# System auf Angriffe überprüfen?

## Battlestar Gentoo

Hallo,

wie ich heute feststellen musste, wurde von einem Unbekannten die Indexseite einer meiner Webpräsenzen verändert. 

Laut Provider häuften sich in den letzten Wochen derartige Angriff auf die bei ihm gehostete Webpräsenzen. Ich glaube fast nicht, dass jemand auf meinem System eingebrochen ist, das Passwort gestohlen und die Webseite verändert hat, v.a. wegen der Tatsache, dass einige andere Webseiten dieses Providers ebenfalls betroffen sind.

Ich habe mich allerdings schon darüber Gedanken gemacht, wie ich eigentlich überprüfen könnte, ob auf meinem System eingebrochen wurde?

Irgendwelche Vorschläge?

----------

## doedel

http-server logfiles, ftp-server logfiles, eben alle verbindungen auf den server überprüfen....

----------

## smg

Eventuell auf rootkits checken..

----------

## Battlestar Gentoo

Nun, den lokalen Apache habe ich nur dann laufen, wenn ich irgendwelche Webseiten testen will. Das ist m.M.n eine nicht besonders zuverlässige Methode. 

Wie kann ich das Vorhandensein von Rootkits überprüfen?

----------

## schachti

chkrootkit.

----------

## Battlestar Gentoo

Danke für den Tipp. chkrootkit hat nichts gefunden. 

Wie sieht's eigentlich mit iptables aus? Sollte man sich auf jeden Fall Regeln zulegen? Bisher habe ich noch kaum damit beschäftigt.

----------

## smg

 *schachti wrote:*   

> chkrootkit.

 

```
app-forensics/chkrootkit 
```

nur wenn das installed ist  :Smile: 

----------

## schachti

Ist so eine Sache mit iptables... Prinzipiell ist es besser, sämtliche Anwendungen ordentlich zu konfigurieren - wo kein Port unnötigerweise offen ist, muß man ihn auch nicht mit iptables schützen.   :Wink: 

Wenn der Rest des Systems abgesichert ist, schadet eine durchdachte iptables-Lösung sicher nicht - gerade dann, wenn man z. B. den Zugriff auf bestimmte Dienste beschränken will.

----------

## smg

qdiscs wären auch cool, wegen DDoS und so...

----------

## schachti

 *smg wrote:*   

>  *schachti wrote:*   chkrootkit. 
> 
> ```
> app-forensics/chkrootkit 
> ```
> ...

 

Wo liegt was Problem, dem chkrootkit ein emerge chkrootkit vorauszuschicken, falls der Befehl nicht gefunden wurde?   :Wink: 

----------

## smg

 *schachti wrote:*   

>  *smg wrote:*    *schachti wrote:*   chkrootkit. 
> 
> ```
> app-forensics/chkrootkit 
> ```
> ...

 

 :Smile: 

Na ja wollte das nur verdeutlichen, dass er es erst emergen muss. *g*

Bye.

----------

## mkr

 *schachti wrote:*   

> Ist so eine Sache mit iptables... Prinzipiell ist es besser, sämtliche Anwendungen ordentlich zu konfigurieren - wo kein Port unnötigerweise offen ist, muß man ihn auch nicht mit iptables schützen.   

 

Von aussen nach innen hast Du Recht. Ich erstelle für meine Server aber gerne ein paar Regeln für den Verkehr von innen nach aussen. Wenn möglich auf einer externen Firewall, falls nicht möglich (Rootserver) halt lokal mit iptables.

Prinzipiell ist es sinnvoll, dem Server zu verbieten, Verbindungen nach aussen aufzubauen. Eine Ausnahme ist natürlich je nach Einsatzzweck des Servers DNS, Mail und der Updateserver der eingesetzten Distribution.

So verhindert man zwar nicht unbedingt Angriffe, aber man kann ihre Wirkung mindern. Viele Exploits für PHP-Scripts versuchen per wget rootkits nachzuladen. Das geht dann nicht mehr. Und selbst wenn ein Angreifer mal auf der Kiste ist, kann er sie nicht für SSH-Scans missbrauchen oder einen IRC-Bot installieren. "Verloren" hat man trotzdem, aber wenigstens bekommt man keine bösen Mails vom Provider.

