#1 11. September 2008 Hacker & Script Kiddies - Server absichern? Hallo zusammen, ich weiss dass der Titel ein wenig unpassend gewählt ist und hoffe, dass ihr mir das nicht übel nehmen werde. Aber ich habe vielleicht eine seltenere Frage, die eigentlich nicht mal so dumm ist, wenn man sich das ganze mal durch liest. Zum Sachverhalt. Ich habe eine Rootserver ( Linux - Debian Etch ) als Webserver installiert und habe eigentlich die aktuellste ( STABLE ) Software drauf installiert. Natürlich nur die wirklich nötigsten Dinge. Die "Root" Benutzeranmeldung ist ebenfalls nicht mehr möglich, ausserdem wurden verschiedene Ports verlagert. Das ist aber nur ein kleiner Teil, dem ich versuche vorzubeugen. Doch man lernt ja bekanntlich nie aus und daher meine Frage an euch Admins, Hacker und das restliche "Jugend forscht" Team Was macht ihr, um euch abzusichern? Was macht ihr um zu "hacken"? Mich würds ernsthaft interessieren, damit ich weiss, wonach ich suchen muss Ich danke für eure Mithilfe! Besten Dank Nippel + Multi-Zitat Zitieren
#2 11. September 2008 AW: Hacker & Script Kiddies - Server absichern? Zum Absichern vielleicht mal iptables versuchen? Netfilter – Wikipedia + Multi-Zitat Zitieren
#3 11. September 2008 AW: Hacker & Script Kiddies - Server absichern? Hi, danke dir. Was gibts denn sonst noch so? + Multi-Zitat Zitieren
#4 11. September 2008 AW: Hacker & Script Kiddies - Server absichern? ssh Port hast du auch schon geändert? + Multi-Zitat Zitieren
#5 11. September 2008 AW: Hacker & Script Kiddies - Server absichern? Schau dir das mal an: Fail2ban Ein schoenes tool gegen bruteforce attacken. Greetz Jojo + Multi-Zitat Zitieren
#6 11. September 2008 AW: Hacker & Script Kiddies - Server absichern? 1.Versuch die Banner deiner Dienste zu verstecken. So weiß ein Hacker bei einem Scan nicht welche Services auf dem Port laufen. 2. iptables für bestimmte dienste 3. php safe mode on 4. keine buggy cms intallieren 5. datenbanken am besten nur per localhost access gewähren 6. alle dienste stets aktuell halten 7. immer sichere passwörter benutzen 8. aufpassen das es für dein betriebssystem keine local root exploits gibt, nötigenfalls patchen usw ^^ + Multi-Zitat Zitieren
#7 12. September 2008 AW: Hacker & Script Kiddies - Server absichern? du schriebst als Webserver.... dann solltest du zusätzlich bei den Seiten die du hostest darauf achten, dass kein Cross-Site Scripting und/oder SQL Injection möglich sind. + Multi-Zitat Zitieren
#8 12. September 2008 AW: Hacker & Script Kiddies - Server absichern? verschiedene web-präsenzen (wenn man grausam ist, sogar: jedes skript) sollten verschiedene benutzer haben (natürlich auf keinen fall root ) sollte ein skript ein loch haben, so kann der angreifer im idealfall nicht über das root-directory von skript hinaus schaden anrichten. informationen die der webserver/ftpserver von sich verrät ausschalten: z.b. dass apache nicht mehr seine version im header verrät, der ftpserver beim connecten keine angaben über sich macht. phpmyadmin in ein mit htaccess geschütztes verzeichnis... debian immer updaten... installierte skripte aktuell halten das wäre mal alles, was mir noch neben deinen schon durchgeführten schritten auffällt + Multi-Zitat Zitieren
