ich hätte eine wichtige Frage. Wir haben einen 1&1 RootServer angemietet mit SuSe 9.3 Vor einigen Tagen wurde unser Server von 1&1 gesperrt, da anscheinend Fisching-Dateien drauf seien. Nach einem Telefonat wurde der Server wieder frei geschaltet. Unter FTP habe ich die betreffenden Fisching-Dateien gesucht, aber nicht gefunden. Anschließend unter Shell mit dem Benutzer von dem vhost/domain eingeloggt: Keine Berechtigung. Danach mit root eingeloggt und die Dateien in httpdocs gefunden. Jetzt habe ich mit erschrecken auch festgestellt, dass die Dateien Root-Rechte haben. drwxr-xr-x 3 root root 61 Jul 24 14:56 LaCapitolFcu Jetzt traue ich dem Server nicht mehr. Am besten wäre es wohl, den Server nochmals komplett aufsetzen. Meine Frage nun, wie so etwas passieren kann? In access.log oder messages habe ich keine bemerkenswerten Einträge gefunden. Mich würde das ganze aber schon interessieren, wie fremde Dateien auf unseren Server gelangen und das auch noch mit Root-Rechte. Im 1&1 Control Center habe ich nun die Möglichkeit eine Server-Initialisierung durchzuführen. SUSE 10.1 mit Plesk 8.1 (64 bit) SUSE 9.3 mit Plesk 8.0 (64 bit) Fedora Core 4 mit Plesk 8.0 (64 bit) Fedora Core 4 Minimalsystem (64 bit) Debian 3.1 (stable/sarge) Minimalsystem (64 bit) Grüße -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 31.07.07 schrieb Taner Ayaydin <taney@web.de>:
gefunden. Mich würde das ganze aber schon interessieren, wie fremde Dateien auf unseren Server gelangen und das auch noch mit Root-Rechte.
http://www.heise.de/newsticker/meldung/93627 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
ich h=E4tte eine wichtige Frage. Wir haben einen 1&1 RootServer angemietet mit SuSe 9.3 Vor einigen Tagen wurde unser Server von 1&1 gesperrt, da anscheinend Fisching-Dateien drauf seien. Nach einem Telefonat wurde der Server wieder frei geschaltet. Unter FTP = habe ich die betreffenden Fisching-Dateien gesucht, aber nicht gefunden. Anschlie=DFend unter Shell mit dem Benutzer von dem vhost/domain = eingeloggt: Keine Berechtigung. Danach mit root eingeloggt und die Dateien in httpdocs gefunden. Jetzt habe ich mit erschrecken auch festgestellt, dass die Dateien Root-Rechte haben.
drwxr-xr-x 3 root root 61 Jul 24 14:56 LaCapitolFcu
Jetzt traue ich dem Server nicht mehr. Am besten w=E4re es wohl, den = Server nochmals komplett aufsetzen. Meine Frage nun, wie so etwas passieren = kann?
In access.log oder messages habe ich keine bemerkenswerten Eintr=E4ge gefunden. Mich w=FCrde das ganze aber schon interessieren, wie fremde = Dateien auf unseren Server gelangen und das auch noch mit Root-Rechte.
Im 1&1 Control Center habe ich nun die M=F6glichkeit eine Server-Initialisierung durchzuf=FChren.
SUSE 10.1 mit Plesk 8.1 (64 bit) SUSE 9.3 mit Plesk 8.0 (64 bit) Fedora Core 4 mit Plesk 8.0 (64 bit) Fedora Core 4 Minimalsystem (64 bit) Debian 3.1 (stable/sarge) Minimalsystem (64 bit)
Gr=FC=DFe
ich würde vermutlich suse 10.1 nehmen und sowohl plesk wie zmd wegmachen... Es hängt natürlich davon ab, wofür der Server verwendet wird Wolfgan Hamann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Dienstag, 31. Juli 2007 23:36 schrieb Taner Ayaydin:
ich hätte eine wichtige Frage. Wir haben einen 1&1 RootServer angemietet mit SuSe 9.3 Hab ich auch noch, wird aber Morgen abgeschaltet.
Das sind hoffnungslos veraltete Versionen. Wenn Du nicht weist wie man an aktuelle Bugfixes kommt, dann solltest Du die Finger von Root-Servern lassen!