----------

## schachti

Gut, aber dieser Ansatz ist letztendlich nur für dedizierte Server mit eng begrenztem Aufgabenspektrum praktikabel. Sinnvoller bleibt meiner Meinung nach die Absicherung des Gesamtsystems (hardened-sources, hardened-Profil, ...).

----------

## Battlestar Gentoo

Was genau macht hardened-sources? Sieht m.M.n. irgendwie wie ein Kernelmodul aus.

----------

## schachti

hardened-sources ist ein Kernel, der Patches für bestimmte Security-Erweiterungen, z. B. Grsecurity und PaX, enthält.

----------

## beejay

Warum kommen solche Fragestellungen eigentlich immer erst dann, wenn das Kind schon in den Brunnen gefallen ist? Man geht doch - beispielsweise - auch nicht ohne Kondome in den Swingerclub.   :Evil or Very Mad: 

Sicherheit bzw. forensische Verfahren müssen von vornherein geplant und aufgesetzt werden. Nach erfolgtem Einbruch ist die ganze Angelegenheit Blödsinn, da man dem System sowieso nicht mehr trauen kann -- man weiss nicht, was ein eventueller Angreifer geändert hat.

----------

## dakjo

@beejay ritÖch

Auf einem erfolgreichem Angriff kann daher nur ein neuaufsetzten des Gesamtsystems folgen.

----------

## think4urs11

 *beejay wrote:*   

> Warum kommen solche Fragestellungen eigentlich immer erst dann, wenn das Kind schon in den Brunnen gefallen ist? 

 

Weil das - ähnlich wie heizen auf allem was mal eine Straße wird - von vielen erst am eigenen Leib gelernt werden will bevor (evtl.) die Einsicht/Vernunft einsetzt.

Selbst in vielen Firmen werden größere Projekte so gefahren ... erstmal machen und dann Zug um Zug schauen was man alles vergessen hat. Gerade alles was Security im weiteren Sinne ist wird gerne 'vergessen'   :Evil or Very Mad: 

Oder nimm ein anderes Thema ...wieviel % der Forumsteilnehmer haben ein

a) vollständiges bzw. brauchbares

b) getestetes

Backup ihres Systems? Grob und optimistisch geschätzt würde ich 25% sagen.

----------

## dakjo

@Think4UrS11 Backups sind überbewertet. Ist die Platte wenigstens wieder leer und mann kann neuen Müll sammeln.

----------

## think4urs11

 *dakjo wrote:*   

> @Think4UrS11 Backups sind überbewertet. Ist die Platte wenigstens wieder leer und mann kann neuen Müll sammeln.

 

du liest eindeutig zuviel BOfH  :Wink: 

geh mit dem Satz mal zu (d)einem Geschäftsführer   :Rolling Eyes: 

----------

## Battlestar Gentoo

Nun, es heißt ja gar nicht, dass in mein System eingebrochen wurde. Da ich ohnehin keine unnötigen Dienste am Laufen habe, sollte mein System sowieso recht sicher sein. Der Vorfall hat mir lediglich zu denken gegeben.

----------

## dakjo

@Think4UrS11: Ich bin mein Geschäftsführer  :Very Happy: 

War ja auch nur Spass.   :Rolling Eyes: 

@Gentoo Reptile: Wenn jemand deine Website verändert hat, ist er eingebrochen oder nicht?

----------

## schachti

Wenn jemand in der Lage war, "Indexseite einer [deiner] Webpräsenzen" zu verändern, hatte er Schreibzugriff im entsprechenden Verzeichnis. Da ist der Weg zu schlimmeren Dingen nicht mehr weit...

----------

## l3u

Jetzt liegt doch aber die Seite bei nem Provider und nicht auf dem Computer, um die sich die Diskussion hier dreht. Oder hab ich das falsch verstanden?

----------

## lonF

So wie ich das verstanden habe liegt die Präsenz auf einem root-Server bei einem Provider.

Wenn die Präsenz verändert wurde, heißt das das jemand in dem Ordner der Präsenz Schreibrechte hat. Ich schreibe ganz bewusst "hat".

Das wurde ja auch schon von Schachti erwähnt. Daraus folgt entweder ist der Apache- (das System-) Fehlkonfiguriert oder es ist jemand eingebrochen.

