# Hackertätigkeit - Angriff auf Server - Tips & Hilfe ?

## artbody

Hackertätigkeit

Aufmerksam bin ich auf den Angriff geworden weil ein neues Verzeichnis angelegt wurde 

.log

mit 3 Dateien

./xh

```
ELF........

Options:

-s string   Fake name process

-d      Run aplication as daemon/system (optional)

-u uid[:gid]   Change UID/GID, use another user (optional)

-p filename   Save PID to filename (optional)

Example: %s -s "klogd -m 0" -d -p test.pid ./egg bot.conf

- und darin ca 20 x 350 MB *.avi als Dateien abgelegt wurden

.......
```

./iroffer

```
iroffer v1.4.b02 [20050116230512] by PMG

  Configuration File Password Generator

This will take a password of your choosing and encrypt it.

You should place the output this program generates in your config file.

You can then use your password you enter here over irc.

Your password must be between 5 and 8 characters

```

und 

./week

scheint ein Datenfile zu sein

```
IRFR....Piroffer v1.4.b02 [20050116230512], Linux 2.6.8-022stab070.6-enterprise....
```

Klar ersichtlich ist aus diesem /var/log/messages Logfile zu ersehen, daß da jemand ständig versucht über ssh reinzukommen.

die sshd anfragen sind xx seitenlang

```

......

Oct 31 07:20:53 vs163174 sshd[17720]: Invalid user rpcuser from 210.75.0.178

Oct 31 07:20:53 vs163174 sshd[17720]: reverse mapping checking getaddrinfo for user.nova.net.cn failed - POSSIBLE BREAKIN ATTEMPT!

Oct 31 07:20:57 vs163174 sshd[17943]: Invalid user rpc from 210.75.0.178

Oct 31 07:20:57 vs163174 sshd[17943]: reverse mapping checking getaddrinfo for user.nova.net.cn failed - POSSIBLE BREAKIN ATTEMPT!

Oct 31 07:21:02 vs163174 sshd[18170]: Invalid user gopher from 210.75.0.178

Oct 31 07:21:02 vs163174 sshd[18170]: reverse mapping checking getaddrinfo for user.nova.net.cn failed - POSSIBLE BREAKIN ATTEMPT!

Oct 31 07:26:01 vs163174 /usr/sbin/cron[18025]: (root) CMD ( /usr/local/confixx/confixx_counterscript.pl)

Oct 31 07:36:01 vs163174 /usr/sbin/cron[19462]: (root) CMD ( /usr/local/confixx/confixx_counterscript.pl)

Oct 31 07:46:01 vs163174 /usr/sbin/cron[17531]: (root) CMD ( /usr/local/confixx/confixx_counterscript.pl)

Oct 31 07:56:01 vs163174 /usr/sbin/cron[13839]: (root) CMD ( /usr/local/confixx/confixx_counterscript.pl)

Oct 31 08:06:01 vs163174 /usr/sbin/cron[1443]: (root) CMD ( /usr/local/confixx/confixx_counterscript.pl)

Oct 31 08:16:01 vs163174 /usr/sbin/cron[21826]: (root) CMD ( /usr/local/confixx/confixx_counterscript.pl)

Oct 31 08:24:08 vs163174 sshd[32524]: Did not receive identification string from 65.254.37.175
```

Laufen tut auf dem vServer

sshd

crond

ftp (für 7 User)

apache mod-perl mod-sec php

mysql

amavisd

freshclam

clamd

postfix

Nun bin ich an der Überlegung, da ich im Atelier ne feste IP hab, den sshd-Zugang nur noch von dieser aus zuzulassen

(sicher nicht das falscheste)

Aber  da das oben ja ne IRC - Geschichte ist??

Wie und was würdet ihr da machen?

----------

## return13

SSH-Sicherheit

----------

## beejay

 *artbody wrote:*   

> Wie und was würdet ihr da machen?