#9 12. September 2008 AW: Hacker & Script Kiddies - Server absichern? Hoi, naja ist halt immer die Frage, was genau du einsetzt an Software. An sich kannst du dich nach Ronka richten. Beim PhpMyAdmin, wenn du sowas installierst, dann achte wirklich drauf, dass du nicht den PW Schutz von PhpMyAdmin nutzt, sondern nen htaccess... Denn sonst kann man einfach Bruten und hat Zugang zur DB... Bei htaccess ist dies nicht der Fall... Und die Passwörter brechen oftmals Serveradmins das Genick. Also da solltest du wirklich grundlegen sehr viel Wert drauf legen. Ob es sinnvoll ist den root-Login zu deaktivieren, da streiten sich die Geister. Denn der potentielle Einbrecher brutet nen nen normales Login und hat evtl. durch nen LocalRoot die möglichkeit sich die nötigen Rechte zu holen... Achso und die Software, da am besten nen extra User anlegen und dem nur die aller nötigsten Rechte geben, damit das Programm ausgeführt werden kann. Lampp zum Beispiel wird unter Linux standardmäßig unter root ausgeführt. Hast der potentielle Angreifer da ne Lücke gefunden, dann prost mahlzeit... Bei dem Apache kann man noch modsecurity erwähnen... Google mal danach. Und nen FirewallScript wäre auch ganz gut, damit kannst auch n bissel was abwehren Außerdem habe immer Seiten im Block, wo "aktuelle" Exploits gepostet werden und lerne diese anzuwenden. So weißt du, ob bei dir Lücken vorhanden sind. Denn sind diese Lücken geschlossen hast du schonmal ruhe vor ScriptKiddys... Alles andere, das liegt dann wohl weniger in deiner Macht, was Hacker angeht. Da kannst du nur das oben genannte berücksichtigen. Mfg Halloweenracer + Multi-Zitat Zitieren
#10 12. September 2008 AW: Hacker & Script Kiddies - Server absichern? phpmyadmin ist nur so sicher, wie du dein root - mysql pw auch gewählt hast. falls du debian hast versuche doch mal: apt-get install fail2ban && denyhosts den ssh port verschieben bringt nichts, da bei einem scan jener port direkt angezeigt wird. weiterhin solltest du blacklisted IPS bannen da gibts ne gute seite: http://blacklist.linuxadmin.org/ mit port und allem. greetz + Multi-Zitat Zitieren
#11 12. September 2008 AW: Hacker & Script Kiddies - Server absichern? ähh... so wie das aussieht wird da das ganze land gebannt... seeehr gut... + Multi-Zitat Zitieren
#12 12. September 2008 AW: Hacker & Script Kiddies - Server absichern? Dachte ich mir auch so rofl ey einige Leute lesen sich auch ent durch was sie posten ^^ Naja also halt dich an Romka und Halloweenracer die Beiden haben denke ich mehr als genug Ahnung somit sollte es dann sicher sein Und wie schon zig mal gesagt sichere Passwörter nehmen und net immer das gleiche + Multi-Zitat Zitieren
#13 12. September 2008 AW: Hacker & Script Kiddies - Server absichern? ein tool gegen brutforce? wie sollte das denn funzen? man kann an sich alles brutforcen mit genügend zeit + Multi-Zitat Zitieren
#14 12. September 2008 AW: Hacker & Script Kiddies - Server absichern? ich würde nen portblocker einbauen, alle ports die nicht zwingend nötig sind sollten gesperrt sein + Multi-Zitat Zitieren
#15 12. September 2008 AW: Hacker & Script Kiddies - Server absichern? Das ist schlicht weg falsch. Wenn du den Schutz von PhpMyAdmin nutzt und dein Root PW nutzt, um dich dort an der DB anzumelden, dann bist du selbst schuld... Dann trifft das zu, nur genau das sollte man nicht machen... Denn genau dann kann jeder dein User + PW bruten... Mit nem htaccess sieht das wieder anders aus. Da musst du erst diesen und danach das Passwort zu DB haben... Ps: Der Pfad, wo PhpMyAdmin installiert ist, spielt auch noch ne Rolle. Installiere es lieber in /mein_phpmyadmin/ anstatt in /phpmyadmin/ PS: IPs bannen und Ports schließen, dass macht er mit nem iptables Script z.B.... Also nicht einfach alles nachplappern.... Mfg Halloweenracer + Multi-Zitat Zitieren
#16 12. September 2008 AW: Hacker & Script Kiddies - Server absichern? Das einzige was gegen Scriptkiddies hilft ist 1. Apache mod_security und 2. Der sogenannte "Suhosin Patch" -> Hardened-PHP Project - PHP Security - Home + Multi-Zitat Zitieren
