall nicht automatisch startet. Ich kann mich nicht daran erinnern, eines von beiden getan zu haben, bin aber manchmal auch vergesslich. In der history war diesbzgl. nichts zu finden. Das heißt aber auch nicht unbedingt etwas. Wenn ich an der Konsole Eingaben mache und anschließend den host runterfahre, _ohne_ die Konsole mit exit vorher zu schließen, tauchen die Befehle dieser Sitzung nicht in der history auf (könnte auch mal gefixt werden).
Also bin ich mal von einem Angriff ausgegangen und habe
folgendes getan:
- mit last nach Anmeldevorgängen irgendwelcher fremden IP's gesucht - nix - mit w geguckt, ob da irgendjemand angemeldet ist, der nicht da sein sollte - keiner da - mit netstat nach seltsamen Verbindungen geschaut - keine da - mit df geschaut, ob irgendwo auf einmal ein Verzeichnis zuläuft - läuft nix zu - mit top geschaut, ob irgendwelche ungewöhnlichen Prozesse Last erzeugen - nix gefunden - das habe ich alles mit binaries von einer CD gemacht, die statisch gelinkt waren
Des weiteren: - Portscan von anderer Maschine - keine ungewöhnlichen Ports offen - In den logs von apache (Port 80 ist von außen zugänglich) nach Einbruchsversuchen gesucht. Gibt zwar Spuren von solchen (z.B. wird nach phpMyAdmin o.ä. gesucht), es deutet aber nichts auf einen erfolgreichen Einbruch hin
Was könnte ich noch machen ? Mal die rpm-Pakete mit verify überprüfen, ob da ein binary verändert/ausgetauscht wurde ?
Bernd
@Bernd: Sorry for pm... falsche Taste...
kein Problem.
Wenn Du absolut sicher gehen musst, mach ihn platt ;-(
Im Ernst, was für Dienste laufen im Normalfall: apache2, sshd, cupsd ... andere??? Was läuft im Webserver für Zeugs? Nur statisch?
Einen nackigen Webserver, cupsd und sshd zu hacken, ist auch ohne FW nicht so trivial, mindestens müßte der Indianer ja selbst verwundbar sein und eine Seite anbieten, der man was unterjubeln kann, ohne <form> und Verwandte geht da wenig ... am heikelsten ist wohl ein großes CMS, falls öffentliche upload-Möglichkeiten bestehen... Für sshd braucht man wohl eine Authentifizierung, an hacken ist da IMHO eher nicht zu denken, wenn Du halbwegs gescheite PWs hast, läuft da nix... passwortlose Authentifizierungen, da kenn ich mich nicht aus, wie sicher sowas ist... Cupsd ist evt. leichter zu hacken, aber sollte ja keine root-Rechte haben, da ist's auch nicht trivial...
Binaries und Bibliotheken checken ... kann hübsch aufwändig werden... hast Du ein Backup, was sicher noch mit eingeschalteter FW gezogen ist? ... vielleicht kannst Du dagegen prüfen...
Am Ende kommts drauf an, wie heikel das Ganze ist... Ich würde den Kasten, wenn ich nichts fände, vielleicht eine Weile im Auge behalten, checksummen, FW-Status, Apache-Logs...
Von außen ist nur Port 80 erreichbar. System wird 2x/Woche gepatcht. Ich habe noch eine Zeit lang den Netzwerkverkehr mitgesnifft und nicht unregelmäßiges gefunden. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 18.06.2012 14:35, schrieb Lentes, Bernd:
Gibt zwar Spuren von solchen (z.B. wird nach phpMyAdmin o.ä. gesucht)
Das ist für einen von außen erreichbaren Webserver eigentlich normales Grundrauschen. Da solltest du dir eher Gedanken machen, wenn nichts derartiges mehr in den Logfiles steht. Wenn du sicher bist, dass die eingesetzten Anwendungen dicht sind und auf dem neuesten Stand, dürfte da nichts passieren. Das sind nur coole Hacker-Kids mit irgendwelchen selbstgeklauten Hackertools, von denen sie selber nicht wissen, wie sie funktionieren. Gruß Uli -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Ulrich schrieb:
Am 18.06.2012 14:35, schrieb Lentes, Bernd:
Gibt zwar Spuren von solchen (z.B. wird nach phpMyAdmin o.ä. gesucht)
Das ist für einen von außen erreichbaren Webserver eigentlich normales Grundrauschen. Da solltest du dir eher Gedanken machen, wenn nichts derartiges mehr in den Logfiles steht. Wenn du sicher bist, dass die eingesetzten Anwendungen dicht sind und auf dem neuesten Stand, dürfte da nichts passieren. Das sind nur coole Hacker-Kids mit irgendwelchen selbstgeklauten Hackertools, von denen sie selber nicht wissen, wie sie funktionieren.