 

Das Übliche: Forensische Untersuchungen mit den vorher installierten IDS'en (z.B. Aide oder Snort), logfiles wegsichern, chrootkit laufen lassen und das Ergebnis sichern, Server komplett plätten und neu einrichten (dabei natürlich keine alten 'Authentifizierungsrückstände' verwenden).

Mit dem gesicherten Beweismaterial auf jeden Fall zur Polizei gehen und Anzeige erstatten, damit Du im Falle eines Falles etwas in der Hand hast, sollte in der fraglichen Zeit irgendetwas Zweifelhaftes auf der Kiste gelaufen sein.

----------

## think4urs11

 *artbody wrote:*   

> Nun bin ich an der Überlegung, da ich im Atelier ne feste IP hab, den sshd-Zugang nur noch von dieser aus zuzulassen
> 
> (sicher nicht das falscheste)
> 
> ...
> ...

 

Das übliche

Server vom Netz nehmen, vom sauberen Backup aus neu aufsetzen (oder gleich komplett neu installieren), sämtliche Dienste die von außen erreichbar sind umfassend abdichten (nicht nur den SSH; das Problem kann genausogut apache+php oder ftp oder oder oder entstanden sein), ein NIDS/HIDS installieren (snort/aide) installieren, per Firewall alle vom Server ausgehenden Verbindungen die nicht zwingend notwendig sind verbieten, hardening des Systems, ggf. SE-Linux, etc. pp ... am Ende den Server wieder online nehmen.

Wahlweise vorher Full-Image ziehen zur Analyse des Problems/Tathergangs.

----------

## artbody

chkrootkit ergab:

```
Checking `bindshell'... INFECTED (PORTS:  465)

Checking `lkm'... You have     1 process hidden for readdir command

You have     1 process hidden for ps command

chkproc: Warning: Possible LKM Trojan installed

```

 :Embarassed: 

hat da jemand noch ne idee?

außer neuinstallieren, was frühestens am we geht.

----------

## beejay

 *artbody wrote:*   

> chkrootkit ergab:
> 
> ```
> Checking `bindshell'... INFECTED (PORTS:  465)
> 
> ...

 

Du hast in dem Falle keine andere Möglichkeit als - wie weiter oben schon erwähnt - die Kiste unschädlich zu machen (z.B ins Rettungssystem booten) und neu zu installieren. Du kannst der Maschine nicht mehr trauen da Du nicht weisst wo was wann verändert wurde. Also nimm nun bitte möglichst schnell diese Dreckschleuder vom Netz (Deinen Mitmenschen im Netz zuliebe)

----------

## amne

Nur weil du die üblichen Verbindungsversuche auf ssh hast heisst das auf keinen Fall, dass der Einbruch über ssh erfolgt ist. 

Und wie schon gesagt, weg vom Netz und plattmachen die Kiste.

----------

## Fauli

 *beejay wrote:*   

> Also nimm nun bitte möglichst schnell diese Dreckschleuder vom Netz (Deinen Mitmenschen im Netz zuliebe)

 

@artbody: Vielleicht läuft dort jetzt ein versteckter FTP-Server und erzeugt Unmengen an Traffic, den du später bezahlen musst. Es sollte also auch in deinem Interesse sein, den Rechner vom Netz zu nehmen.

----------

## hoschi

 *Think4UrS11 wrote:*   

>  *artbody wrote:*   Nun bin ich an der Überlegung, da ich im Atelier ne feste IP hab, den sshd-Zugang nur noch von dieser aus zuzulassen
> 
> (sicher nicht das falscheste)
> 
> ...
> ...

 

Insbesondere mit der Firewall waere ich doch sehr vorsichtig. Das System hat auf Anfragen die nicht an laufende Dienste die im Netz bereit stehen sollen schlichtweg nur zu Antworten, dass dieser Dienst nicht laueft. In dem man sich hunderte Sicherheitstools installiert verstoesst man gegen das KISS-Prinzip, reisst neue Luecken ins System und macht sich erst recht verwundbar. Was soll er den mit der Firewall machen, als die Dienste die ins Internet muessen durchzulassen?

