Portscan/Hackversuche über meinen Server - Hilfe!

R

ragey

Registered User
Hallo,
ich habe ein großes Problem.
Mein Provider schreib mich an das über meinen Server Portscans und Hackversuche raus gingen/gehen. Ein Firma (wohl das Opfer) beschwerte sich beim Provider. Nun muss ich sehen das ich die Sache lokalisiere und entsprechend unterbinde. Leider fehlt mir ein wenig das wissen für solch eine Aktion und hoffe hier auf Eure Unterstützung. Wie gehe ich am besten vor um der Sache zunächst auf den Grund zu gehen?

Ich habe den Port des ssh geändert sowie den RootPermitLogin deaktiviert.

Hier die Daten zu meinem System:
SUSE 9.3 mit Plesk 8.1

Ich habe Plesk heute bereits von Version 7.5 auf 8.1 updated
um mögliche Sicherheitslöcher zu schliessen.

Falls Ihr mehr Infos benötigt einfach sagen!
Gruß Ragey
 
Da du keine Ahnung hast, ist es besser neu zu installieren.
Ich vermute folgendes:
Den SSH-Port zu verschieben bringt dir reichlich wenig. Da man den Port per Protscann wieder finden kann. Geht sehr schnell und ist keine Kunst.
Den root zu sperren ist auch überflüssig. Da der Angreifer wahrscheinlich sich einen Useracc auf deinem System angelegt hat. Schau ob neue User im System sind. Wenn er nur einen "normalen" User angelegt hat (also nicht root), kann er trotzdem Portscanns etc. machen. Selbst wenn keine neuen User im System sind und du das root-Passord geändert hast, empfehle ich dir eine Neuinstallation. Da der Angreifer sich vieleicht eine weitere Hintertür geöffnet hat. Am besten beendest... oder besser deinstallierst ssh von deinem Server und gibst sofort eine Neuinstallation in Auftrag.
 
Das klingt nicht so toll. Wie kann man sowas lokalisieren? Per logfiles etc?
Es wgibt doch sicherlich noch eine andere Lösung oder?
ich mein was bringt es denn wenn alles wieder wie vorher installiert ist
und der Angreifer das ganze nochmal macht und wieder drauf kommt!?

Ich habe nun erstmal alle alten Seiten runtergeschmissen auf denen
zum Beispiel alte phpBB Versionen liefen da diese ja auch alles andere
als sicher sind.

Was kann ich noch machen?
 
Du musst ihn wieder neuinstallieren. Ja man kann die Fehler finden. Aber es besteht die gefahr, dass man was übersieht. Nach einer Neuinstallation mit einem aktuelle Image und dann noch paar Updates installieren, ist er schon etwas sicher. Aber du hast ja schon den FFehler genannt wie man höchst wahrscheinlich bei dir drauf kam. PhpBB!
Ich denke er ist per Bruce Force in deine Shell gekommen.
Ist zwar nciht die beste lösung die ich dir jetzt sage, aber sie funktioniert.
Nach den du den Server neu installiert hast, deaktivierst du SSH in Plesk am besten. Dann kann sich dort auch keiner einloggen.
Ist für dich meiner Meinung nach die beste Möglichkeit. Da du die eh bestimmt nicht brauchst.
Achja... Und natürlich falls du wieder so was wie PhpBB oder ähnliches installierst, natürlich immer aktuell halten. Und natürlich Plesk und System aktuell halten.
 
Hallo!

Neuinstallation ist die einzige Lösung. In Deinem Fall genügt das jedoch nicht ganz, denn wie Du schon sagst - er könnte dann wieder rein. Daher musst Du direkt nach der Neuinstallation des kompletten Servers denselbigen Absichern.

Grüße
Sinepp

P.s.: Und wenn Dir die Frage auf den Lippen liegt: "Ach, soviel war mir auch schon klar - aber wie??" Dann hilft Dir dieses Forum in der jetzigen Form mit seinen mehreren Dutzend Threads zum Thema "Sicherheit". Auch für kleine Greenhorns.
 
