Angriffe auf Server?

[Ecki]

Hallo,

ich bin neu hier und auch auf dem Gebiet eigener Server, ich hoffe mich trotzdem einigermaßen verständlich auszudrücken

Nun zu meinem Problem:

Ich teile mir seit einiger Zeit einen Dedizierten Root Server auf Keyweb.de.
Hier sind eigentlich alles nur kleine Projekte drauf, bis auf ein Sportforum auf vbulletin, welches den meisten Teil ausmacht.
In letzter Zeit kam es nun immer wieder vor, das der Server fast alle 2 Tage komplett weg war und wir einen Reboot machen mussten. Da ich auch noch einen Hauptberuf habe, bekam ich das meist erst abends mit, wo meine Seiten dann schon den ganzen Tag Offline waren
Zum Board hatte ich den Tufat Chat installiert.
Hierüber wurden einige Php Dateien hochgeladen, die dort nicht hingehörten. Wurde höchstwahrscheinlich für Mailattacken genutzt.
Die Dateien haben wir jetzt alle gelöscht und den Chat sofort deinstalliert.
Soweit läuft jetzt scheinbar wieder alles rund, habe aber jetzt ein paar Anfängerfragen
Dank dieses Forms habe ich die Datei Messages mal durchgeschaut und für mich sieht es so aus, als würde sich ständig jemand versuchen in unser System einzuloggen

Auszug:

Apr 22 13:44:12 km13835 vsftpd(pam_unix)[2174]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=201.130.79.15  user=admin
Apr 22 13:48:58 km13835 vsftpd(pam_unix)[2363]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=201.130.79.15  user=admin
Apr 22 13:49:46 km13835 vsftpd(pam_unix)[2390]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=201.130.79.15  user=admin
Apr 22 13:51:10 km13835 vsftpd(pam_unix)[2448]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=201.130.79.15  user=admin
Apr 22 13:55:57 km13835 sshd(pam_unix)[2628]: check pass; user unknown
Apr 22 13:55:57 km13835 sshd(pam_unix)[2628]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=boston1.vsnl.net.in
Apr 22 13:56:01 km13835 sshd(pam_unix)[2633]: check pass; user unknown
Apr 22 13:56:01 km13835 sshd(pam_unix)[2633]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=boston1.vsnl.net.in
Apr 22 13:56:04 km13835 sshd(pam_unix)[2640]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=boston1.vsnl.net.in  user=admin
Apr 22 13:56:08 km13835 sshd(pam_unix)[2645]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=boston1.vsnl.net.in  user=admin
Apr 22 13:56:12 km13835 sshd(pam_unix)[2647]: check pass; user unknown
Apr 22 13:56:12 km13835 sshd(pam_unix)[2647]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=boston1.vsnl.net.in
Apr 22 13:56:16 km13835 sshd(pam_unix)[2656]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=boston1.vsnl.net.in  user=root
Apr 22 13:56:20 km13835 sshd(pam_unix)[2658]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=boston1.vsnl.net.in  user=root
Apr 22 13:56:24 km13835 sshd(pam_unix)[2660]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=boston1.vsnl.net.in  user=root
Apr 22 13:56:27 km13835 sshd(pam_unix)[2662]: check pass; user unknown
Apr 22 13:56:27 km13835 sshd(pam_unix)[2662]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=boston1.vsnl.net.in
Apr 22 14:07:52 km13835 logger: Reopen IP 202.54.29.10
Apr 22 14:15:32 km13835 sshd(pam_unix)[10309]: session opened for user root by (uid=0)
Apr 22 14:28:45 km13835 telnetd[14675]: ttloop: peer died: EOF
Apr 22 14:28:45 km13835 telnetd[14676]: ttloop: peer died: EOF
Apr 22 14:28:45 km13835 telnetd[14685]: ttloop: peer died: EOF
Apr 22 14:28:45 km13835 telnetd[14684]: ttloop: peer died: EOF
Apr 22 14:29:00 km13835 telnetd[14731]: ttloop: peer died: EOF
Apr 22 14:29:00 km13835 telnetd[14732]: ttloop: peer died: EOF
Apr 22 14:30:03 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 14:30:04 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 14:34:21 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 14:34:21 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 14:34:26 km13835 telnetd[16223]: ttloop: peer died: EOF
Apr 22 14:34:26 km13835 telnetd[16215]: ttloop: peer died: EOF
Apr 22 14:38:07 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 14:38:07 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 14:42:10 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 14:42:10 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 14:43:29 km13835 telnetd[18738]: ttloop: peer died: EOF
Apr 22 14:45:16 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 14:45:16 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 14:49:01 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 14:49:02 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 14:49:54 km13835 telnetd[20092]: ttloop: peer died: EOF
Apr 22 14:49:54 km13835 telnetd[20095]: ttloop: peer died: EOF
Apr 22 14:53:08 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 14:53:09 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 15:00:40 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 15:00:40 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 15:04:23 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 15:04:23 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 15:07:55 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 15:07:55 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 15:11:32 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 15:11:32 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 15:14:56 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 15:14:56 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 15:18:40 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 15:18:40 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 15:23:28 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 15:23:28 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 15:27:42 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 15:27:42 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 15:31:21 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 15:31:21 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 15:34:44 km13835 kernel: application bug: perl(28502) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 15:34:44 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.