Das macht mir auch keine Sorgen. Eher, daß die Firewall runtergefahren war und auch so konfiguriert, daß sie bei Booten nicht mehr automatisch startet. Vielleicht hab ich das auch selbst gemacht und vergessen, wüßte aber auch nicht, warum ich sowas machen sollte. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 18.06.2012 15:54, schrieb Lentes, Bernd:
Das macht mir auch keine Sorgen. Eher, daß die Firewall runtergefahren war und auch so konfiguriert, daß sie bei Booten nicht mehr automatisch startet. Vielleicht hab ich das auch selbst gemacht und vergessen, wüßte aber auch nicht, warum ich sowas machen sollte.
Sicher, dass die überhaupt schon mal on war? Beim Einrichten vergessen? Oder mal eben was getestet, wo das Ding im Weg war und dann über Yast deaktiviert? Dabei werden auch die Startup-Links entfernt. Gruß Uli -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Ulrich schrieb:
Am 18.06.2012 15:54, schrieb Lentes, Bernd:
Das macht mir auch keine Sorgen. Eher, daß die Firewall runtergefahren war und auch so konfiguriert, daß sie bei Booten nicht mehr automatisch startet. Vielleicht hab ich das auch selbst gemacht und vergessen, wüßte aber auch nicht, warum ich sowas machen sollte.
Sicher, dass die überhaupt schon mal on war? Beim Einrichten vergessen? Oder mal eben was getestet, wo das Ding im Weg war und dann über Yast deaktiviert? Dabei werden auch die Startup-Links entfernt.
Hi, ja, bin mir sicher daß die so konfiguriert war, daß sie beim Booten startet. Ich sehe die symbolischen links im backup bis zu einem best. Datum. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Lentes, Bernd [18.06.2012 16:48]:
Ulrich schrieb:
Am 18.06.2012 15:54, schrieb Lentes, Bernd:
Das macht mir auch keine Sorgen. Eher, daß die Firewall runtergefahren war und auch so konfiguriert, daß sie bei Booten nicht mehr automatisch startet. Vielleicht hab ich das auch selbst gemacht und vergessen, wüßte aber auch nicht, warum ich sowas machen sollte.
Sicher, dass die überhaupt schon mal on war? Beim Einrichten vergessen? Oder mal eben was getestet, wo das Ding im Weg war und dann über Yast deaktiviert? Dabei werden auch die Startup-Links entfernt.
Hi,
ja, bin mir sicher daß die so konfiguriert war, daß sie beim Booten startet. Ich sehe die symbolischen links im backup bis zu einem best. Datum.
Und war der Tag oder der folgende ein Patchtag? Hat vielleicht ein Patch auch andere Einstellungen für die Runlevel mitgebracht? Gruß Werner - -- -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.18 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iEYEARECAAYFAk/fQJYACgkQk33Krq8b42PgyQCfX2TU+J9vrkHM1oqK7xWyladG jqsAni7elZgPqNJb6Bfdv3hPuls6GTzr =319Y -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 18.06.2012 16:52, schrieb Werner Flamme:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Lentes, Bernd [18.06.2012 16:48]:
Ulrich schrieb:
Am 18.06.2012 15:54, schrieb Lentes, Bernd:
Das macht mir auch keine Sorgen. Eher, daß die Firewall runtergefahren war und auch so konfiguriert, daß sie bei Booten nicht mehr automatisch startet. Vielleicht hab ich das auch selbst gemacht und vergessen, wüßte aber auch nicht, warum ich sowas machen sollte.