Vor einigen Tagen wurde unser Server von 1&1 gesperrt, da anscheinend Fisching-Dateien drauf seien. Nach einem Telefonat wurde der Server wieder frei geschaltet. Unter FTP habe ich die betreffenden Fisching-Dateien gesucht, aber nicht gefunden. Anschließend unter Shell mit dem Benutzer von dem vhost/domain eingeloggt: Keine Berechtigung. Danach mit root eingeloggt und die Dateien in httpdocs gefunden. Jetzt habe ich mit erschrecken auch festgestellt, dass die Dateien Root-Rechte haben.
drwxr-xr-x 3 root root 61 Jul 24 14:56 LaCapitolFcu
Jetzt traue ich dem Server nicht mehr. Am besten wäre es wohl, den Server nochmals komplett aufsetzen. Meine Frage nun, wie so etwas passieren kann? Die Kiste wurde gehackt!
In access.log oder messages habe ich keine bemerkenswerten Einträge gefunden. Mich würde das ganze aber schon interessieren, wie fremde Dateien auf unseren Server gelangen und das auch noch mit Root-Rechte.
Gute Hacker hinterlassen (fast) keine Spuren. Die sind daran interessiert einen gehackten Rechner möglichst lange selbst zu nutzen ...
Im 1&1 Control Center habe ich nun die Möglichkeit eine Server-Initialisierung durchzuführen.
Initialisierung heißt: die Kiste wird komplett platt gemacht und das neue Betriebssystem wird aufgespielt. Du solltest also eine Datensicherung haben (solltest Du eigentlich immer haben ;-) ). Ach so: Du solltest eine Datensicherung haben, die sauber ist. Sonst sind die Hacker ziemlich schnell wieder 'online'
SUSE 10.1 mit Plesk 8.1 (64 bit)
Die ist OK. aktuelle Bugfixes sind verfügbar und Plesk wird auch schon als Version 8.2 angeboten (als update nach der Installation).
SUSE 9.3 mit Plesk 8.0 (64 bit) Fedora Core 4 mit Plesk 8.0 (64 bit) Fedora Core 4 Minimalsystem (64 bit) Debian 3.1 (stable/sarge) Minimalsystem (64 bit)
Grüße Nochmal: als Betreiber eines Root-Servers bist DU!!! für alles Verantwortlich was mit der Kiste passiert!!! Du solltest dir überlegen, ob ein 'managed' Server für dich nicht besser ist.
Viel Glück Rolf -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Taner Ayaydin wrote:
ich hätte eine wichtige Frage. Wir haben einen 1&1 RootServer angemietet mit SuSe 9.3 Vor einigen Tagen wurde unser Server von 1&1 gesperrt, da anscheinend Fisching-Dateien drauf seien. Nach einem Telefonat wurde der Server wieder frei geschaltet. Unter FTP habe ich die betreffenden Fisching-Dateien gesucht, aber nicht gefunden. Anschließend unter Shell mit dem Benutzer von dem vhost/domain eingeloggt: Keine Berechtigung. Danach mit root eingeloggt und die Dateien in httpdocs gefunden. Jetzt habe ich mit erschrecken auch festgestellt, dass die Dateien Root-Rechte haben.
drwxr-xr-x 3 root root 61 Jul 24 14:56 LaCapitolFcu
Jetzt traue ich dem Server nicht mehr. Am besten wäre es wohl, den Server nochmals komplett aufsetzen. Meine Frage nun, wie so etwas passieren kann?
- Suse 9.3 bekommt keine aktuellen Sicherheitsupdates mehr - jede Anwendung kann zum Scheunentor werden bei falscher Konfig - Verwaltungstools wie Confixx und Plesk haben regelmäßig Sicherheitslücken: immer auf dem aktuellen Stand bleiben Frage zurück: Wie hast du sichergestellt, dass der Server NICHT gehackt werden kann? -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Liste, hallo Sandy, erstmal sorry wegen meiner späten Antwort und vielen Dank für die Antworten und Tipps. Zur Sicherheitslücke: Wichtig war es, dass unsere Leichtsinnigkeit sich nicht all zu gravierend ausgewirkt hat, da wir zurzeit eigentlich nur unsere Community auf diesem Server testen. Ideal wäre es natürlich, wenn wir auf einen Managedserver zugreifen könnten. Dies geht aber leider nicht, da wir zwar selten, aber zwingen Root-Rechte bräuchten. Zudem habe ich bisher nie die Zeit gefunden, mich in die Materie einzuarbeiten, wobei wir auf alle Fälle professionelle Hilfe bzw. Dienstleistung in Anspruch nehmen sollten / müssten. Im Groben und Ganzen muss eigentlich nur unsere Community auf diesem Server laufen. (Geschrieben in Java. mySQL Datenbank. Im Einsatz unter Tomcat, verknüpft mit dem Apache) Zusätzlich müssten wir noch einen User/Kunden anlegen, da wir in die Community von einer