serverüberwachung

H

heppi

New Member
hallo,

kann mir mal jemand sagen kann was die besten überwachungstools für einen root-server sind. also ich gehe mal davon aus das ich mehrere accounts drauf habe. mir geht es primär um die schwachstellen in php-scripts die evt. mailversand oder schlimmeres ermöglichen. wie können solche lücken aufgespürt/überwacht werden. es ist ja nicht möglich z.B. immer 100 accounts von hand zu prüfen. welche tools gibt es da. besten dank für eure hinweise.

keine angst - ich hab noch keinen root - ich habe einen mananged server (doch auch hier haben wir diese probleme das wir aktuell auf einer blacklist sind weil es lücken in scripts gibt die spam versenden) und überlege ob ich irgendwann auf einen root wechsle - zuvor möchte ich das ganze aber alles lokal ausprobieren damit ich weiss um was es hier geht. auch unser managed server anbieter kann das problem nicht wirklich beseitigen / ausfindig machen.

welche tools erkennen solche angriffe?
 
SNORT bsp kann zumindest mitbekommen ob deine kiste ihrgendwas macht was sie nicht soll ;)

Dan natürlich noch LogAnalyse Tools mittels denen die Logfiles Ausgewertet werden können.
Zum Thema MailVersand und PHP kanst du ggf die betroffenen funktionen systemweit deaktivieren und einen lokalen oder remote MTA Einsetzen solten dies deine scripte zulassen...

Du kanst natürlich auch den Mailversand Monitoren und bei einer höhren anzahl an mails eine Alamierrung Auslösen.

Ein Guter Admin hat 1) Seine Kiste im griff und 2) Bekommt mit wenn da was am laufen ist was so nicht laufen solte ;)

Zum Thema: Sicherheitslücken in Scripten etc:

Naja du kanst ev nur durch Stichproben Artike Audits der Scripte lücken finden was aber sehr zeitaufwendich werden würde daher php im Algemeinen Härten so das du eine gute Balanc zwischen Benutzbarkeit und Sicherheit hast wäre ein ansatz .....
 
Last edited by a moderator:
heppi said:
auch unser managed server anbieter kann das problem nicht wirklich beseitigen / ausfindig machen.
Click to expand...
Kann er nicht, oder will er nicht?
Wenn er nicht will, dann leg im Geld auf den Tisch bis er will, es ist sein Job.
Wenn er nicht kann, dann kündige bitte umgehend, denn der Anbieter hat keine Ahnung von seinem Job und ist somit unseriös.


Unabhängig davon, helfen Dir im Nachhinein die kleinen Tools grep, awk, sed, find und diff schon enorm weiter.
 
welche tools erkennen solche angriffe?
Click to expand...
Generell ist es nicht notwendig hohe Anzahlen von Emails gleichzeitig zu versenden. Ein guter Ansatz wäre also

- Emails zu rate-limiten. Zirka 100 je Stunde und 500-1000 je Tag ist ein guter Wert für mässig mail-aktive Webseiten. Bei Überschreitung erhält dann der Admin eine Benachrichtigung und kann das Problem zurückverfolgen

- Generell allen Emails im Mailheader das ausgeführte Skript (evtl verschlüsselt) sowie, sofern möglich, eine verschlüsselte Kopie der REMOTE_ADDR welche das Skript aufgerufen hatte mitgeben

- Sicher zu stellen dass PHP keine direkte Verbindung auf Port 25, sei es lokal oder remote, aufbauen kann. Port 587 ist weniger kritisch da der RFC vorsieht dass der Benutzer sich einloggen muss.

Wenn er nicht will, dann leg im Geld auf den Tisch bis er will, es ist sein Job.
Click to expand...
Es spricht nicht gerade für den Anbieter wenn das manuell durchgeführt werden muss. Generell sollte diese Aufgabe für den Anbieter höchstens ein grep auf die Log darstellen. Du solltest dich also evtl, wie Joe User bereits bemerkte, für einen anderen Managed-Services Anbieter umsehen.
 
Last edited by a moderator:
danke für die antworten.

da ich auf meiner lokalen maschine (ubuntu 12.04) mich etwas mehr mit linux beschäftigen möchte wäre ich euch dankbar wo man sich zu folgenden themen evt. mehr informieren kann - also wie wird sowas eingerichtet und was braucht man dafür (software etc.)