Damit hat er jetzt nur noch mehr Angriffsflaeche geschaffen.

Ein sauberes Systemdesign (hier der Netzwerstack), sowie der voellige Verzicht auf (sinnlose) Dienste die auf das Netz hoeren sind wichtig. Fehlerfrei wird ein System wohl nie sein, weswegen Hardend oder auch SE-LINUX je nach Einsatzaufgabe eine Erwaegung wert sind. Eine Firewall macht aber nur Sinn wenn man genau weiss was man als Admin da im Netzwerk ueberwachen will (und zum Beobachten des Systems gibt es netstat), oder ein ganzes Netzwerk wegsperren will.

Wenn ein System sich nicht um sich selbst kuemmern kann, liegt es nahe einen schweren Designfehler oder eine Admin der einen oder mehrere Fehler gemacht hat zu vermuten. Windowsuser glauben zum Beispiel ihr System mit Ueberwachungssoftware die sich tief ins System einklinkt, Sofwarefirewalls, sowie zahlreiche Scanner fuer Viren, Trojaner, Spam, Spyware und Adaware sicherer zu machen? Ich war zwei Jahre mit Windows XP im Netz, ohne Virenscanner und Firewall, abgeschossen hat mich erst 2003 die verdammte RPC-Luecke, weil ein Dienst den keiner braucht auch noch aufs Netz gehoert hat. Es war mein Fehler.

Was nicht da ist, kann keine Probleme machen.

Ich reagiere so heftig auf diesen Vorschlag weil Ubuntu, Gentoo und GNU/LINUX allgemein kritisiert werden, weil die ganzen nutzlosen und ueberfluessigen Dienste und der Sicherheitsramsch nicht installiert werden. SSH hat in der Defaultinstallation schon mal genau so wenig was verloren wie eine Firewall, NICHTS!

Zur Abschreckung: http://www.ulm.ccc.de/ChaosSeminar/2004/12_Personal_Firewalls

<edit /> Ich kann das Video nur empfehlen, fuer ein paar Lacher ist gesorgt. Besonders lustig ist es, mit anzusehen wie sich die Windose dank Personal-Firewall quasi selbstaendig aus dem Internet kickt. Ganz grosses Kino  :Mr. Green: 

----------

## think4urs11

 *hoschi wrote:*   

>  ... vieles was durchaus richtig ist ...
> 
> Ich reagiere so heftig auf diesen Vorschlag weil Ubuntu, Gentoo und GNU/LINUX allgemein kritisiert werden, weil die ganzen nutzlosen und ueberfluessigen Dienste und der Sicherheitsramsch nicht installiert wird. SSH hat in der Defaultinstallation schon mal genau so wenig was verloren wie eine Firewall, NICHTS!

 

Schon klar das mußt du mir nicht sagen, ich bin Securityadmin bei einem global player  :Wink: 

Es ging mir mehr um eine Aufzählung der Möglichkeiten als um 'muttu mindestens alles (gleichzeitig) machen'. Das primär natürlich Ziel sein sollte die Programme die auf dem Gerät notwendig sind so zu konfigurieren das sie 'sicher' sind sollte jedem klar sein; falls nicht besser Finger weg von der Systemadministration egal ob privat oder beruflich.

(OK, wer aus der Windowswelt kommt dem ist das meistens nicht klar da gebe ich dir vollkommen recht)

----------

## hoschi

War auch kein Angriff auf dich. Aber weil nahezu alle zu Sicherheitsnazis geworden sind, wollte ich direkt darauf eingehen. Ah, Global-Player, ja?