Sicher, dass die überhaupt schon mal on war? Beim Einrichten vergessen? Oder mal eben was getestet, wo das Ding im Weg war und dann über Yast deaktiviert? Dabei werden auch die Startup-Links entfernt.
Hi,
ja, bin mir sicher daß die so konfiguriert war, daß sie beim Booten startet. Ich sehe die symbolischen links im backup bis zu einem best. Datum.
Und war der Tag oder der folgende ein Patchtag? Hat vielleicht ein Patch auch andere Einstellungen für die Runlevel mitgebracht?
Gruß Werner
Patches, die die Einstellungen in den Runleveln ändern? Da sei Linus vor! Gibt es sowas, ohne dass das umfassend (!) vorher angekündigt wird? Hab ich noch nie gehört... cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, On Mon, 18 Jun 2012, Lentes, Bernd wrote:
ja, bin mir sicher daß die so konfiguriert war, daß sie beim Booten startet. Ich sehe die symbolischen links im backup bis zu einem best. Datum.
Wunderbar. Backups sind was tolles... Dem Backup vor den verschwundenen Links kannst du vorläufig trauen. Dem Backup danach nur bedingt. Interessant wäre für mich jetzt. Was fehlt, was kam hinzu. Wenn du etwas Zeit, Rechenleistung und Speicherplatz investieren willst würde ich mit den beiden fraglichen Backups folgendes anstellen. Annahme: Bandlaufwerk/tar ungezippt, sonst eben was sinnvolles anderes als Kommando verwenden ;-) 1. Alle Dateien simple listen und in je eine Datei schreiben. tar -tvf /sicherung_vorher.tar > sicherung.vorher.txt tar -tvf /sicherung_nachher.tar > sicherung.nachher.txt diff sicherung.vorher.txt sicherung.nachher.txt 2. Check aller Dateien auf Veränderung. # Alle Dateien in ein sinnvolles Verzeichnis ungleich / entpacken. find /sinnvollesverzeichnis1 -type f -exec md5sum {} \; > s1.txt find /sinnvollesverzeichnis2 -type f -exec md5sum {} \; > s2.txt diff s1.txt s2.txt Wenn du etwas findest Glück gehabt. Wenn du nichts findest war der Angreifer evtl. so "nett" dein Backuptool gleich mit zu patchen ;-). Oder hat sich nur im RAM versteckt oder... oder. Hach es ist toll paranoid zu sein. Im Zweifel handelt es sich meistens um Pebcak. Greetings Daniel -- Testing may proof the presence of flaws, but not there apsence -- unknown -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Lentes, Bernd [18.06.2012 15:54]:
Ulrich schrieb:
Am 18.06.2012 14:35, schrieb Lentes, Bernd:
Gibt zwar Spuren von solchen (z.B. wird nach phpMyAdmin o.ä. gesucht)
Das ist für einen von außen erreichbaren Webserver eigentlich normales Grundrauschen. Da solltest du dir eher Gedanken machen, wenn nichts derartiges mehr in den Logfiles steht. Wenn du sicher bist, dass die eingesetzten Anwendungen dicht sind und auf dem neuesten Stand, dürfte da nichts passieren. Das sind nur coole Hacker-Kids mit irgendwelchen selbstgeklauten Hackertools, von denen sie selber nicht wissen, wie sie funktionieren.
Das macht mir auch keine Sorgen. Eher, daß die Firewall runtergefahren war und auch so konfiguriert, daß sie bei Booten nicht mehr automatisch startet. Vielleicht hab ich das auch selbst gemacht und vergessen, wüßte aber auch nicht, warum ich sowas machen sollte.
