Al Bogner schrieb:
Am Freitag 30 Oktober 2009 13:40:13 schrieb Erik P. Roderwald:
war's. Spuren findest Du keine mehr, wenn ich sauber gearbeitet habe. Der Angreifer hat aber immer noch den root-Zugang.
Somit muss ich mich fragen, wie er den root-Zugang erhalten hat. Ich schließe aus, dass er den private-Key erraten konnte. Login per user / pw ist nicht möglich. Also wäre Cross-Site-Scripting denkbar, oder er hat es über das Login beim VPS-Hoster geschafft. Das PW dort ist gut. Alle Pakete sind aktuell.
Pakete aktuell ist kein Grund ;-) , verringert nur Angriffschancen. Wie er reinkommt ? Im einfachsten Fall über Anwendungspakete.. wenn du PHP laufen hast, wenn du Scripte hast (Python, Perl ) wenn du Java hast (Tomcat), wenn du eine Datenbank im Hintergrund hast (SQL-Injection).... Alles "theoretisch offene Löcher".
Ich bin etwas ratlos, wie ich mich besser absichern soll.
im einfachsten Fall, indem du deinen Server sauber handelst ... Beispiele ( mal klug dahergeredet...) Eingaben prüfen, alles Zulässige Prüfen, Rest verwerfen (keine "hilfreichen" Fehlermeldungen rausgeben). Pakete permanent aktualisieren, kritische Funktionen ausschalten. Login nur über Key hast du ja schon, hoffen wir also, dass auch das richtige OpenSSH-Paket dazugehört und keines mit vorhersagbaren Hashs. Und natürlich - wenn du eines hattest - hast dun alle Keys neu generiert... Es gab ja vor kurzem ein ssh-Paket, bei dem Keys recht gut erratbar waren, dazu noch ein Brute-Force-Angriff...meinetwegen auch verteilt ..und du warst relativ schnell durch (Tage statt Jahre). Ist nur ein Beispiel... Cross-Site-Scripting wirkt wohl eher auf den Nutzer einer Internetseite. Wenn du natürlich "links" Opfer eines erfolgreichen Angriffs wirst und "rechts" auf deinem (Web)Server eingeloggt bist.... ... gut für Herrn Zahnstein.. :)) Gruesse Fred
Al
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org