#17 14. September 2008 AW: Hacker & Script Kiddies - Server absichern? Das einzige Problem an mod_security wird wohl sein, dass er es auch richtig! einstellen muss... Nur an sich hat das Thread keinen Sinn hier, da er einfach nicht sagt, was genau er an Software auf seinem Server installiert hat. Da könnte man viel genauer drauf eingehen, anstatt vllt was über PhpMyAdmin zu sagen, obwohl er es gar nicht installiert hat. Aber naja... Muss er selbst wissen + Multi-Zitat Zitieren
#18 14. September 2008 AW: Hacker & Script Kiddies - Server absichern? Ja ein tool gegen bruteforce. wenn ne ip zu viele anfragen an den server in nem bestimmten zeitraum stell, trägt fail2ban ne rejectroute in die iptables für die ip ein und informierten den admin darüber... + Multi-Zitat Zitieren
#19 15. September 2008 AW: Hacker & Script Kiddies - Server absichern? Der Apache2 unter Debian Etch ist bereits von Haus aus gepatcht zu sehen mit phpinfo + Multi-Zitat Zitieren
#20 16. September 2008 AW: Hacker & Script Kiddies - Server absichern? Hallo, installierte Pakete: Code: esired=Unknown/Install/Remove/Purge/Hold | Status=Not/Installed/Config-files/Unpacked/Failed-config/Half-installed |/ Err?=(none)/Hold/Reinst-required/X=both-problems (Status,Err: uppercase=bad) ||/ Name Version Description +++-=========================-====================================-============================================ ii acpid 1.0.4-5 Utilities for using ACPI power management ii adduser 3.102 Add and remove users and groups ii apache2 2.2.3-4+etch5 Next generation, scalable, extendable web se ii apache2-mpm-worker 2.2.3-4+etch5 High speed threaded model for Apache HTTPD 2 ii apache2-utils 2.2.3-4+etch5 utility programs for webservers ii apache2.2-common 2.2.3-4+etch5 Next generation, scalable, extendable web se ii apt 0.6.46.4-0.1 Advanced front-end for dpkg ii apt-utils 0.6.46.4-0.1 APT utility programs ii aptitude 0.4.4-4 terminal-based apt frontend ii awstats 6.5+dfsg-1 powerful and featureful web server log analy ii base-files 4 Debian base system miscellaneous files ii base-passwd 3.5.11 Debian base system master password and group ii bash 3.1dfsg-8 The GNU Bourne Again SHell ii bind9 9.3.4-2etch3 Internet Domain Name Server ii bind9-host 9.3.4-2etch3 Version of 'host' bundled with BIND 9.X ii binutils 2.17-3 The GNU assembler, linker and binary utiliti ii bsdmainutils 6.1.6 collection of more utilities from FreeBSD ii bsdutils 2.12r-19etch1 Basic utilities from 4.4BSD-Lite ii busybox 1.1.3-4 Tiny utilities for small and embedded system ii bzip2 1.0.3-6 high-quality block-sorting file compressor - ii chkrootkit 0.47-2 Checks for signs of rootkits on the local sy ii console-common 0.7.69 Basic infrastructure for text console config ii console-data 1.01-7 Keymaps, fonts, charset maps, fallback table ii console-tools 0.2.3dbs-65 Linux console and font utilities ii coreutils 5.97-5.3 The GNU core utilities ii courier-authdaemon 0.58-4 Courier authentication daemon ii courier-authlib 0.58-4 Courier authentication library ii courier-authlib-userdb 0.58-4 userdb support for the Courier authenticatio ii courier-base 0.53.3-5 Courier Mail Server - Base system ii courier-imap 4.1.1.20060828-5 Courier Mail Server - IMAP server ii courier-maildrop 0.53.3-5 Courier Mail Server - Mail delivery agent ii courier-pop 0.53.3-5 Courier Mail Server - POP3 server ii cpio 2.6-18.1+etch1 GNU cpio -- a program to manage archives of ii cpp 4.1.1-15 The GNU C preprocessor (cpp) ii cpp-4.1 4.1.1-21 The GNU C preprocessor ii cron 3.0pl1-100 management of regular background processing ii debconf 1.5.11etch2 Debian configuration management system ii debconf-i18n 1.5.11etch2 full internationalization support for debcon ii debian-archive-keyring 2007.07.31~etch1 GnuPG archive keys of the Debian archive ii debianutils 2.17 Miscellaneous utilities specific to Debian ii defoma 0.11.10-0.1 Debian Font Manager -- automatic font config ii dhcp3-client 3.0.4-13 DHCP Client ii dhcp3-common 