Server wegen DoS-Attacken gesperrt

[alphaonline]

Hallo alle zusammen,

nachdem mein vServer bei S4U über 2 Jahre problemlos lief, wurde er gestern wegen einer Beschwerde über von ihm ausgeführte DoS-Attacken gesperrt.

Die freundlichen Jungs vom Support haben mir den Server kurzfristig entsperrt und sicherheitshalber komplett neu aufgesetzt - soweit sogut.

Ich habe nun ein 5 Tage altes Serverbackup eingespielt, alle Passwörter (admin, root etc...) geändert, die Firewall wieder eingeschaltet und meine eigene httpd.conf gelöscht. In dieser waren für einige Domains der safe_mode ausgeschaltet.

Nun meine Frage: ich habe einige Scripte (Bildergalerien, TYPO3 etc) laufen, die safe_mode=off benötigen. Nach dem Hackermissbrauch habe ich allerdings Hemmungen, dies zu tun...
Wie kann ich meinen server trotz safe_mode=off (für ca. 50% der web-Accounts) sicher und Zuverlässig fahren???

Bin dankbar über alle Tipps und Hinweise !

Gruss Alpha

 

[V40]

Hallo,

was sagt dir das vor 5 Tagen noch alles in Ordnung war?

Ist zwar eine schlechte Frage, aber ich würde wenn mir sowas passieren würde sicherliche kein Fullbackup zurückspielen.

Ich vermute das du ein Fullbackup genommen hast da du geschrieben hattest das du unter anderem das root Passwort geändert hast.

Also mein Rat: Komplett neu aufsetzen die Kiste.

 

[Saint2000]

Schau mal was für user accounts es auf der kiste nun gibt ...

safe mod kann auch explizit angeschalten werden, nicht serverweit sondern nur für einzelne subdomains per virtualhost

 

[haustier]

Ich bin ja kein PHP Guru, aber wenn man safemode auf off stellt und dafür openbasedir ordentlich einstellt, sollte es auch einigermaßen sicher sein. Dann können allerdings Skripte die auf Systemlibraries wie PEAR zurückgreifen motzen. Am besten du machst beide Einstellungen wie Saint2000 es gesagt hat in den entsprechenden vhost Abschnitten.
Grundsätzlich würde ich dir aber nicht empfehlen ein eventuell gehacktes Backup weiter zu benutzen.

 

[alphaonline]

Hallo an alle und danke für die Tipps,

habe nun den Server nochmal neu installiert und meine letzte Datensicherung eingespielt, nun läuft er wieder. Noch eine Frage: nach diesen Gau möchte ich mich noch mehr um die Serversicherheit kümmen und bei besonders nervigen Versuche abuse-Mails schreiben. Woher bekomme ich für bspw. so einen Eintrag die IP-Adresse?

reverse mapping checking getaddrinfo for ds194-143.ipowerweb.com failed - POSSIBLE BREAKIN ATTEMPT!

Vielen Dank für die Hilfe ...

 

[marneus]

Du pingst ipowerweb.com, um die IP rauszubekommen (216.69.226.150), und schaust dann bei ripe.net nach, wer unter der Abuse Adresse stehst und sendest dem die betreffenden Logs.

 

[V40]

Hallo,

ich kann bei sowas immer nur wieder die Seite DNS Stuff: DNS tools, DNS hosting tests, WHOIS, traceroute, ping, and other network and domain name tools. empfehlen.

Absolut klasse.

Und das mit dem Ping kann man sich dann auch sparen

 

[blob]

Detaillierte Infos über sites kann man auch abfragen bei www.netcraft.com

 

[HornOx]

nach diesen Gau möchte ich mich noch mehr um die Serversicherheit kümmen

Dann hilft lesen und weiterbilden deutlich mehr als manischer Aktionismus.

Woher bekomme ich für bspw. so einen Eintrag die IP-Adresse?

Gar nicht, nur deshalb die macht SSH die Meldung:
SSH sucht per für jede IP Addresse per Reverse Lookup einen Hostnamen und überprüft dann mit normalem DNS ob der A Rekord dieses Hostnamen zurück zur Addresse zeigt. Wenn der letzte Schritt nicht erfolgreich ist weil der Hostname z.b. keinen A Rekord hat kommt die obige Fehlermeldung. Meist ist einfach ein kurzzeitiger DNS Fehler oder ein falsch konfigurierter DNS Eintrag dafür verantwortlich aber es kann auch sein das schon der per Reverse Lookup ermittelte Hostname vom Hacker manipuliert wurde. ds194-143.ipowerweb.com ist also im schlimmsten Fall nur ein Opfer und du würdest falsche Anschuldigungen machen wenn du eine abuse Mail schreibst.
Das ganze ist nur dann ein "POSSIBLE BREAKIN ATTEMPT" wenn du ein hostnamebasiertes Authentifizierungssystem benutzt was mittlerweile sehr selten ist.