Für mich schaut es so aus, als gehören da einige Domains und IPs nich da hin! Kann man den Zugriff irgendwie unterbinden?
Leider wechseln die IPs ständig.

Ab und zu taucht diese Zeile auf:
kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Wofür steht diese?

Ich würde gerne den Server ein wenig absichern und habe hier gelesen, das Shorewall wohl eine sehr gute Allernative wäre.
Gibt es irgendwo eine einfache deutsche Anleitung, wo verständlich beschrieben wird, wie ich diese am einfachsten installiere und anschließend konfiguriere?

Ich arbeite mich gerade erst in diese Materie ein und möchte nicht das anschließend der halbe Server zerschossen ist.

Vielen Dank im Voraus!

p.s. werden irgendwelche Daten benötigt, Betriebssystem, Php u.s.w.

Gibt es vielleicht auch eine verständliche Software, die alle aktivitäten auf dem Server aufzeichnet, bzw. überwacht, falls etwas geändert wird?

So, nun aber erstmal genug, habe später bestimmt noch mehr Fragen

 

[Darkdream]

Hallo,
zu deiner ersten Frage:

HowTo: SSH und Shell für Einsteiger

Inhalt Vorwort Quick and Dirty Einstieg für Ungeduldige Kurzreferenz Shell-Befehle Übersicht Operatoren / Pipe Kurzreferenz vi-Befehle SSH Die Shell SSH Sicherheit Nützliche Tools Vorwort Entstanden ist dieses HowTo aus Threads in denen User bzw. Serverbesitzer die Frage gestellt haben...

serversupportforum.de

Ist der Server Sicher

So, nach einigem Rumprobieren und ausprobieren, hab ich meinen ersten Webserver der öffentlich verfügbar ist auch fertig. Die Frage die sich mir nun stellt ist, ob ich was vergessen hab und ob der Server jetzt auch allgemeinen Sicherheitsansprüchen genüge tut. Hier mal kurz die Auflisten, was...

serversupportforum.de

Nach sshd_config werden änderungen nicht übernommen

Hallo zusammen Nachdem ich mich hier im Forum zu diesem Thema schon mal durchgwühlt hab, weiß ich jetzt nicht weiter! Folgendes Problem: Ich hab nen vServer von 1und1 mit Suse 9.3 und deaktiviertem Plesk. Jetzt wollte ich anfangen, dass System abzusicher. Habe deshalb in der sshd_config...

serversupportforum.de

Zu deinem Fehler: Irgendwas passt bei deinem Perl nicht. Sieht danach aus, als wäre ein Perl Script fehlerhaft.

 

[Ecki]

@darkdream

Vielen Dank für diese nützlichen Links
Ich habe mich jetzt rauf und runter gelesen und einiges schon prima hinbekommen. Port geändert, Einloggen nur noch über Schlüssel u.s.w.

Gerne würde ich jetzt alle Updates einspielen, um das System auf den neuesten Stand zu bringen. Bei Keyweb geht dies scheinbar ganz einfach:

Loggen Sie sich mit SSH oder Telnet als User root auf Ihren Server ein. Sie können _nur_ von Ihrem Server aus auf http://update.keyweb.de, nicht von anderswo!