3.0.4-13 Common files used by all the dhcp3* packages ii diff 2.8.1-11 File comparison utilities ii dmidecode 2.8-4 Dump Desktop Management Interface data ii dnsutils 9.3.4-2etch3 Clients provided with BIND ii dpkg 1.13.25 package maintenance system for Debian ii dselect 1.13.25 user tool to manage Debian packages ii e2fslibs 1.39+1.40-WIP-2006.11.14+dfsg-2etch1 ext2 filesystem libraries ii e2fsprogs 1.39+1.40-WIP-2006.11.14+dfsg-2etch1 ext2 file system utilities and libraries ii ed 0.2-20 The classic unix line editor ii eject 2.1.4-3 ejects CDs and operates CD-Changers under Li ii fail2ban 0.7.5-2etch1 bans IPs that cause multiple authentication ii file 4.17-5etch3 Determines file type using "magic" numbers ii findutils 4.2.28-1etch1 utilities for finding files--find, xargs, an ii fontconfig-config 2.4.2-1.2 generic font configuration library - configu ii gcc 4.1.1-15 The GNU C compiler ii gcc-3.3-base 3.3.6-15 The GNU Compiler Collection (base package) ii gcc-4.1 4.1.1-21 The GNU C compiler ii gcc-4.1-base 4.1.1-21 The GNU Compiler Collection (base package) ii gnupg 1.4.6-2 GNU privacy guard - a free PGP replacement ii gpgv 1.4.6-2 GNU privacy guard - signature verification t ii grep 2.5.1.ds2-6 GNU grep, egrep and fgrep ii groff-base 1.18.1.1-12 GNU troff text-formatting system (base syste ii grub 0.97-27etch1 GRand Unified Bootloader ii gzip 1.3.5-15 The GNU compression utility ii hostname 2.93 utility to set/show the host name or domain ii htop 0.6.3-1 interactive processes viewer ii ifupdown 0.6.8 high level tools to configure network interf ii info 4.8.dfsg.1-4 Standalone GNU Info documentation browser ii initramfs-tools 0.85i tools for generating an initramfs ii initscripts 2.86.ds1-38+etchnhalf.1 Scripts for initializing and shutting down t ii installation-report 2.29 system installation report ii iptables 1.3.6.0debian1-5 administration tools for packet filtering an ii iputils-ping 20020927-6 Tools to test the reachability of network ho ii klibc-utils 1.4.34-2 small statically-linked utilities built with ii klogd 1.4.1-18 Kernel Logging Daemon ii laptop-detect 0.12.1 attempt to detect a laptop ii libacl1 2.2.41-1 Access control list shared library ii libapache2-mod-cband 0.9.7.4-2 An Apache 2 module for bandwidth limiting th ii libapache2-mod-fastcgi 2.4.2-8 Apache 2 FastCGI module for long-running CGI ii libapr1 1.2.7-8.2 The Apache Portable Runtime Library ii libaprutil1 1.2.7+dfsg-2 The Apache Portable Runtime Utility Library ii libattr1 2.4.32-1 Extended attribute shared library ii libberkeleydb-perl 0.31-1 use Berkeley DB 4 databases from Perl ii libbind9-0 9.3.4-2etch3 BIND9 Shared Library used by BIND ii libbit-vector-perl 6.4-5 Perl and C library for bit vectors and more ii libblkid1 1.39+1.40-WIP-2006.11.14+dfsg-2etch1 block device id library ii libbz2-1.0 1.0.3-6 high-quality block-sorting file compressor l ii libc-client2002edebian 2002edebian1-13.1 UW c-client library for mail protocols ii libc6 2.3.6.ds1-13etch7 GNU C Library: Shared libraries ii libc6-dev 2.3.6.ds1-13etch7 GNU C Library: Development Libraries and Hea ii libc6-i686 2.3.6.ds1-13etch7 GNU C Library: Shared libraries [i686 optimi ii libcap1 1.10-14 support for getting/setting POSIX.1e capabil ii libcarp-clan-perl 5.8-1 Perl enhancement to Carp error logging facil ii libcomerr2 1.39+1.40-WIP-2006.11.14+dfsg-2etch1 common error description library ii libconsole 0.2.3dbs-65 Shared libraries for Linux console and font ii libconvert-binhex-perl 1.119-2 Perl5 module for extracting data from macint ii libcrypt-blowfish-perl 2.10-1 Blowfish cryptography for Perl ii libcrypt-cbc-perl 2.22-1 Implementation of cipher block chaining (CBC ii libcrypt-passwdmd5-perl 1.3-8 interoperable MD5-based crypt() for perl ii