Hallo Liste, Was mich an der ganzen Geschichte am meisten beunruhigt, ist Folgendes: 1.) wie schützt man sich dagegen -präventiv_, wenn schon das so sichere OS Linux so etwas zuläßt? Mir ist bewußt, daß 'Sicherheit' ein weit gefaßter Begriff ist, und eigentlich viele Aspekte beinhaltet. M.a.W.: das OS alleine kann die gewünschte Sicherheit i.a. _nicht_ bieten. Vgl. z.B. Markus' Kuhn HP: http://www.cl.cam.ac.uk/~mgk25/) 2.) Was kann man dagegen tun? Ich halte mich für einen interessierten Laien, der ein bißchen was weiß, aber nicht in der 'Liga der Systemsypezialisten' mitreden kann. Man kann ja ´nicht alles wissen... Trotzdem würde ich meinen Server gerne _sicher_ betreiben, _ohne_ Schaden für Dritte oder Schadenersatzforderungen befürchten zu müssen. Gibt es da Verhaltensregeln, oder Warnhinweise, wenn so etwas auftritt? Wäre das eine Aufgabe eine OS-Anbieters, eine entsprechende Standardkonfiguration zu installieren? Gibt es überhaupt Ansätze, Sicherheit im Internet als 'Standard bei der Installation' durchgehend 'sicher' zu machen? Der scheinbare 'Komfort' von Cookies etc. ist mir völlig schnurz... . Ich will einfach nur EINES - SICHERHEIT!!! 3.) Thomas Gräber meint in seinem Beitrag Re: Re: Hilfe DoS Attacke! Datum: Tue, 14 Sep 2004 11:14:54 +0200
Dann würde ich ... und nur die wichtigsten Configfiles und evtl. Daten übernehmen, auf keinen Fall Lib-Dateien oder ausführbare Dateien, da davon wahrscheinlich einige kompromittiert sind. ...<<
Ich frage mich nun insbesondere: Ist es denkbar, daß bestimmte files im _laufenden_ Betrieb geändert / ausgetauscht werden, _ohne_ daß das OS das 'merkt'? Wäre _das_ nicht ebenso ein Aspekt der Sicherheit? Bei der Installation von Paketen gibt's ja auch Schlüssel, die übereinstimmen müssen. Warum sollte man eine derartige Überprüfung nicht mit den Paketen tun, die _während_ einer Sitzung aktiv sind/waren? 4.) Sind derartige Angriffe auch seitens der Behörden bekannt? (ich duck' mich schon mal...). Würde man ja auch nicht mitkriegen... . 5.) Aus rechtlicher Sicht: Was _muß_ man tun, um nicht als fahrlässig verantwortlich gemacht zu werden? ("Sorgfaltspflicht") 6.) Frage: Vielleicht wäre die Diskussion in der Security-Liste besser aufgehoben gewesen? Kann hier jemand mit Wissen & Fakten beruhigen? Wäre toll! Axel Am Di, den 14.09.2004 schrieb Jürgen Knelangen um 12:16:
On Tue, Sep 14, 2004 at 10:02:21AM +0200, Anatol Schirmer wrote:
Andre Lorenz wrote:
Am Dienstag, 14. September 2004 08:56 schrieb Anatol Schirmer: Lass dich davon nicht verrückt machen. :-) Leicht gesagt :-)
1. Rufe dochmal bei der Firma an und verlange mal den admin, der dafür zuständig ist. 2. bitte ihn doch einfach, sofern das ganze echt ist, um eine kopie der Logfiles. Jup - machen wir! Haben sogar gerade von unserem Provider ne Beschwerde eingericht bekommen ... scheint wirklich zu stimmen :-/
2) In wiefern können mir die LogFiles vom Admin helfen?
Sie zeigen dir wo und wie dein system ge/missbraucht worden ist. Gut so weit war ich auch schon ;-) Die Frage muß ich wohl anders stellen: Wie sehen solche LogFiles aus und wie kann man dabei ermitteln, was nun wirklich los ist.
Habe auch ein paar Zeilen vom Provider bekommen (nehme an, dass sind Logs vom betroffenen Admin). Aber das sieht mir eher wie n TCPDUMP aus:
Ist es auch.
[...] 23:48:34.490403 adsl-63-108-129-235.apid.com.49265 > web.mpango.de.websm: . ack 762561 win 33120 (DF) 23:48:34.495534 c-24-20-234-49.client.comcast.net.49626 > web.mpango.de.websm: . ack 31357 win 33304 (DF) 23:48:34.515143 pD9ED0BCC.dip0.t-ipconnect.de.ndl-aps > web.mpango.de.websm: . ack 733121 win 31647 (DF) 23:48:34.535075 ip68-7-175-74.sd.sd.cox.net.52533 > web.mpango.de.websm: . ack 764545 win 652 (DF) [...]
und wenn ich das richtig deute, dann geht doch der Weg von den ominösen Adressen zu UNSEREM Rechner! Das ist der web.mpango.de ...
Was Du da bekommst sind die Antworten (ACK) auf deine (?) Verbindungs- anfragen (SYN).
=> 3-Way Handshake
Für nähere Infos Google fragen.
Gruß, Jürgen -- Dr. A. Krebs