Fremdfirma Spiele integriert haben. Diese Spiele sollten einen eigenen Account mit eventuellem Shell-Zugang erhalten. Installiert hatten wir auf dem Server bisher nur FTP, um täglich per Crontab von einem anderen Server XML-Dateien downzuloaden. Ansonsten hatten wir noch Portsentry drauf. Versucht hatten wir noch modsecurity bzw. apache2-mod_security2-2.0.0.rc.2-8.3.x86 draufzumachen, ist aber vermutlich an dem 64 Bit-System gescheitert. Zu den fremden Dateien, bzw. zur Lücke selbst. Ich glaube nicht, ob das ganze nun mit der Confix-Lücke zusammenhängt, da wir kein Confix im Einsatz haben und nie hatten, sondern Plesk. Dürfte aber dasselbe sein :-) Mittlerweile habe ich den Server initalisiert. Suse 10.1 in Verbindung mit Plesk 8.1. Die nächsten Schritte werden wohl sein, dass ich SuSe und Plesk immer am laufen halte. Unter YAST dürfte das wohl das kleinere Problem sein, diese Dinger upzudaten. Firewall an sich ist bei uns auch nicht aktiv. Den Zugriff auf Plesk würde ich zwar gerne auf eine IP begrenzen, leider ändert sich aber meine IP spätestens alle 24 Stunden. Ein IP-Bereich wäre dann wohl nicht mehr so sinnvoll. Was ich noch prüfen müsste, ob unsere Datenbank extern ansprechbar ist. Falls ja, müsste ich das irgendwie unterbinden bzw. abschalten. Wie sieht es eigentlich aus, wenn man den Server mit Anfragen bombardiert. Sei es der Apache oder sonst etwas. Genauso, wenn jemand versucht, Shell-Zugang, bzw. Sonstige Zugänge / Passwörter zu knacken. Was ich überhaupt nicht erwähnt habe. Welche gravierenden Fehler könnte man in die Community-Scripte aus versehen einbauen, um die Serversicherheit zu gefährden? Hier kenne ich zwar XSS-Angriffe und SQL-Injections, dies dürfte aber noch lange nicht alles sein... Für Eure Bemühungen bedanke ich mich im Voraus und würde mich über Tipps und zahlreiche Hilfestellungen freuen. Grüße aus Stuttgart Taney
Taner Ayaydin wrote:
ich hätte eine wichtige Frage. Wir haben einen 1&1 RootServer angemietet mit SuSe 9.3 Vor einigen Tagen wurde unser Server von 1&1 gesperrt, da anscheinend Fisching-Dateien drauf seien. Nach einem Telefonat wurde der Server wieder frei geschaltet. Unter FTP habe ich die betreffenden Fisching-Dateien gesucht, aber nicht gefunden. Anschließend unter Shell mit dem Benutzer von dem vhost/domain eingeloggt: Keine Berechtigung. Danach mit root eingeloggt und die Dateien in httpdocs gefunden. Jetzt habe ich mit erschrecken auch festgestellt, dass die Dateien Root-Rechte haben.
drwxr-xr-x 3 root root 61 Jul 24 14:56 LaCapitolFcu
Jetzt traue ich dem Server nicht mehr. Am besten wäre es wohl, den Server nochmals komplett aufsetzen. Meine Frage nun, wie so etwas passieren kann?
- Suse 9.3 bekommt keine aktuellen Sicherheitsupdates mehr - jede Anwendung kann zum Scheunentor werden bei falscher Konfig - Verwaltungstools wie Confixx und Plesk haben regelmäßig Sicherheitslücken: immer auf dem aktuellen Stand bleiben
Frage zurück: Wie hast du sichergestellt, dass der Server NICHT gehackt werden kann?
-- Sandy
Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Liste, hallo Sandy,=20
erstmal sorry wegen meiner sp=E4ten Antwort und vielen Dank f=FCr die = Antworten und Tipps.=20
Zur Sicherheitsl=FCcke: Wichtig war es, dass unsere Leichtsinnigkeit = sich nicht all zu gravierend ausgewirkt hat, da wir zurzeit eigentlich nur = unsere Community auf diesem Server testen.=20
Ideal w=E4re es nat=FCrlich, wenn wir auf einen Managedserver zugreifen = k=F6nnten. Dies geht aber leider nicht, da wir zwar selten, aber zwingen = Root-Rechte br=E4uchten.=20 Zudem habe ich bisher nie die Zeit gefunden, mich in die Materie einzuarbeiten, wobei wir auf alle F=E4lle professionelle Hilfe bzw. Dienstleistung in Anspruch nehmen sollten / m=FCssten.=20
Im Groben und Ganzen muss eigentlich nur unsere Community auf diesem = Server laufen. (Geschrieben in Java. mySQL Datenbank. Im Einsatz unter Tomcat, verkn=FCpft mit dem Apache) Zus=E4tzlich m=FCssten wir noch einen User/Kunden anlegen, da wir in die Community von einer Fremdfirma Spiele integriert haben. Diese Spiele = sollten einen eigenen Account mit eventuellem Shell-Zugang erhalten.