Hallo Bernd, ich wüsste nun wieder nicht, warum ich das nicht machen sollte... Zwischen dem pöhsen Internet und dem guten Webserver steht eine Unternehmensfirewall, die nur Zugriffe über Ports 80 und 443 zulässt. Welche zusätzliche Sicherheit bringt mir da eine lokale Firewall, zumal wenn es "nur" die SuSEfirewall2 ist, die ja nur mit iptables arbeitet, also keine Paket/inhalts/untersuchungen vornimmt? Vielleicht hast Du das ja beim Einrichten auch schon mal überlegt ;-) Gruß Werner - -- -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.18 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iEYEARECAAYFAk/fNkgACgkQk33Krq8b42PDzQCfYHnwq6EvJQWyCQ0eM7DIL9lp qDoAmQHvcQ5Vygybnu7J/UKM68ykWd3s =mKRh -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 18.06.2012 16:08, schrieb Werner Flamme:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Lentes, Bernd [18.06.2012 15:54]:
Ulrich schrieb:
Am 18.06.2012 14:35, schrieb Lentes, Bernd:
Gibt zwar Spuren von solchen (z.B. wird nach phpMyAdmin o.ä. gesucht)
Das ist für einen von außen erreichbaren Webserver eigentlich normales Grundrauschen. Da solltest du dir eher Gedanken machen, wenn nichts derartiges mehr in den Logfiles steht. Wenn du sicher bist, dass die eingesetzten Anwendungen dicht sind und auf dem neuesten Stand, dürfte da nichts passieren. Das sind nur coole Hacker-Kids mit irgendwelchen selbstgeklauten Hackertools, von denen sie selber nicht wissen, wie sie funktionieren.
Das macht mir auch keine Sorgen. Eher, daß die Firewall runtergefahren war und auch so konfiguriert, daß sie bei Booten nicht mehr automatisch startet. Vielleicht hab ich das auch selbst gemacht und vergessen, wüßte aber auch nicht, warum ich sowas machen sollte.
Hallo Bernd,
ich wüsste nun wieder nicht, warum ich das nicht machen sollte... Zwischen dem pöhsen Internet und dem guten Webserver steht eine Unternehmensfirewall, die nur Zugriffe über Ports 80 und 443 zulässt. Welche zusätzliche Sicherheit bringt mir da eine lokale Firewall, zumal wenn es "nur" die SuSEfirewall2 ist, die ja nur mit iptables arbeitet, also keine Paket/inhalts/untersuchungen vornimmt?
Vielleicht hast Du das ja beim Einrichten auch schon mal überlegt ;-)
Gruß Werner
Was hast Du überhaupt für eine FW - Standard-Suse? Bei Tests von Neuinstallationen hab ich die auch schon manchmal ein- und ausgeschaltet... das geht schnell, wenn man am Netzwerk rumbastelt. Wenn was nicht hinhaut - FW raus, damit man sicher ist, das die nicht zwischenfunkt... Wenn Du aber ein eigenes Script hast, was Du manuell in die Runlevel reingeschrieben hast, würde mich das eher zum Grübeln bringen... Das heißt ja doch, dass das ausgetestet war und das schaltet man dann doch eher nicht ab... oder man erinnert sich...? cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 18.06.2012 15:54, schrieb Lentes, Bernd:
Das macht mir auch keine Sorgen. Eher, daß die Firewall runtergefahren war und auch so konfiguriert, daß sie bei Booten nicht mehr automatisch startet. Vielleicht hab ich das auch selbst gemacht und vergessen, wüßte aber auch nicht, warum ich sowas machen sollte.
Wir haben uns hier angewöhnt ein einer Liste alle Änderungen einzutragen. Ist lästig aber es geht nichts über eine gute Doku in die man noch nach 5 Jahren was wieder findet. Gruß Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 E-Mail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling Aufsichtsrat Otto Prange (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 Für die Erstellung unserer Dokumente benutzen wir die Produkte aus dem Microsoft Office 2007 Paket. Sollte sich ein Anhang in der Mail befinden, der mit einer älteren Office Version nicht geöffnet werden kann, installieren Sie bitte das Compatibility Pack für Office 2007. http://www.microsoft.com/downloads/details.aspx?FamilyID=941b3470-3ae9-4aee-8f43-c6bb74cd1466&DisplayLang=de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 18. Juni 2012 16:10 schrieb Ralf Prengel
Wir haben uns hier angewöhnt ein einer Liste alle Änderungen einzutragen.
