Hallo Liste, hallo Sandy, erstmal sorry wegen meiner späten Antwort und vielen Dank für die Antworten und Tipps. Zur Sicherheitslücke: Wichtig war es, dass unsere Leichtsinnigkeit sich nicht all zu gravierend ausgewirkt hat, da wir zurzeit eigentlich nur unsere Community auf diesem Server testen. Ideal wäre es natürlich, wenn wir auf einen Managedserver zugreifen könnten. Dies geht aber leider nicht, da wir zwar selten, aber zwingen Root-Rechte bräuchten. Zudem habe ich bisher nie die Zeit gefunden, mich in die Materie einzuarbeiten, wobei wir auf alle Fälle professionelle Hilfe bzw. Dienstleistung in Anspruch nehmen sollten / müssten. Im Groben und Ganzen muss eigentlich nur unsere Community auf diesem Server laufen. (Geschrieben in Java. mySQL Datenbank. Im Einsatz unter Tomcat, verknüpft mit dem Apache) Zusätzlich müssten wir noch einen User/Kunden anlegen, da wir in die Community von einer Fremdfirma Spiele integriert haben. Diese Spiele sollten einen eigenen Account mit eventuellem Shell-Zugang erhalten. Installiert hatten wir auf dem Server bisher nur FTP, um täglich per Crontab von einem anderen Server XML-Dateien downzuloaden. Ansonsten hatten wir noch Portsentry drauf. Versucht hatten wir noch modsecurity bzw. apache2-mod_security2-2.0.0.rc.2-8.3.x86 draufzumachen, ist aber vermutlich an dem 64 Bit-System gescheitert. Zu den fremden Dateien, bzw. zur Lücke selbst. Ich glaube nicht, ob das ganze nun mit der Confix-Lücke zusammenhängt, da wir kein Confix im Einsatz haben und nie hatten, sondern Plesk. Dürfte aber dasselbe sein :-) Mittlerweile habe ich den Server initalisiert. Suse 10.1 in Verbindung mit Plesk 8.1. Die nächsten Schritte werden wohl sein, dass ich SuSe und Plesk immer am laufen halte. Unter YAST dürfte das wohl das kleinere Problem sein, diese Dinger upzudaten. Firewall an sich ist bei uns auch nicht aktiv. Den Zugriff auf Plesk würde ich zwar gerne auf eine IP begrenzen, leider ändert sich aber meine IP spätestens alle 24 Stunden. Ein IP-Bereich wäre dann wohl nicht mehr so sinnvoll. Was ich noch prüfen müsste, ob unsere Datenbank extern ansprechbar ist. Falls ja, müsste ich das irgendwie unterbinden bzw. abschalten. Wie sieht es eigentlich aus, wenn man den Server mit Anfragen bombardiert. Sei es der Apache oder sonst etwas. Genauso, wenn jemand versucht, Shell-Zugang, bzw. Sonstige Zugänge / Passwörter zu knacken. Was ich überhaupt nicht erwähnt habe. Welche gravierenden Fehler könnte man in die Community-Scripte aus versehen einbauen, um die Serversicherheit zu gefährden? Hier kenne ich zwar XSS-Angriffe und SQL-Injections, dies dürfte aber noch lange nicht alles sein... Für Eure Bemühungen bedanke ich mich im Voraus und würde mich über Tipps und zahlreiche Hilfestellungen freuen. Grüße aus Stuttgart Taney
Taner Ayaydin wrote:
ich hätte eine wichtige Frage. Wir haben einen 1&1 RootServer angemietet mit SuSe 9.3 Vor einigen Tagen wurde unser Server von 1&1 gesperrt, da anscheinend Fisching-Dateien drauf seien. Nach einem Telefonat wurde der Server wieder frei geschaltet. Unter FTP habe ich die betreffenden Fisching-Dateien gesucht, aber nicht gefunden. Anschließend unter Shell mit dem Benutzer von dem vhost/domain eingeloggt: Keine Berechtigung. Danach mit root eingeloggt und die Dateien in httpdocs gefunden. Jetzt habe ich mit erschrecken auch festgestellt, dass die Dateien Root-Rechte haben.
drwxr-xr-x 3 root root 61 Jul 24 14:56 LaCapitolFcu
Jetzt traue ich dem Server nicht mehr. Am besten wäre es wohl, den Server nochmals komplett aufsetzen. Meine Frage nun, wie so etwas passieren kann?
- Suse 9.3 bekommt keine aktuellen Sicherheitsupdates mehr - jede Anwendung kann zum Scheunentor werden bei falscher Konfig - Verwaltungstools wie Confixx und Plesk haben regelmäßig Sicherheitslücken: immer auf dem aktuellen Stand bleiben
Frage zurück: Wie hast du sichergestellt, dass der Server NICHT gehackt werden kann?
-- Sandy
Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org