Ja, ich arbeite da auch. Freitag Nachmittag, bei heise.de  :Wink: 

----------

## Carlo

 *hoschi wrote:*   

> Ich reagiere so heftig auf diesen Vorschlag weil Ubuntu, Gentoo und GNU/LINUX allgemein kritisiert werden, weil die ganzen nutzlosen und ueberfluessigen Dienste und der Sicherheitsramsch nicht installiert werden.

 

Ist mir noch nicht zu Ohren gekommen - aber gut, Dummköpfe gibt's überall. Daß man Server nur minimal notwendig exponiert, sollte für jeden, der sich mit der Materie beschäftigt hat, Basiswissen darstellen. 

Darüber, daß das was unter Windows als Personal Firewall (PFW) verkauft wird, Mist ist und einen Single Point of Failure darstellt, braucht man nicht lange zu streiten, aber generell würde ich Filtern auf Anwendungsebene (auch Prozeß-bezogen) nicht verteufeln wollen. Man muß nur genau wissen was man damit erreichen kann, will und welche Risiken damit einhergehen. Man kann natürlich dahergehen und sagen, jede/r einzelne Anwendung/Dienst läuft in einer eigenen VM - aber irgendwo muß man eine vernünftige Relation von Sicherheit und Wirtschaftlichkeit finden. 

Der wesentlich Faktor, daß PFWs unter Windows überhaupt eine recht hohe Verbreitung gefunden haben, ist doch einerseits, daß Windows a priori offen wie ein Scheunentor ist und andererseits, daß viele Hersteller es für nötig erachten, ihre Anwendungen "nach Hause telefonieren" oder aus anderen Gründen ungefragt irgendwelche Server kontaktieren (z.B. Phishing-Schutz oder andere "Komfort"-Funktionn) zu lassen, der (Heim-)Anwender wg. Würmeren, Trojanern etc. total verunsichert und mit der Situation jedoch völlig überfordert ist.

Auch für Linux ist mir eine PFW-Studie bekannt.

----------

## hoschi

 *Carlo wrote:*   

>  Man kann natürlich dahergehen und sagen, jede/r einzelne Anwendung/Dienst läuft in einer eigenen VM - aber irgendwo muß man eine vernünftige Relation von Sicherheit und Wirtschaftlichkeit finden. 
> 
> 

 

Du wirst lachen, aber ich kenne Leute die jeden einzelnen Dienst via XEN auf einer eigenen virtuellen Maschine laufen lassen.

Wenn man einfachere Systeme betrachtet:

http://wiki.ubuntuusers.de/Personal_Firewalls

Zu Avalon, entweder ist das kompletter Groessenwahnsinn oder Novell sollte ernsthaft ueber ein ganz neues Betriebssystem nachdenken. Bei Novell gehe ich aber vom Ersten aus.

----------

## Marlo

 *artbody wrote:*   

> 
> 
> Wie und was würdet ihr da machen?

 

Ich würde mich bei Herrn  Xin Zhang, Telefon: +86-755-83432880, beschweren.   :Twisted Evil: 

~#dnsname 210.75.0.178 bringt:

```

user.nova.net.cn

```

Das ist der hier http://www.nova.net.cn/ ; und der hält   Free Anonymous Proxy Servers  vor.

Ma

[edit]

 *artbody wrote:*   

> chkrootkit ergab:
> 
> ```
> Checking `bindshell'... INFECTED (PORTS:  465)
> 
> ...

 

Das scheint/kann  false positiv sein --> http://list.linux-vserver.org/archive/vserver/msg13200.html

----------

## Carlo

 *hoschi wrote:*   

> Du wirst lachen, aber ich kenne Leute die jeden einzelnen Dienst via XEN auf einer eigenen virtuellen Maschine laufen lassen.

 

Nicht nur was die Sicherheit angeht, sondern auch spätere Migration betreffend, kann dies durchaus sinnvoll sein. Du wirst das nur nicht für jede Anwendung und jeden Benutzer machen (Browser, MUA, etc. in eigener VM) - das ist eine ganz andere Umgebung, um die es geht.