Nun geben Sie folgende Befehle ein:

#> wget http://update.keyweb.de/AKTUELLES-UPDATE.tar.gz
#> tar -xzf AKTUELLES-UPDATE.tar.gz
#> rm -f AKTUELLES-UPDATE.tar.gz
#> cd all-updates
#> ./update
#-8<---
Sollte Ihr Server an dieser Stelle rebooten, weil ein neuer Kernel installiert wurde, dann wechseln Sie nach dem Reboot wieder in das Verzeichnis all-updates und starten ./update neu
#-8<---
#> cd ..
#> rm -rf all-updates

Kann es hier irgendwelche Probleme geben und wie lange dauert so etwas (über 50 Dateien u.a. einige Kernelversionen)?
Laufen meine ganzen Scripte dann noch z.b auf PHP5 und neuester MYSQL Version?
Welche Firewall ist am Besten und einfachsten zu konfigurieren?

 

[amnesie]

Apr 22 14:28:45 km13835 telnetd[14675]: ttloop: peer died: EOF
Apr 22 14:28:45 km13835 telnetd[14676]: ttloop: peer died: EOF
Apr 22 14:28:45 km13835 telnetd[14685]: ttloop: peer died: EOF
Apr 22 14:28:45 km13835 telnetd[14684]: ttloop: peer died: EOF
Apr 22 14:29:00 km13835 telnetd[14731]: ttloop: peer died: EOF
Apr 22 14:29:00 km13835 telnetd[14732]: ttloop: peer died: EOF

Du sollest dringend deinen telnetd abschalten. Wirklich.

Apr 22 14:30:03 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 14:30:04 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 14:34:21 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 14:34:21 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 14:34:26 km13835 telnetd[16223]: ttloop: peer died: EOF
Apr 22 14:34:26 km13835 telnetd[16215]: ttloop: peer died: EOF
Apr 22 14:38:07 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 14:38:07 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 14:42:10 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 14:42:10 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 14:43:29 km13835 telnetd[18738]: ttloop: peer died: EOF
Apr 22 14:45:16 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 14:45:16 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 14:49:01 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 14:49:02 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 14:49:54 km13835 telnetd[20092]: ttloop: peer died: EOF
Apr 22 14:49:54 km13835 telnetd[20095]: ttloop: peer died: EOF
Apr 22 14:53:08 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 14:53:09 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 15:00:40 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 15:00:40 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 15:04:23 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 15:04:23 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 15:07:55 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 15:07:55 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 15:11:32 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 15:11:32 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 15:14:56 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 15:14:56 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 15:18:40 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 15:18:40 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 15:23:28 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 15:23:28 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 15:27:42 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 15:27:42 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 15:31:21 km13835 kernel: application bug: perl(14466) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 15:31:21 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.
Apr 22 15:34:44 km13835 kernel: application bug: perl(28502) has SIGCHLD set to SIG_IGN but calls wait().
Apr 22 15:34:44 km13835 kernel: (see the NOTES section of 'man 2 wait'). Workaround activated.

Das sieht so aus, als wolle da jemand ein Perl-Script auf deinem Kistchen ausführen, was nicht ganz funktioniert. Schaut für mich aus, als hätte da bereits jemand zuviel Rechte.

Tip: Mach noch ein Backup deiner Nutzdaten und installier die Kiste dann neu. Bitte dann gleich richtig absichern.

 

[noto]

bin auch bei Keyweb, berichte mir doch bitte, nachdem du das Update eingespielt hast.

 

[Ecki]

Ich habe jetzt eine ganze Menge nachlesen und auch umsetzen können, dafür vielen Dank
@noto
Das Serverupdate funktionierte tadellos
Es waren sogar fast 100 Dateien und dauerte ca 60 Minuten!
Empfehle Dir aber trotzdem wichtige Dateien vorher zu sichern.
Ich habe jetzt Ports geschlossen/umgelegt, komplette Länder per haccess ausgesperrt, upgedatet, Dienste abgeschaltet u.s.w.
Die Angriffe sind jetzt gen 0 !
Gerne würde ich jetzt das ganze über die Iptables noch etwas sicherer machen, gibt es eine Anleitung für Anfänger?
Die vielen Tutorials erschlagen einen ja förmlich (schon viereckige Augen hab).

 

[Andre.Ho]

Die Zeit mit iptables würde ich mir sparen. Lass einfach keine unnötigen Dienste nach außen lauschen. Iptables kann ich Dich zwar schützen, wenn zum Beispiel ein Dienst versehentlich aktiviert wird, aber ich denke, dass Bascis verbessern hier zielführender ist, später kannst Du Dich dann dran wagen.