libdate-calc-perl 5.4-5 Perl library for accessing dates ii libdate-manip-perl 5.44-5 a perl library for manipulating dates ii libdb4.2 4.2.52+dfsg-2 Berkeley v4.2 Database Libraries [runtime] ii libdb4.3 4.3.29-8 Berkeley v4.3 Database Libraries [runtime] ii libdb4.4 4.4.20-8 Berkeley v4.4 Database Libraries [runtime] ii libdbd-mysql-perl 3.0008-1 A Perl5 database interface to the MySQL data ii libdbi-perl 1.53-1etch1 Perl5 database interface by Tim Bunce ii libdevmapper1.02 1.02.08-1 The Linux Kernel Device Mapper userspace lib ii libdigest-hmac-perl 1.01-5 create standard message integrity checks ii libdigest-sha1-perl 2.11-1 NIST SHA-1 message digest algorithm ii libdns22 9.3.4-2etch3 DNS Shared Library used by BIND ii libedit2 2.9.cvs.20050518-2.2 BSD editline and history libraries ii libexpat1 1.95.8-3.4 XML parsing C library - runtime library ii libfam0 2.7.0-12 Client library to control the FAM daemon Ich frag mich nur, warum das Thema in den "Hacker" Bereich geschoben wurde? + Multi-Zitat Zitieren
#21 16. September 2008 AW: Hacker & Script Kiddies - Server absichern? Weil der Bereich auch für Sicherheit zuständig ist. Ich würde dir noch empfehlen anstatt einem login per PW ein Keyfile verwenden, ich mache das per putty. Solltest das FIle nicht unbedingt ROOTPWFILE nennen, da im Falle eines RAT befalls der jenige natürlich wahrscheinlich checkt was es ist. Aber wenn du per Keyfile arbeitest bist du schonmal sicher vor Keyloggern. Ich persönlich stehe da immer in dem Konflikt mit mir sleber: Wenn ich mein Keyfile für root mache, dann bin ich komplett Keylogger save, allerdings wenns jemand bekommt hat er direkt kompletten Zugriff, aber wenn das Keyfile für nen normalen User ist dann muss ich ja trozdem das Root PW angeben und so kann mans per Keylogger rausfinden. + Multi-Zitat Zitieren
#22 16. September 2008 AW: Hacker & Script Kiddies - Server absichern? Der Konflikt ist schon verständlich... Ist ähnlich wie die Sache, dass man den direkten Root Login in z.B. SSH verbietet, aber danach ganz normal per su sich die nötigen Rechte verschaffen kann. Macht vllt beim BruteForcing Sinn, aber is trotzdem komisch.... Nur bei dir: Ich persönlich würde nicht auf das KeyFile setzen... Wobei wenn man so abwägt: Das File bekommt einer, dann hat er Root und wenn jmd per KeyLogger dein PW hat, dann hat er auch Root... Ist echt verzwickt ^^ + Multi-Zitat Zitieren
#23 16. September 2008 AW: Hacker & Script Kiddies - Server absichern? Hab noch nie mit KeyFiles gearbeitet... ist aber ne praktische alternative... Mit dem HowTo von Tim-boarmann komm ich nicht zurecht.. kann mal jemand erläutern wie man keyfiles erstellt? Merci schonmal + Multi-Zitat Zitieren
#24 17. September 2008 AW: Hacker & Script Kiddies - Server absichern? http://www.linux-club.de/viewtopic.php?t=65007 Viel GLück, wenn noch Fragen offen sind frag mich ruhig, arbeite seit längerer Zeit mit Keyfiles und fidne es ganz kompfortabel. @Halloweenracer: Glaub wie Sinnvoll oder Unsinnvoll das ppk ist darüber kann man sicherlich lange disskutieren. ABer alleind er aspekt des Kompfor ist für mich Grund genug. Abgesehn davon, ich denke die wahrscheinlichkeit sich nen RAT von irgendnem 14 Jährigen der sich bei codesoft nen Crypter gekauft hat ist größer als einen von einem Profi, und eben jene Kiddys wissen a)Sicherlich kaum wie man per SSH connected b)Wenn a, ist die Wahrscheinlichkeit aber verschwindend gering das sie wissen wofür z.b. "msntserv.ppk" in system 32 gut ist Denke du verstehst was ich meine. + Multi-Zitat Zitieren
#25 17. September 2008 AW: Hacker & Script Kiddies - Server absichern? was willst du mit solchen IPS? die ganzen ranges sind blacklisted und sind russen und chinesen etc, du brauchst jan icht alle zu adden. + Multi-Zitat Zitieren