 *hoschi wrote:*   

> Zu Avalon, entweder ist das kompletter Groessenwahnsinn oder Novell sollte ernsthaft ueber ein ganz neues Betriebssystem nachdenken. Bei Novell gehe ich aber vom Ersten aus.

 

Wenn du dir das PDF angeguckt hättest, wäre dir aufgefallen, daß es sich lediglich um eine Diplomarbeit eines Mitarbeiters handelt.

----------

## think4urs11

 *hoschi wrote:*   

> War auch kein Angriff auf dich. Aber weil nahezu alle zu Sicherheitsnazis geworden sind, wollte ich direkt darauf eingehen. Ah, Global-Player, ja?
> 
> Ja, ich arbeite da auch. Freitag Nachmittag, bei heise.de 

 

ach du bist das  :Smile: 

Aber als Sicherheitsnazi würde ich mich nicht bezeichnen, ich bin nur wesentlich paranoider als meine lieben Kollegen (speziell die von der Windowsfront), das ist alles. Schließlich und endlich muß man ja sehen wo man bleibt wenn sie ständig hinter einem her sind.

Von daher - Sicherheit ist eben kein Produkt sondern ein Prozeß, muß verstanden _und_ gelebt werden.

Der Trick dabei ist nur für die jeweilige Umgebung die passenden Tools auszuwählen, was allerdings ein gerüttelt Maß an Intelligenz und Fachwissen beim Admin erfordert. (selbst eine Windows PFW kann in manchen Szenarien durchaus das richtige Mittel sein)

Wissen ist nur durch eines zu schlagen - mehr Wissen.

----------

## artbody

Nun aus Schaden wird man klug 

- aber Dummen ein saudummen Rat zu geben ist sicher nicht Gentoo-user like oder?

(Danke für's versaute WE)

Also Kiste (vs rootserver bei server4you) per Admininterface plattgemacht und neu aufgesetzt

Firewall 

Denny all ..

Accept only my IP

chkrootkit:

```
Checking `bindshell'... INFECTED (PORTS:  465)

Checking `lkm'... You have     1 process hidden for readdir command

You have     1 process hidden for ps command

chkproc: Warning: Possible LKM Trojan installed

```

also was völlig anderes, denn innerhalb von 2 Minuten ein trojaner auf ne neuinstallierte Kiste müsste schon...

So ihr Profis wie macht man den vor ps versteckten process sichtbar ....

----------

## firefly

wenn die ein image verwernden beim neuinstallieren über das admin web interface, kann es sein, daß das image vor kurzem upgedated wurde. Und wenn vor dem letzten update des images, da schon lkm bzw. bindshell auf deinem system "installiert" wurde, dann befinden sie sich auch auf dem backup image.

----------

## hoschi

 *Carlo wrote:*   

>  *hoschi wrote:*   Du wirst lachen, aber ich kenne Leute die jeden einzelnen Dienst via XEN auf einer eigenen virtuellen Maschine laufen lassen. 
> 
> Nicht nur was die Sicherheit angeht, sondern auch spätere Migration betreffend, kann dies durchaus sinnvoll sein. Du wirst das nur nicht für jede Anwendung und jeden Benutzer machen (Browser, MUA, etc. in eigener VM) - das ist eine ganz andere Umgebung, um die es geht.
> 
>  *hoschi wrote:*   Zu Avalon, entweder ist das kompletter Groessenwahnsinn oder Novell sollte ernsthaft ueber ein ganz neues Betriebssystem nachdenken. Bei Novell gehe ich aber vom Ersten aus. 
> ...

 

Habe ich gesehen. Aber du hast recht, ersetzen wir also Novell durch den groessenwahnsinnigen Studenten.

Halt. Moment, Linus wollte ja auch nur einen Terminal-Emulator schreiben   :Shocked: 

----------

## Anarcho

 *artbody wrote:*   

> Nun aus Schaden wird man klug 
> 
> - aber Dummen ein saudummen Rat zu geben ist sicher nicht Gentoo-user like oder?
> 
> (Danke für's versaute WE)
> ...