Zwischen beiden gibt es zwar einen großen Unterschied, aber für Dich gibt es eigentlich nur eine zwingende Maßnahme die Du machen mußt.

Meine Meinung.  :Smile:  Neuinstallieren.

MfG lonF

----------

## l3u

Naja, das hat doch aber nichts mit dem "Privat-System" vom Gentoo Reptile zu tun, oder?! Der wird doch kaum zu seinem Provider gehen können und dessen System neu aufsetzen? Es ist doch so, daß er sich lediglich wegen der Vorfälle bei seinem Provider auch Sorgen um sein eigenes System macht, falls ich das jetzt nicht falsch verstanden haben sollte ...

----------

## schachti

... und wenn es so gemeint sein sollte, daß jemand in sein Desktop-System eingebrochen ist, sich dort das Paßwort für den Webauftritt besorgt und damit den Webauftritt verändert hat - neu installieren (beide Systeme - es sei denn, für die Website gibt's nur einen FTP-Zugang und ein Webinterface zum Konfigurieren, dann reicht dort das Ändern des Paßworts).

----------

## Battlestar Gentoo

 *Quote:*   

> Jetzt liegt doch aber die Seite bei nem Provider und nicht auf dem Computer, um die sich die Diskussion hier dreht. Oder hab ich das falsch verstanden?

 

Ja, die Seite liegt NICHT auf meinem Computer. Offensichtlich habe ich es nicht deutlich genug beschrieben, aber dennoch lesen einige ein wenig schlampig, wie mir scheint. (Mir geht's aber meistens genauso *g*) Auf meine Antwort  *Quote:*   

> Danke für den Tipp. chkrootkit hat nichts gefunden. 

  kamen doch auch Folgepostings, bei denen ich mir dachte, es so verstanden wurde, dass chrootkit von Portage nicht gefunden wurde. chrootkit hat keinen Einbruch festgestellt, das wollte ich damit sagen. 

Zurück zum Thema. Ich denke mir, dass doch irgendwo ein Sicherheitsloch sein muss. Laut meinem Provider wurde die Veränderung mit meinem Zugangspasswort und Namen durchgeführt, was meiner Meinung aber gar nichts bedeutet. Würde jemand bei den Servern des Providers sniffen, könnte das Login doch leicht abgefangen werden, da es unverschlüsselt übertragen wird und wie ich bereits sagte: Falls jemand auf meinem lokalen System eingebrochen wäre, warum sind dann einige andere Webpräsenzen des Providers, auf die ich gar keinen Einfluss habe, ebenfalls verändert worden.

----------

## schachti

Vielleicht ein einfaches Paßwort, daß sich mittels Brute Force oder Wörterbuchattacke leicht knacken läßt?

----------

## Marlo

 *Gentoo Reptile wrote:*   

> 
> 
> ... warum sind dann einige andere Webpräsenzen des Providers, auf die ich gar keinen Einfluss habe, ebenfalls verändert worden.

 

Es gibt manchmal  hier  und  da  gute Tips zu deinem Problem.

Grüße

Ma

----------

## Battlestar Gentoo

Ok, danke für die Tipps.

----------

## marc

http://www.pro-linux.de/t_system/checksummen.html

Absicherung der Dienste muss sein, aber wenn doch was passiert dann kann man das mit der Methode (Link) ziemlich gut nachvollziehen. Es geht lediglich darum das man weiß was verändert worden ist. 

Sauberes Backup - MD5

MD5 prüfen, wenn alles in Ordnung dann Update (wenn nötig) und neue MD5

...

Wenn man das so einhält hat man einen guten Einblick ob und wo was verändert worden ist.

Kann man ja auch gut remote ausführen wenn nötig.

Ein System das kompromittiert worden ist, ist nicht mehr vertrauenswürdig.

----------

## bbox

Wie schon gesagt wurde: Alles neu aufsetzen, fail2ban installieren und vernünftig einstellen, rkhunter als cronjob installieren und die Serverlogs regelmässig (und zwar nicht nur alle 14 Tage!) auswerten. Ein Passwort wählen, und ich meine nicht irgend so eine "Pussy-Passwort" das man sogar angetrunken noch eintippen kann, und auf den nächsten Angriff warten   :Twisted Evil: 

Backup sollte bei einem Rootie selbstverständlich sein.

----------

