Hey Leute,
ich. Mal wieder
Ich hatte ja gerade eben ein Thema auf gemacht. Nun ist es aber so, das die sache die zu dieser einen Frage geführt hat, mehr Probleme aufwirft.
Deswegen so. Hoffe das ist okay.
Ich habe meinen Rootserver abgesichert.
Bis vor 40 Min ging alles, so wie es sein sollte. Alle Domains liefen.
Bis dahin bestand mein Schutz aus folgenden Punkten:
1. "root" den Zugriff sperren.
=> neuen User angelegt, passwort vergeben. Su fertig. Rootzugriff, mit su und root als User kommt nicht mehr rein.
2. Betriebssystem prüfen
cat /etc/debian_version
3.update check
apt-get update
apt-get upgrade
4. Prozesse prüfen
Standart: top (mit "q" zurück)
apt-get install htop /besseres tool
Ausführen mit >>>> htop
5. Vnstat (Netzwerkstraffic prüfen !)
apt-get install vnstat
vnstat -u -i eth0
Ausführen : vnstat
-------------------------------------------------------------
So, denn musste ich arbeiten. Nun bin ich wieder zu hause und habe da weiter gemacht, wo ich aufgehört habe:
1.1 Port ändern
nano /etc/ssh/sshd_config
=> Port geändert z.B. 55 => sodass der Port jedoch nicht im Konflikt mit anderen Diensten steht
/etc/init.d/ssh restart
6. Rootkits löschen
aptitude install rkhunter
=> in die File => /etc/rkhunter.conf gegangen und bei "MAIL-ON-WARNING=""" meine Mail rein gesetzt
rkhunter --check
BTW => Mein System ist ggf. Infiziert. Es gibt Unsichtbare Dateien und Ordner.....
7. Dienste Überwachen (monit)
aptitude install monit
ab in "nano /etc/default/monit" und "startup=0" auf 1 gesetzt...=> startup=1
Danach die Dienste eingetragen:
nano /etc/monit/monitrc
ZitatAlles anzeigenset daemon 180 // Monit überprüft all 2 Minuten
set logfile syslog facility log_daemon // Wo wird die Logdatei hingeschrieben
set mailserver localhost // Mailserver über den die Mails verschickt werden
set mail-format { from: user@domain.tld } // Mailadresse Absender
set alert user@domain.tld // Empfänger der Mails
check system localhost // Lokalen Server überwachen
if loadavg (5min) > 1 then alert // Wenn Loadaverage über 5 Minuten größer 1 ist, Alarm versenden
if memory usage > 75% then alert // Wenn mehr als 75% des Speichers benötigt werden, Alarm versenden
if cpu usage (user) > 70% then alert // Wenn mehr als 70% CPU Leistung benötigt wird, Alarm versenden (User)
if cpu usage (system) > 30% then alert // Wenn mehr als 30% CPU Leistung benötigt wird, Alarm versenden (System)
if cpu usage (wait) > 20% then alert // Wenn mehr als 20% CPU Leistung benötigt wird, Alarm versenden (Wait)
check process sshd with pidfile /var/run/sshd.pid // Dienst Mysql durch PID File überwachen
start program "/etc/init.d/ssh start" // Wie kann SSH im Fehlerfall gestartet werden
stop program "/etc/init.d/ssh stop" // Wie kann SSH im Fehlerfall beendet werden
if failed port 22 protocol ssh then restart // Wenn der SSH Dienst nicht läuft, neu starten
if 5 restarts within 5 cycles then timeout // Wenn nach 5 Versuchen der Dienst nicht gestartet werden kann, mit Timeout beenden
check process mysql with pidfile /var/run/mysqld/mysqld.pid // Dienst Mysql durch PID File überwachen
group database // Gruppe definieren
start program = "/etc/init.d/mysql start" // Wie kann der MySQL Server im Fehlerfall gestartet werden
stop program = "/etc/init.d/mysql stop" // Wie kann der MySQL Server im Fehlerfall gestopt werden
if failed host 127.0.0.1 port 3306 then restart // Wenn Port 3306 (MySql) auf dem Lokalen Server nicht läuft, neu starten
if 5 restarts within 5 cycles then timeout // Wenn nach 5 Versuchen der Dienst nicht gestartet werden kann, mit Timeout beenden
1. Frage: Ist die Absicherung so okay ? Taugt die Was ? was veraltet oder schlecht ?
2. Frage / 1. Problem:
Seit dem, was ich heute gemacht habe zeigen alle Domains auf:
ZitatIt works!
This is the default web page for this server.
The web server software is running but no content has been added, yet.
Der User ist im Froxlor noch da, auch die Domains und die Ordner
Aber: auf den FTP komme ich auch nicht mehr - Weder mit Port 21,22,55
ZitatAlles anzeigenStatus: Verbinde mit os-######.de:55...
Antwort: fzSftp started
Befehl: open "########@os-games.de" 55
Befehl: Neuem Serverschlüssel vertrauen: Einmal
Befehl: Pass: ********
Fehler: Authentifizierung fehlgeschlagen.
Fehler: Kritischer Fehler
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen
Jemand eine Idee oder Ideen ?
LG