- PHP keine direkt verbindung zu port 25
- anzahl der mails monitoren
- kann man vielleicht auch beim apache noch was monitoren damit man früher auf solche dinge kommt - z.B. den aufruf von bestimmten urls wo z.B. ein script wie ein gb immer aufgerufen wird - wie kann ich das monitoren?
- was bringen die tools wie munin die ubuntu ja mehr oder weniger mit an board hat?

danke für diejenigen die sich dieser einsteiger-fragen annehmen - ich brauch natürlich keine fertigen lösungen hier - aber wie kommt man hier im selbststudium am besten weiter das man auf diesem gebiet fitter wird und vielleicht selbst mal eine maschine selbst verwalten kann?

für gute buchtips wäre ich auch dankbar.

lg,
heppi
 
Last edited by a moderator:
PHP keine direkt verbindung zu port 25
Click to expand...
Die Linux-eigene Firewall (iptables)
Generell willst du nicht gezielt Absender blockieren sondern Absender freischalten.
Um zum Beispiel nur den Mailserver und root für ausgehende (nicht-lokale) Verbindungen zu zu lassen:
Code: 
iptables -I OUTPUT -p tcp --dport 25 -j DROP
iptables -I OUTPUT -p tcp --dport 25 -m owner --uid-owner postfix -j ACCEPT
iptables -I OUTPUT -p tcp --dport 25 -m owner --uid-owner root-j ACCEPT
Eventuell wäre es aber aus technischer Sicht besser die Mails ab zu fangen und den Ursprung rück zu verfolgen anstatt nur kommentarlos zu blockieren. So könnte ein eingenisteter Schädling lange unentdeckt bleiben.

anzahl der mails monitoren
Click to expand...
Generell mit einem Wrapper für sendmail auf welchen du in PHP die mail()-Funktion umbiegst.

kann man vielleicht auch beim apache noch was monitoren damit man früher auf solche dinge kommt
Click to expand...
Apache hat eine Logfile, aber aus dieser zu erkennen was wirklich ein Sicherheitsrisiko darstellt ist fast unmöglich. mod_security mit den kommerziellen Atomicorp Regeln hilft gegen viele ältere und neuere Sicherheitslöcher in verbreiteter Software und bsp. CXS kann in PHP und FTP eingeklinkt werden um (einige) Exploits beim Upload zu erkennen.

was bringen die tools wie munin die ubuntu ja mehr oder weniger mit an board hat?
Click to expand...
Sie können höchstens zeigen _dass_ was anormal ist. Ob dies aber hardware-, konfigurations-, Skript-, oder angriffsverursacht ist musst du dann selber rausfinden.

aber wie kommt man hier im selbststudium am besten weiter das man auf diesem gebiet fitter wird und vielleicht selbst mal eine maschine selbst verwalten kann?
Click to expand...
Generell ist die "Lehre" bei einem erfahrenen Sysadmin die empfehlenswerteste Lösung, also dass du ihm bei der Arbeit über die Schulter guckst und später er dir mit Tipps, Hinweisen und Warnungen beisteht wenn du bis am eigenen Server bist.
Generell kenne ich kein Buch das für den Praxiseinsatz allein ausreichend ist; Wissen ist nicht alles.
 
hallo d4f,

vielen dank für die ausführlichen antworten ...

eine letzte frage habe ich noch - welche ausbildungen / kurse sind den in diesem bereich empfehlenswert. gibt es da evt. noch einen tipp?

ich habe in der nähe von münchen gesucht und z.B. folgendes gefunden:
http://mathias-kettner.de/linux_schulung_fortgeschritten.html

bringt es sowas - ist ja auch nicht geschenkt. problem ist nämlich das ich keinen erfahrenen sysadmin in der nähe kenne der mir da vielleicht weiterhelfen könnte.

das war dann aber auch meine letzte frage!
danke nochmals!
 
heppi said:
kann mir mal jemand sagen kann was die besten überwachungstools für einen root-server sind. ...
Click to expand...
Ich fürchte nicht aber für können Dir Vorschläge machen, welche Software mglw. für Deinen Zweck geeignet sein könnte.

Generell finde ich logwatch sehr praktisch. Daneben wäre das Reporting von RKHunter ganz nützlich, weil es diverse Systemdateien überwacht. Last but not least, solltest Du evtl. mal darauf einen Blick riskieren: http://configserver.com/cp/csf.html
 
You must log in or register to reply here.
Back
Top