 

Hast du den Post von Marlo nicht gelesen?

 *Marlo wrote:*   

>  *artbody wrote:*   
> 
> Wie und was würdet ihr da machen? 
> 
> Ich würde mich bei Herrn  Xin Zhang, Telefon: +86-755-83432880, beschweren.  
> ...

 

Dazu muss ich aber sagen das es sicher NICHT sinnlos war das Teil neu aufzusetzen da du ja entsprechende Dateien auf deinem Server gefunden hast. Leider lässt es sich dann nicht genau sagen ob es zu einem ausführen kam oder eben nicht. Von daher war das neu installieren sicher die richtige Entscheidung.

----------

## Marlo

 *Anarcho wrote:*   

> 
> 
> ...Dazu muss ich aber sagen das es sicher NICHT sinnlos war das Teil neu aufzusetzen da du ja entsprechende Dateien auf deinem Server gefunden hast... Von daher war das neu installieren sicher die richtige Entscheidung.

 

ACK, besonders wenn da etwas false positiv ist. Das sind zwei völlig verschiedene Themen.

[noch mal EDIT] 

Also 

http://www.nova.net.cn/  gibt jedem internen Benutzer die Kennung  user.nova.net.cn. Dieser user  kann aus cn kommen oder über den proxy. 

Nun mach mal etwas. Aber was? 

Da ist das platt machen, denke ich, billiger als ein Telefongespräch oder zig Mails.

Ma

[also noch ein EDIT]

Woher sollte John die Wordlist für "art" in de haben, wenn er aus cn kommt? Absolut unmöglich! Oder habt Ihr eine Liste für cn, ich nicht. Also kommt John aus de, aber auch hier haben wir verschiedene Kulturen, Musik, Malerei, Kunst im weitesten Sinne. Dort gibt es den verschiedensten Sprachgebrauch, Vorlieben, Modeworte, Slang u.s.w. Es gibt Partys, Gespräche, Prahlerei und manch vertrauliches Geflüstere... und lange Ohren. Aber die können auch schreiben z.b. eine passwd.txt.

----------

## artbody

 *Quote:*   

> ...dann befinden sie sich auch auf dem backup image....

 

Nein ich habe ein eigenes Backupscript am laufen,welches nur .../web1 bis ./web7 (7 subuser / virtual domains) + passende DB-dumps erstellt und an meinen Gentoo-only-Rechner zuhause schickt.

Der Rechner wurde mit einem neuen Linux aufgesetzt. Firewall wie gesagt :deny all - allow IP MEINE

chkrootkit

und dann erst das Backup

Die hochgeladenen Daten sind nur auf web7 zu finden gewesen.

so gehe ich jetzt mal von einer Sicherheitslücke in tikiWiki aus.

Naja gelernt hab ich mal wieder was.

Weiß hier jemand wie man solche versteckten Prozesse sichtbar macht?

lsmod ?

....

gibt es da tools?

----------

## dertobi123

 *artbody wrote:*   

> Die hochgeladenen Daten sind nur auf web7 zu finden gewesen.
> 
> so gehe ich jetzt mal von einer Sicherheitslücke in tikiWiki aus.

 

Was sich dann wieder mit http://www.gentoo.org/security/en/glsa/glsa-200609-16.xml decken würde, wo u.a. von Remode Code Execution die Rede ist.

----------

## artbody

 *dertobi123 wrote:*   

> 
> 
> Was sich dann wieder mit http://www.gentoo.org/security/en/glsa/glsa-200609-16.xml decken würde, wo u.a. von Remode Code Execution die Rede ist.

 

Ja schaut genau so aus.

----------

## beejay

 *artbody wrote:*   

>  *dertobi123 wrote:*   
> 
> Was sich dann wieder mit http://www.gentoo.org/security/en/glsa/glsa-200609-16.xml decken würde, wo u.a. von Remode Code Execution die Rede ist. 
> 
> Ja schaut genau so aus.

