Dafür kannst du z.b. Fail2Ban verwenden und die IPs z.B. auch über https://www.blocklist.de/de/ reporten lassen ;-)
Filter für w00tw00t gibts im Beispiel-Paket
Einschätzung des Sicherheitslevels meines Servers
- Thread starter hedemi
- Start date
Dafür kannst du z.b. Fail2Ban verwenden und die IPs z.B. auch über https://www.blocklist.de/de/ reporten lassen ;-)
Filter für w00tw00t gibts im Beispiel-Paket
Für Modsecurity die bezahlten Atomic "gotroot" Rules, finde die ganz gut.
Weil die standard RUles sind mal voll fürn ar......!
Die kostenlosen gotroot sind nicht schlecht, aber schon was älter.
Anstatt sich sorgen zu machen über die Security auf Server Seite , mal besser auf Client bzw den Rechner mit welchem an dem bzw auf dem Server gearbeitet wird.
Denke mal das ne menge Server gehackt werden, weil auf dem Client ein Schad program läuft!
Weil die standard RUles sind mal voll fürn ar......!
Die kostenlosen gotroot sind nicht schlecht, aber schon was älter.
Anstatt sich sorgen zu machen über die Security auf Server Seite , mal besser auf Client bzw den Rechner mit welchem an dem bzw auf dem Server gearbeitet wird.
Denke mal das ne menge Server gehackt werden, weil auf dem Client ein Schad program läuft!
Kannst du das auch irgendwie sinnvoll begründen?
Ja, das macht Sinn, sollte aber selbstverständlich sein. Ich fühle mich hinter einem Router und in reiner (aktueller und mit Verstand aufgesetzter) Linuxumgebung (Ubuntu) eigentlich ziemlich sicher. Wenn jemand rein will kommt er rein, keine Frage, aber die Scriptkiddies bleiben draussen.
Die Linkhinweise sind aber interessant und die werde ich über das Wochenende mal genauer begutachten. Danke!
Viele Grüße
Thomas
Also die letzte Version datiert auf Ende Juli.
http://sourceforge.net/projects/mod-security/files/modsecurity-crs/0-CURRENT/
Ich hab damit keine Probleme und hab aktuelle CMS am laufen. Gut, die ein oder andere Rule muss etwas angepasst werden, aber die Core-Rules zielen ja auch nicht darauf ab, sich auf spezielle CMS zu konzentrieren, sondern sind eher allgemein gehalten.
Bei den gotroot-Rules sehe ich immer das Problem, dass dort sehr sehr viele Rules drin sind, die auf spezielle CMS zugeschnitten sind und ziemlich nutzlos sind, wenn dieses CMS nicht eigesetzt wird.
http://sourceforge.net/projects/mod-security/files/modsecurity-crs/0-CURRENT/
Ich hab damit keine Probleme und hab aktuelle CMS am laufen. Gut, die ein oder andere Rule muss etwas angepasst werden, aber die Core-Rules zielen ja auch nicht darauf ab, sich auf spezielle CMS zu konzentrieren, sondern sind eher allgemein gehalten.
Bei den gotroot-Rules sehe ich immer das Problem, dass dort sehr sehr viele Rules drin sind, die auf spezielle CMS zugeschnitten sind und ziemlich nutzlos sind, wenn dieses CMS nicht eigesetzt wird.
Doch, ich bin dann root. Also ich habe GID / UID 0. Mehr root geht nicht.
Bruteforcen wird hier langsam aber sicher "unmöglich".
Der Vorteil von deaktiviertem Root-Login ist nicht nur, dass der Angreifer noch den Benutzernamen erraten muss, sondern, dass er nach erfolgreichen Angriff immer noch ein weiteres Passwort (in einer anderen Eingabemaske) braucht, um root zu sein.
Und mal ehrlich:
Ob ein UID-0-User nun root ist, wenn er nicht root heißt ist doch aus technischer Sicht nur Haarspalterei.
Und mal ehrlich:
Ob ein UID-0-User nun root ist, wenn er nicht root heißt ist doch aus technischer Sicht nur Haarspalterei.
Das ist es doch. Auch in meinem Fall muss man noch einen Benutzernamen vor dem Login erraten. Und Passwort und Username zu bruteforcen ist einfach nicht mehr möglich.