Installiert hatten wir auf dem Server bisher nur FTP, um t=E4glich per = Crontab von einem anderen Server XML-Dateien downzuloaden. Ansonsten hatten wir = noch Portsentry drauf. Versucht hatten wir noch modsecurity bzw. apache2-mod_security2-2.0.0.rc.2-8.3.x86 draufzumachen, ist aber = vermutlich an dem 64 Bit-System gescheitert.=20
Zu den fremden Dateien, bzw. zur L=FCcke selbst. Ich glaube nicht, ob = das ganze nun mit der Confix-L=FCcke zusammenh=E4ngt, da wir kein Confix im = Einsatz haben und nie hatten, sondern Plesk. D=FCrfte aber dasselbe sein :-)
Mittlerweile habe ich den Server initalisiert. Suse 10.1 in Verbindung = mit Plesk 8.1. Die n=E4chsten Schritte werden wohl sein, dass ich SuSe und = Plesk immer am laufen halte. Unter YAST d=FCrfte das wohl das kleinere Problem = sein, diese Dinger upzudaten. Firewall an sich ist bei uns auch nicht aktiv.=20
*** Das solltest Du ändern.... ****
Den Zugriff auf Plesk w=FCrde ich zwar gerne auf eine IP begrenzen, = leider =E4ndert sich aber meine IP sp=E4testens alle 24 Stunden. Ein IP-Bereich = w=E4re dann wohl nicht mehr so sinnvoll.=20
Ich verstehe nicht so ganz, wozu Plesk hier gebraucht wird. Um es abzusichern, könntest Du - ssl mit Client Zertifikat verwenden - einen ssh Tunnel (ebenfalls mit client cert) einsetzen - openssl verwenden. In den letzten beiden Fällen bräuchte Plesk nicht mehr auf einen Internet Port hören
Was ich noch pr=FCfen m=FCsste, ob unsere Datenbank extern ansprechbar = ist. Falls ja, m=FCsste ich das irgendwie unterbinden bzw. abschalten.=20
Wie sieht es eigentlich aus, wenn man den Server mit Anfragen = bombardiert. Sei es der Apache oder sonst etwas. Genauso, wenn jemand versucht, Shell-Zugang, bzw. Sonstige Zug=E4nge / Passw=F6rter zu knacken.=20
ich setze bei mir ein modifiziertes pam_abl ein: wenn jemand alle 3 Sekunden ein neues ssh Passwort präsentiert, wird das ab dem dritten Versuch direkt ignoriert. Du kannst auch den root Zugang sperren, d.h. ein Angreifer müsste sowohl einen gültigen User als auch ein Passwort erraten.
Was ich =FCberhaupt nicht erw=E4hnt habe. Welche gravierenden Fehler = k=F6nnte man in die Community-Scripte aus versehen einbauen, um die Serversicherheit = zu gef=E4hrden? Hier kenne ich zwar XSS-Angriffe und SQL-Injections, dies = d=FCrfte aber noch lange nicht alles sein...
PHP Sicherheit: wenn Deine Skripte z.B. kein fopen("http://...","r") machen, kannst Du das auch verbieten
F=FCr Eure Bem=FChungen bedanke ich mich im Voraus und w=FCrde mich = =FCber Tipps und zahlreiche Hilfestellungen freuen.=20
Gr=FC=DFe aus Stuttgart Taney =20
Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 11 Aug 2007 08:05:37 -0000, hamann.w@t-online.de wrote:
Du kannst auch den root Zugang sperren, d.h. ein Angreifer m?sowohl einen g?n User als auch ein Passwort erraten.
Also entweder bringst Du Deinem TkMail bei, einen korrekten Charset Eintrag im Header zu machen oder du verzichtest auf notionale Sonderzeichen, also vor allem Umlaute. So sind Deine Mails ziemlich unleserlich. Philipp -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (6)
-
hamann.w@t-online.de -
Martin Schröder -
Philipp Thomas -
Rolf Masfelder -
Sandy Drobic -
Taner Ayaydin