 

Das bedeutet also im Umkehrschluss, dass Du keine Security-Bulletings liest, speziell keine zu der installierten Software? Böse, Böse, Böse...

----------

## artbody

 *Quote:*   

> Das bedeutet also im Umkehrschluss, dass Du keine Security-Bulletings liest, speziell keine zu der installierten Software? Böse, Böse, Böse...

 

Leider hab ich nicht immer die Zeit zum das alles durch zu ackern . Dummerweise....  :Crying or Very sad: 

Dies weil ich die letzten ca 2 Monate 

mit meinem Neuen Rechner 

und 2 Laptops 

mit der Neuinstalation mit Gentoo

(dazu auch auch noch Gentooneuling war,  hab ich das etwas vernachlässigt.)

Arbeiten sollte ich ja auch noch etwas

aber immerhin somit mein erstes Rootkit   :Embarassed: 

Nicht Linux Neuling, das hab ich schon seit Suse 3.x - 4.0 Radhat 5.0 ..Suse6.0-9.0, Mandrake2006.. 

Windoof freie Zone seit 1998

Gentoo nun ca 2 Monate

Bin aber hoch zufrieden..  :Wink: 

Leider nimmt der Sicherheitsaspekt immer mehr Zeit in Anspruch, so dass gerne mal was vernachlässigt wird.

Nun wie gesagt aus Fehlern wird man schlau.

Gottseidank hatte ich immer selbst meine Backups gezogen, denn die Backuplösung von vserver.de hat das rootkit gleich wieder mit installiert. Eine nicht wirklich gelungene Lösung.

Zudem hat man auch keinen Zugriff auf das Backup......

Nun die letzten 2 Wochen war ich auf jedenfall mit Debian und Update der Serversoftware beschäftigt.

So langsam geht alles wieder in den Normalzustand (6 von 7 Domains ) und verlorene Daten beschränken sich auf ein paar defekte Bild-Weblinks. 

Dies allerdings teilweise bedingt durch den Wechsel von SuSe zu Debian zum anderen weil ich nun eine andere Webapplikation verwende, welche mir besser erschien.

Jetzt liegt allerdings noch die mod-security vor mir und natürlich ein etwas verändertes Sicherheitskonzept.

cacert.org und damit https für ein paar Anwendungen ist gerade im Versuch.

Weiß von euch vieleicht einer ob google https nachgeht ?

----------

## Anarcho

Nur mal so am Rande:

Wären deine WebX Verzeichnisse auf einer Partition die mit "noexec" gemountet ist gewesen wäre nach dem Upload der Dateien nichts weiter passiert...

Daher meine Meinung: Für websites, /tmp, /home usw. immer eine noexec Partition benutzen. Falls doch exec gebraucht wird, z.b. für CGIs dann einfach in der Apache Conf

die location auf eine andere Partition verschieben.

----------

## Fauli

 *artbody wrote:*   

> Weiß von euch vieleicht einer ob google https nachgeht ?

 

Natürlich macht Google das.

----------

## artbody

 *Anarcho wrote:*   

> ...Daher meine Meinung: Für websites, /tmp, /home usw. immer eine noexec Partition benutzen. ....

 

Es handelt sich um einen virtuellen rootserver 

da gibt es nur eine partition

-------------------------------------------------

bei meinem Gentoo hier Zuhause hab ich das so 

/, /boot, /tmp, /home /var /usr /opt usw. 

immer eine eigene Partition auf 2 SATA Platten mit entsprechenden fstab Einträgen

----------

## think4urs11

du könntest trotzdem weitere Partitionen mittels loopdevices nutzen und diese entsprechend 'safe' mounten.

----------

## artbody

Da hast du recht.

ich hab den Baum vor lauter Wald nicht gesehen

----------