Ok,
ich spiel alles neu auf und mache anschließlend sofort alle Updates
des Systems und Plesk. Schon klar das ich hier sehr viele Threads
zur Sicherheit finden werden aber dennoch wäre zumindest eine kurze
Auflistung von sinnvollen Handlungen an einem frischen Server nicht schlecht.

Einfach nur Auflisten was ich unbedingt machen sollte.
Die Vorgänge selbst suche ich mir zusammen.

PS: tmiekre du würdest dich wundern wie oft ich im SSH bin !
 
ragey said:
PS: tmiekre du würdest dich wundern wie oft ich im SSH bin !
Click to expand...

Wollte damit ja nicht sagen dass du unfähig oder so was bist. War nur die einfachste Lösung um sich davor zu schützen.

Wenn du wieder in SSH rein willst, kannste es ja wieder im Plesk freischalten.
MAcht am wenigsten Arbeit. Und ist ne Sache von ca. 2 Minuten.
 
Wenn man den SSH vernünftig absichert, macht es auch fast keine Arbeit, bis auf das man seine Logfiles mal durchsehen sollte. Und SSH halbwegs vernünftig absichern ist vieleicht einmal arbeit, und dann nur noch nach dem eigenen Howto vorgehen, mehr auch nicht!!!
 
Hallo!

Eine Auflistung:
- SSH absichern (Port verändern, root login deaktivieren usw.)
- unnötige Dienste abschalten
- Firewall anpassen (respektive IP-Tables)
- PHP absichern
- PHP Skripte absichern (Forensoftware etc.pepe gehört auch dazu)
- sichere Passwörter wählen

Grüße
Sinepp
 
Ich will jetzt ja nicht ketzerisch erscheinen, aber die wenigsten Angriffe dürften über ein SSH erfolgen. Die meisten basieren darauf, den Webserver dazu zu bringen, fremden Code (meist Perl-Scripts) auszuführen.

Und wenn das geschafft ist, braucht der Angreifer kein SSH mehr. SSH ist nur *eine* Möglichkeit, eine Shell auf einem System zu erhalten.
Die Absicherung des SSH (kein Root, nur Keys) ist natürlich essentiell, hat mit umfassender Absicherung aber nichts zu tun.

Das Abschalten von SSH ist daher eigentlich nur Augenwischerei. Es suggeriert ein Gefühl von subjektiver Sicherheit, welche dadurch real nicht zu erzielen ist.
 
Danke für Eure Tipps bislang.
Habt Ihr noch weitere um ein gutes sicheres System zu erlangen?

Zum Thema Passwörter, ich nutze seit langer Zeit Passwörter welche
aus 10-20 Zeichen bestehen (buchstaben groß und klein/ zahlen / sonderzeichen) also ich glaube kaum das jemand über meinen SSH ins
System gelangt ist. Vielmehr denke ich an unsichere Scripte.
 
Da magst du wohl den richtigen Ansatz haben, denn wie schon jemand gesagt hat sind die wenigsten Attacken direkt über den SSH-Port.

Wenn man alles richtig absichert, und die Software aktuell hält, sollte man eigentlich keine Probleme mehr haben. Was dazu kommt ist, dass man sich regelmäsig die Log-Files anssieht. Oft kann man an ihnen frühzeitig erkennen, wenn sich jemand am System zu schaffen macht, oder es zumindest versucht.

Wenn mal jemand deine Ports scaned, ist das nicht so schlimm, wenn dieser Jemand dies aber öfter tut, ist das zumindest schon mal ein Anzeichen.

Gruß Mordor
 
Gegen das Scannen von diversen Ordnern via Apache (also zum herausfinden ob du PHP Software mit bekannten Sicherheitslücken hast) kann ich dir mod_evasive (HowTo in der FAQ&Anleitungssection hier um Forum) bzw mod_security nahelegen.
 
Na das kommt bei mir jetzt auch bald, denn die Log-Einträge nerven irgendwei, und machen nur umso mehr arbeit beim durchgucken.
 
You must log in or register to reply here.
Back
Top