Grüße
Bruteforce halte ich auch für unwahrscheinlich bei einem guten Passwort da:
1. Brutefocre wird erkannt
2. Ip wird gebannt
Ausser bei Admins welche naja ich sage mal Freizeit Admins , das Passwort GOD Love usw heisst und nichts installiert ist was einen Fehlgeschlagenen Login erkennt und darauf reagiert.
Viel grösser ist die gefahr das der Client infiziert ist. Zur Zeit ist doch so das viele Angriffe auf die laufende Software wie CMS und konsorten statt findet.
Bin mal gespannt was die nächsten Jahre so alles auf uns zu kommt
1. Brutefocre wird erkannt
2. Ip wird gebannt
Ausser bei Admins welche naja ich sage mal Freizeit Admins , das Passwort GOD Love usw heisst und nichts installiert ist was einen Fehlgeschlagenen Login erkennt und darauf reagiert.
Viel grösser ist die gefahr das der Client infiziert ist. Zur Zeit ist doch so das viele Angriffe auf die laufende Software wie CMS und konsorten statt findet.
Bin mal gespannt was die nächsten Jahre so alles auf uns zu kommt
chrismaden
Keep it Low
inzwischen gibts ja schon heute die möglichkeit durch webseiten besuch OHNE java applets das man infiziert wird.. ist ja echt krass heutzutage
zum glück ist das nur unter windows so...
ubuntu gnome ftw!
zum glück ist das nur unter windows so...
ubuntu gnome ftw!
Hallo zusammen,
Super Beitrag wie ich finde.. ich hab allerdings nochmal eine Frage! Wurde eigentlich auch schon in einem Beitrag erwähnt. Wenn ich unter meinem Debian 6 System nach dem libapache2-mod-security suche dann erhalte ich lediglich das Modul libapache-mod-security! Da die meistens Tuts sich auf Lenny oder Etch beziehen ist meine Frage ob ich nun das Modul installieren kann??
Super Beitrag wie ich finde.. ich hab allerdings nochmal eine Frage! Wurde eigentlich auch schon in einem Beitrag erwähnt. Wenn ich unter meinem Debian 6 System nach dem libapache2-mod-security suche dann erhalte ich lediglich das Modul libapache-mod-security! Da die meistens Tuts sich auf Lenny oder Etch beziehen ist meine Frage ob ich nun das Modul installieren kann??
S
stefans
Guest
Also ein
liefert mir:
Also setz mal eine "2" dahinter
liefert mir:
Also setz mal eine "2" dahinter
wstuermer
Active Member
Dann hättest doch auch mit "apt-cache show <Paketname>" gleich mal die Paketdetails und Abhängigkeiten ansehen können
D
Deleted member 10028
Guest
SSH-Keys sind etwas Tolles
Ich finde es interessant, dass immer wieder dazu geraten wird, den direkten root-Login zu sperren.
Ich setze jetzt schon seit einigen Jahren fail2ban ein und lasse mich über jeden Vorfall per Email informieren.
Wenn ich dann nachschaue, welche Benutzernamen zum Login verwendet wurden, sehe ich alles Mögliche - Aber niemals "root" (Abgesehen von meinen eigenen Logins natürlich.)
Ja Fail2ban ist nicht schlecht und kann noch viel mehr als gedacht... z.B. 404 Attack Ban's etc.
Bei Netcup hatte ich es sehr häufig das einfach wahrlos alle möglichen Kombinationen von "phpmyadmin" ausprobiert wurden. Mit dabei aber auch beinahe alle üblichen CMS Verzeichnisse etc.
mit nem 404 Ban war dann ruhe.
bei SSH gibt es auch noch die möglichkeit mit knockd zu arbeiten.
und ein Blick auf denyhosts lohnt sich auch mal...
Bei Netcup hatte ich es sehr häufig das einfach wahrlos alle möglichen Kombinationen von "phpmyadmin" ausprobiert wurden. Mit dabei aber auch beinahe alle üblichen CMS Verzeichnisse etc.
mit nem 404 Ban war dann ruhe.
bei SSH gibt es auch noch die möglichkeit mit knockd zu arbeiten.
und ein Blick auf denyhosts lohnt sich auch mal...