Sowieso. Ich erhöhe um sudo mit Logging. :-) Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 18.06.2012 17:41, schrieb Martin Schröder:
Am 18. Juni 2012 16:10 schrieb Ralf Prengel
: Wir haben uns hier angewöhnt ein einer Liste alle Änderungen einzutragen.
Sowieso. Ich erhöhe um sudo mit Logging. :-)
Bin dabei mit history deaktiviert. Kann echt lässtig sein hat aber auch den Vorteil das unberechtigte Dritte eine Informatiosnquelle wenige haben. Gruß Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 E-Mail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling Aufsichtsrat Otto Prange (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 Für die Erstellung unserer Dokumente benutzen wir die Produkte aus dem Microsoft Office 2007 Paket. Sollte sich ein Anhang in der Mail befinden, der mit einer älteren Office Version nicht geöffnet werden kann, installieren Sie bitte das Compatibility Pack für Office 2007. http://www.microsoft.com/downloads/details.aspx?FamilyID=941b3470-3ae9-4aee-8f43-c6bb74cd1466&DisplayLang=de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 18.06.2012 15:54, schrieb Lentes, Bernd:
Das macht mir auch keine Sorgen. Eher, daß die Firewall runtergefahren war und auch so konfiguriert, daß sie bei Booten nicht mehr automatisch startet. Vielleicht hab ich das auch selbst gemacht und vergessen, wüßte aber auch nicht, warum ich sowas machen sollte.
Du hattest doch erst kürzlich an so einem SLES 10 rumgebastelt, wegen Virtualisierung eines SLES 11. Vielleicht kam es dadurch, dass bei der Installation von Virtualbox da irgendwas schlief lief. Im Eifer des Gefechts passieren oftmals die seltsamsten Dinge ... Gruß Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 18. Juni 2012 15:54 schrieb Lentes, Bernd
Vielleicht hab ich das auch selbst gemacht und vergessen, wüßte aber auch nicht, warum ich sowas machen sollte.
Dann solltest Du mal mit den letzten Backups vergleichen. Achja: Systemadministration kann man lernen. Dazu gibt's Bücher und Kurse. Gruß Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Martin schrieb:
Am 18. Juni 2012 15:54 schrieb Lentes, Bernd
: Vielleicht hab ich das auch selbst gemacht und vergessen, wüßte aber auch nicht, warum ich sowas machen sollte.
Dann solltest Du mal mit den letzten Backups vergleichen. Achja: Systemadministration kann man lernen. Dazu gibt's Bücher und Kurse.
Ich hatte bereits geschrieben, daß ich das mit den backups verglichen habe, und erkennen kann, daß die Sysmlinks bis zu einem best. Tag (10. März) da sind und dann nicht mehr. Achja: ich lese Bücher und belege Kurse. Bernd Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Mon, Jun 18, 2012 at 05:49:36PM +0200, Lentes, Bernd wrote:
Martin schrieb:
Am 18. Juni 2012 15:54 schrieb Lentes, Bernd
: Vielleicht hab ich das auch selbst gemacht und vergessen, wüßte aber auch nicht, warum ich sowas machen sollte.
Dann solltest Du mal mit den letzten Backups vergleichen. Achja: Systemadministration kann man lernen. Dazu gibt's Bücher und Kurse.
Ich hatte bereits geschrieben, daß ich das mit den backups verglichen habe, und erkennen kann, daß die Sysmlinks bis zu einem best. Tag (10. März) da sind und dann nicht mehr. Achja: ich lese Bücher und belege Kurse.
Im Zweifelsfall wars man meist selber der was kaputt gemacht hat ;) Das klingt schon nach Adminfehler wenn alle gleichzeitig weg sind. Dadurch ist dann auch die Firewall abgeschaltet, weil die auch von Scripten da gestartet wird. Ciao, Marcus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (9)
-
Daniel Lord
-
Joerg Thuemmler
-
Lentes, Bernd
-
Manfred Kreisl
-
Marcus Meissner
-
Martin Schröder
-
Ralf Prengel
-
Ulrich Gehauf
-
Werner Flamme